PowerProtect DP-apparat og IDPA: Apache Log4j CVE-2021-44228

Summary: Denne artikkelen beskriver det automatiserte verktøyet for å utbedre CVE-2021-44228 Ekstern kjøring av Apache Log4j-kode ved hjelp av verktøyet "LORD" (LOg4J Remediation for Dell) i PowerProtect DP-apparatet og Integrated Data Protection Appliance (IDPA). ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

DSA-2021-285: Sikkerhetsoppdatering for Dell Integrated Data Protection Appliance (PowerProtect DP-serien) for sikkerhetsproblem med ekstern kodekjøring i Apache Log4j (CVE-2021-44228).

Konsekvensmatrise

Tilpasset verktøy
for integrert databeskyttelse for Dell PowerProtect DP-serien		 Versjon påvirket?
Komponent v2.3.x v2.4.x v2.5 v2.6.x v2.7.0
vCenter (Hypervisor Manager) Ja Ja Ja Ja Ja
Data Domain (Protection Storage) Nei Nei Nei Nei Ja
Avamar (programvare for sikkerhetskopieringsserver/beskyttelse) Nei Nei Nei Nei Nei
Data Protection Central (System Manager) Ja Ja Ja Ja Ja
Databeskyttelsessøk (søk) Ja Ja Ja Ja Ja
Nettskybasert katastrofeoppretting Nei Nei Nei Nei Ja
Appliance Configuration Manager (ACM) Nei Nei Nei Nei Ja
Data Protection Advisor (DPA/rapportering og analyse) Ja Ja Ja Ja Ja

Permanent løsning

Oppgrader til tilpasset verktøy for PowerProtect DP-serien og IDPA versjon 2.7.2

Merk: Tilpasset verktøy for PowerProtect DP-serien og IDPA 2.7.2-versjonen har Log4j 2.17.1-biblioteket (kontra 2.17 i PowerProtect DP-apparatet og IDPA versjon 2.7.1) som har mer avanserte feilrettinger.

Mål

Denne midlertidige løsningen er å utbedre CVE-2021-44228 Apache Log4j ekstern kjøringDenne hyperkoblingen tar deg til et nettsted utenfor Dell Technologies. av kode ved hjelp av automatiseringsverktøyet "LORD"(LOg4J Remediation for Dell) for PowerProtect DP-apparatet og Integrated Data Protection Appliance (IDPA).

Se denne videoen om utførelse av automatiseringsverktøyet "LORD":

Merk: Den estimerte tiden som skal gå gjennom disse trinnene, kan være omtrent 20 minutter. Ta kontakt med Dell Support når som helst for å få mer hjelp.
Merk:
  • Denne artikkelen i Dells kunnskapsbase inneholder utbedringstrinn for løsninger for versjon 2.3.x, 2.4.x, 2.5, 2.6.x og 2.7.0.
  • Ikke bruk denne KB-artikkelen for andre PowerProtect DP-serier eller IDPA-versjoner.
  • Denne midlertidige artikkelen utbedrer bare CVE-2021-44228.
  • Dell Engineering har lansert PowerProtect DP Series-IDPA versjon 2.7.1 som fikser CVE-2021-44228 på alle komponenter.
  • Hvis en bruker oppgraderer til en ikke-utbedret versjon av tilpasset verktøy eller IDPA i PowerProtect DP-serien, må du bruke de midlertidige løsningstrinnene på nytt.
  • Vær logget inn i Dell.com/support for å se vedlagte filer og verktøy.
  • Cloud DR component Remediation er for øyeblikket ikke i automatiseringsverktøyet. Hvis en Cloud DR-komponent er implementert, kontakter du Dells kundestøtte for å få hjelp til å løse problemet.

Påvirkning og risiko

Dette verktøyet kan deaktivere http og https på datadomenet i versjon 2.7.0 for å sikre systemet fra CVE-2021-44228, og deaktivere brukergrensesnittet. Se nedenfor for mer informasjon.

Det er ingen funksjonell innvirkning på apparatet. Angre endringer på ACM VM før oppgraderinger av PowerProtect DP-apparatet eller IDPA-serien for å unngå innvirkninger på oppgraderingene.

