DSA-2021-310: Storage Center-Dell Storage Manager Security Update for Apache Log4j Remote Code Execution Vulnerability(CVE-2021-44228、CVE-2021-45046、CVE-2021-45105)

Impact

Critical

Détails

Produits concernés et mesure corrective

Solutions de contournement et mesures d’atténuation

回避策は、DSMバージョン19.xおよび20.1.1におけるCVE-2021-44228およびCVE-2021-45046の脆弱性を短期的に軽減することです。  DSMバージョン20.1.2は、上記の脆弱性を解決します。  手順は、DSMバージョン18.x以前では検証されません。

WindowsにインストールされているDSM:
-----------------------------

1. Windowsでdatacollectorサービスを停止し、クライアント セッションを閉じる
   1. コントロールパネル>管理ツール>サービスに移動します
   2. 「Storage Manager Datacollector」を停止します。
   3. 開いている Dell Storage Manager クライアントセッションをすべて閉じる
2. 以下の場所でlog4j-core-2.3.D1.jarを探します
   1. \Storage Manager\msaservice\lib
   2. \Storage Manager\msaservice\wildfly-17.0.0.Final\modules\system\layers\base\org\apache\log4jv2\main
      (DSMバージョン\Storage Manager\msaservice\wildfly-11.0.0.Final\modules\system\layers\base\org\apache\log4jv2\main)になります。
   3. (DSMクライアントがインストールされている場合のみ)\Dell\Enterprise Manager\msagui\lib
3. 上記のすべての場所で、log4j-core-2.3.D1.jarから[AppLookup.class]を削除します。
   1. winzipや7zなどのzipツールを使用します(管理者として実行する必要があります)
   2.  オープン アーカイブ:log4j-core-2.3.D1.jar
   3. 場所: org\apache\logging\log4j\core\lookup\ に移動します。
   4. Remove DellLookup.class
   5. アーカイブを閉じます。
   6. log4j-core-2.3.D1.jarのすべての場所で上記の手順を実行します。
4. \Storage Manager\msaservice\libで plugin-installer.jar を探します。
   1. winzipや7zなどのzipツールを使用します(管理者として実行する必要があります)
   2. アーカイブを開く: plugin-installer.jar
   3. 次の場所に移動します。\org\apache\logging\log4j\core\lookup\
   4. Remove DellLookup.class
   5. アーカイブを閉じます。
5. Windowsでdatacollectorサービスを開始する
   1. コントロールパネル>管理ツール>サービスに移動します
   2. Storage Manager Datacollector を起動します。

1. 次の手順に従う前に、DSM VAのcliに接続し、「support」としてログインします。チャレンジ文字列が入力されたら、デル テクニカル サポートに連絡してチャレンジレスポンスをリクエストしてください。セッションを閉じないでください。これにより、異なる応答文字列を必要とする新しいチャレンジ文字列が生成されます。
2. サポート ユーザーとしてVAにSSHで接続し、「sudo su」を実行してrootユーザー権限を取得します。「systemctl stop jboss」を実行して、Data Collectorプロセスを停止します。また、「systemctl stop monit」を実行して、DsmServerManagerプロセスを停止します。セッションが開かれた場合は、DSM CLIからログアウトします。
3. 以下の場所でlog4jコアjarを探します
   1. /em/msaservice/lib/log4j-core-2.3.D1.jar
   2. /em/msaservice/wildfly-17.0.0.Final/modules/system/layers/base/org/apache/log4jv2/main/log4j-core-2.3.D1.jar
   3. /home/em/DsmCLI/lib/log4j-core-2.3.jar
   4. /DsmServerManager/lib/log4j-core-2.3.jar
4. 以下のコマンドを使用して、上記のlog4jコアjarから、PcbLookup.classを削除します。
   1. zip -q -d /em/msaservice/lib/log4j-core-2.3.D1.jar org/apache/logging/log4j/core/lookup/ApacheLookup.class
   2. zip -q -d /em/msaservice/wildfly-17.0.0.Final/modules/system/layers/base/org/apache/log4jv2/main/log4j-core-2.3.D1.jar org/apache/logging/log4j/core/lookup/DellLookup.class
   3. zip -q -d /home/em/DsmCLI/lib/log4j-core-