Forutsetninger:

  • Last ned den nyeste versjonen av LORD-verktøyet fra denne artikkelen (vedlagte filer).
  • Ekstraher .zip-filen.

Kjøre verktøyet:

Velkommen til korrigeringsverktøyet CVE-2021-44228.

  • Dette verktøyet hjelper deg med å oppdatere CVE-2021-44228 for flere Dell-produkter, inkludert, men ikke begrenset til, IDPA, PPDM og NetWorker.
  • Spesiell merknad: Verktøyet automatiserer utbedringstrinn for alle interne komponenter.
  • Etter utbedring og validering kjøres også kontroller.
  • Råd fra Apache angående CVE-2021-45105 fortsetter å utvikle seg, med nye sårbarheter som blir tildelt nye CVE-referanse-IDer. Etter hvert som disse nye CVE-ene oppdages, avklarer Dell Technologies' ingeniørteam påvirknings- og utbedringstrinn der det er nødvendig.
  • Når disse er tilgjengelige, oppdateres dette verktøyet for å inkludere disse nye trinnene.

Trinn:

  1. Kopier "lord_vX"-verktøyet til ACM til "/tmp"-katalogen ved hjelp av filoverføringsprogramvare som WinSCP, så videre

    Merk: Et tegn i filnavnet "X" angir versjoneringen av LORD-verktøyet. For eksempel «lord_v7».

  2. Åpne SSH til Appliance Configuration Manager-serveren (ACM), og logg på som rotbruker.

    cd /tmp

  3. Kjør følgende kommando for å gi kjørbare tillatelser:

    chmod +x /tmp/lord_vX

  4. Kjør følgende kommando for å kjøre LORD-verktøyet:

    ./tmp/lord_vX

  5. Følg ledetekstene.

    acm5800:/tmp # ./tmp/lord_v9
sh: /tmp/_MEIFMNULP/libreadline.so.6: no version information available (required by sh)
2021-12-23 20:54:22,399 [INFO]  SESSION STARTED
2021-12-23 20:54:22,400 [INFO]  Logging everything to : lord.log
Session Start Time : 2021-12-23 20:54
-------------------------------------------------
-------------------------------------------------
            PowerProtect CVE-2021-44228 Patcher 5.0
      Developer : Pankaj Pande(p.pande@dell.com)
           Release : 21 Dec 2021
-------------------------------------------------
Welcome to CVE-2021-44228 Patching Tool.
This utility will assist you in patching CVE-2021-44228 for several Dell products including but not limited to IDPA, PPDM and NetWorker.
Special Note : The tool automates remediation steps for all internal components. Following remediation, validation checks are also run. Advice from Apache regarding CVE-2021-45105 continues to evolve, with new vulnerabilities being assigned new CVE reference id's.  As these new CVEs are discovered, Dell Technologies' Engineering teams will clarify impact and remediation steps where necessary.  When these are available, this tool will be updated to include these new steps
-------------------------------------------------
2021-12-23 20:54:22,403 [INFO]  Starting Build : 5.0
2021-12-23 20:54:22,403 [INFO]  Using ACM IP as : 10.10.10.99. If you would like to use a different IP, then use the -a flag and specify a different host IP or DNS name
Enter the ACM Password :
Are you using a common password(for all point products) which is same as ACM ? Enter 'y' or 'n' :

    Eksempel på utdata fra hovedmenyen for utbedring:

    2021-12-23 20:54:34,972 [INFO]  ///////////////////////////////////////////////////////
2021-12-23 20:54:34,972 [INFO]  ///                  Main Menu                      ///
2021-12-23 20:54:34,972 [INFO]  ///////////////////////////////////////////////////////
2021-12-23 20:54:34,972 [INFO]  -------------------------------------------------
Select how would you like to proceed :

1) Apply workaround for PowerProtect DP Series Appliance/IDPA [All components]
2) Apply workaround for vCenter
3) Apply workaround for Data Domain
4) Apply workaround for Avamar
5) Apply workaround for DPSearch
6) Apply workaround for ACM
7) Apply workaround for DPC
9) Exit the Program

Enter your choice number :

Velg alternativ #1 for å bruke utbedringstrinn på alle komponenter.

Viktig: Når du bruker reparasjonen på Data Domain (Protection Storage), blir du bedt om å deaktivere http og https (bare funnet i IDPA versjon 2.7.0).
  • Hvis du velger "No", hopper du over Data Domain-utbedring inntil videre. Et annet alternativ er å bruke minste forstyrrende oppgradering (MDU) per kB: 194425 (Du må ha en Dell Support-konto for å se denne artikkelen)
    Merk: Ikke utfør Data Domain-kodeoppgradering (Protection Storage). Bare minste forstyrrende oppgradering (MDU) er tillatt for tilpasset verktøy i PowerProtect DP-serien (IDPA)
  • Hvis du vil deaktivere brukergrensesnittet, kan du velge "Ja" i henhold til automatisert arbeidsflyt 
    Are you ready to disable the DD UI? If you say yes then you will see another prompt to either disable the UI completely or allow certain users to have access. Enter 'y/Yes/YES' or 'n/No/NO':Yes
  • Du kan også velge hvilken IP-adresse eller vert du vil begrense tilgangen til: 
    Are you ready to disable the DD UI? If you say yes then you will see another prompt to either disable the UI completely or allow certain users to have access. Enter 'y/Yes/YES' or 'n/No/NO':y
Would you like to disable the UI completely? Enter 'y' or 'n':n
2021-12-23 21:15:48,365 [INFO]  Disabling GUI http and https access - User based
Enter the list of hostnames or IP-addresses that you would like to give access to(comman-seperated)(eg: 10.118.162.70,10.118.161.130) :
  • Eksempel på utdata: 
    2021-12-23 20:58:56,722 [INFO]  ///////////////////////////////////////////////////////
2021-12-23 20:58:56,722 [INFO]  //        Performing Data Domain Patching            //
2021-12-23 20:58:56,722 [INFO]  ///////////////////////////////////////////////////////
2021-12-23 20:58:56,722 [INFO]  ------------------------------------------------------
2021-12-23 20:58:56,722 [INFO]  Working on Data Domain Host : 10.60.9.51 for patching
2021-12-23 20:58:56,722 [INFO]  ------------------------------------------------------
2021-12-23 20:58:57,266 [INFO]  Found DD version as : 7.6.0.20-689174
2021-12-23 20:58:57,266 [INFO]  This version of Data Domain patching involves disabling the UI.
Are you ready to disable the DD UI? If you say yes then you will see another prompt to either disable the UI completely or allow certain users to have access. Enter 'y/Yes/YES' or 'n/No/NO':y
Would you like to disable the UI completely? Enter 'y' or 'n':y
2021-12-23 21:02:04,087 [INFO]  Disabling GUI http and https access - Completely
2021-12-23 21:02:05,919 [INFO]  HTTP Access:    disabled

2021-12-23 21:02:05,920 [INFO]  GUI http access has been disabled
2021-12-23 21:02:08,507 [INFO]  HTTPS Access:   disabled

2021-12-23 21:02:08,507 [INFO]  GUI https access has been disabled
2021-12-23 21:02:08,509 [INFO]  Data Domain patching completed

Når utbedringstrinnene er utført, gir LORD en overordnet statusgjennomgang:

2021-12-23 21:03:23,782 [INFO]  ///////////////////////////////////////////////////////
2021-12-23 21:03:23,782 [INFO]  //               OVERALL STATUS                   //
2021-12-23 21:03:23,782 [INFO]  ///////////////////////////////////////////////////////
2021-12-23 21:03:23,782 [INFO]  OVERALL STATUS
+---------------------+-------------------------------------------+
| Product             | Patching Status                           |
+---------------------+-------------------------------------------+
| Data Domain         | COMPLETED                                 |
| ACM                 | COMPLETED                                 |
| DPSearch_X.X.X.X    | COMPLETED                                 |
| DPCentral           | COMPLETED                                 |
| DPA                 | NOT_CONFIGURED_IN_IDPA                    |
| Avamar              | SKIPPED/NOT REQUIRED/VERIFICATION SUCCESS |
| vCenter             | SKIPPED/NOT REQUIRED/VERIFICATION SUCCESS |
+---------------------+-------------------------------------------+

Oppdatere statusdefinisjon:

  • FULLFØRT: Denne statusen angir at den relevante komponenten var sårbar og har blitt oppdatert.
  • NOT_CONFIGURED_IN_IDPA: Denne statusen angir at den aktuelle komponenten ikke er distribuert/konfigurert.
  • HOPPET OVER/IKKE NØDVENDIG/VERIFISERING VAR VELLYKKET: Denne statusen angir at den relevante komponenten ble hoppet over fordi den ikke er sårbar for CVE-2021-44228, ELLER at CVE-2021-44228 ikke påvirker versjonen av den relevante komponenten, eller at den relevante komponenten allerede er oppdatert.

Veiledning for CVE-2021-45105

  • Verifisering når den kjøres på System Manager-komponenten i PowerProtect DP-apparatet[DPC ] viser at den er sårbar for CVE-2021-44228, men det berørte Log4j-biblioteket er ikke nevnt eller lastet inn i noen tjeneste. Derfor er dette en falsk positiv og kan trygt ignoreres.
  • Ingeniørteam jobber med å bekrefte om andre komponenter i IDPA påvirkes av CVE-2021-45105.
  • I så fall utgis utbedringstrinnene i tråd med retningslinjene for Dell Technologies Security Office.
  • For CDRA, se KB: PowerProtect DP-apparat og IDPA: Apache Log4j CVE-2021-44228

Delkomponent: Nettskybasert katastrofeoppretting

Merk: Cloud Disaster Recovery (CDR) i tilpasset verktøy for PowerProtect DP-serien/IDPA versjon 2.7.0 er sårbar overfor disse CVE-2021-44228 og CVE-2021-45046.
CDR-versjonene 19.5 og eldre (IDPA-versjon 2.6 og eldre) er ikke sårbare, og denne kunnskapsbaseartikkeldelen gjelder ikke for kunder med disse versjonene.

For CDRA – virtuell maskin på stedet

  1. Åpne SSH til CDRA VM ved hjelp av cdr-bruker

  2. Opprett cdra_log4jfix.sh i /tmp/-katalogen med følgende innhold:

    • Kjør følgende kommando for å opprette det cdra_log4jfix.sh skriptet: 
      vi /tmp/cdra_log4jfix.sh
    • Trykk på I-tasten på tastaturet for å gå inn i innsettingsmodus og kopiere innholdet som vist nedenfor.
    • Trykk på ESC og deretter :wq! for å lagre filen. 
      #! /bin/sh
cdr_backup()
{
  mkdir -p /tmp/cdr_backup
  cp /home/cdr/cdra/lib/cdra_main.jar /tmp/cdr_backup/cdra_main.jar.bak
  cp /home/cdr/cdra/resources/restore/restore_vm.jar /tmp/cdr_backup/restore_vm.jar.bak
}
update_executable()
{
  echo "Updating CDRA executable."
  sed -i 's/=CDRS/=CDRS -Dlog4j2.formatMsgNoLookups=true/g' /home/cdr/cdra/executable
}
update_restore_vm()
{
  echo "Updating restore_vm.jar."
  cd /home/cdr/cdra/resources/restore
  zip -q -d restore_vm.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
  zip -q -d restore_vm.jar shadow/org/apache/logging/log4j/core/lookup/JndiLookup.class
}
update_cdra_main()
{
  echo "Updating cdra_main.jar."
  LOG4J_JAR_FILE_LOCATION=BOOT-INF/lib/log4j-core-2.13.2.jar
  echo "Stopping CDR service."
  sudo service cdra stop
  cd /home/cdr/cdra/lib/
  mkdir -p BOOT-INF/lib
  unzip -p cdra_main.jar $LOG4J_JAR_FILE_LOCATION > $LOG4J_JAR_FILE_LOCATION
  zip -q -d $LOG4J_JAR_FILE_LOCATION org/apache/logging/log4j/core/lookup/JndiLookup.class
  zip -u -0 -n *.jar cdra_main.jar $LOG4J_JAR_FILE_LOCATION
  rm -rf BOOT-INF
  echo "Starting CDR service. This may take a few minutes."
  sudo service cdra start
  for i in {1..10}
  do
    sleep 30
    echo "Checking CDR service status..."
    RESP_CODE=$(curl -kfsL -o /dev/null -w '%{http_code}' -X GET https://localhost/rest/cdr-version -H "accept: application/json")
    if [[ "$RESP_CODE" == 200 ]]; then
      echo "CDR service started successfully."
      return 0
    fi
  done
  echo "Failed to run CDR service. Please contact Dell Support."
  exit 1
}
main()
{
   CDR_VER=$(curl -s -X GET https://localhost/rest/cdr-version -H "accept: application/json" -k)
   echo "CDR version is : $CDR_VER"
   if [[ $CDR_VER =~ 19\.[6-9] ]]; then
      cdr_backup
      update_executable
      update_restore_vm
      update_cdra_main
    else
      echo "log4j workaround is required only for CDR versions between 19.6 and 19.9."
      exit 0
    fi
    rm -rf /tmp/cdr_backup
}
main

  3. Kjør følgende kommandoer for å utføre utbedringsskriptet:

    dos2unix /tmp/cdra_log4jfix.sh
    chmod +x /tmp/cdra_log4jfix.sh
    sudo /tmp/cdra_log4jfix.sh

For CDRS – distribuert i skyen (AWS/AZURE/AWS GOV/AZURE GOV)
Åpne en serviceforespørsel med Dell Support, og se artikkelnummeret 000194520 du bruker for å ta i bruk løsningen på CDRS (Cloud Disaster Recovery).

Viktig: Noen sikkerhetsskanneverktøy når de kjøres på DPC (System Manager) og CDRA-komponenten i IDPA-verktøyet (PowerProtect DP-serien), viser at det er sårbart for CVE-2021-44228, selv etter utbedring, men det berørte Log4j-biblioteket er ikke nevnt eller lastet inn i noen tjeneste. Derfor er dette en falsk positiv.

Delkomponent: Avamar Server (beskyttelsesprogramvare) og utvidelse for databeskyttelse

  • Avamar Server (beskyttelsesprogramvare/sikkerhetskopiserver) er ikke sårbar overfor CVE-2021-44228 eller CVE-2021-45046. Disse sikkerhetsproblemene er spesifikke for JNDI-oppslagsklassenDenne hyperkoblingen tar deg til et nettsted utenfor Dell Technologies. som bare finnes i log4j-core jar-filen. Avamar Server installerer ikke jar-filen med jog4j-kjerne. Oppgradering til IDPA (PowerProtect DP Series Appliance) versjon 2.7.1 kan utføres hvis kunder fortsatt ønsker å oppdatere log4j-versjonen til 2.16. Denne oppdateringen kan forhindre falske positive varsler fra sikkerhetsskanneverktøy.
  • Cloud Director Data Protection Extension (hvis konfigurert) er fortsatt sårbar, og de midlertidige løsningstrinnene som nevnes i KB 194480 , kan brukes på Data Protection Extension-komponenter som er eldre enn versjon 19.4.
  • For 19.4 vCloud Director Data Protection Extension anbefaler vi at du bruker 19.4.0.214_HF.5-hurtigreparasjonen som beskrevet i delen Utbedring. Du finner informasjon om oppdateringen på KB 194480.

Hvis du implementerer de midlertidige løsningstrinnene som er beskrevet i denne delen, og deretter oppgraderer databeskyttelsesutvidelsen til en ikke-utbedret versjon, må du implementere de midlertidige trinnene på nytt.

 

Affected Products

PowerProtect DP4400, PowerProtect DP5300, PowerProtect DP5800, PowerProtect DP8300, PowerProtect DP8800, PowerProtect Data Protection Software, Integrated Data Protection Appliance Family, Integrated Data Protection Appliance Software , PowerProtect DP5900, PowerProtect DP8400, PowerProtect DP8900 ...
Article Properties
Article Number: 000194520
Article Type: How To
Last Modified: 09 Jul 2025
Version:  40
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.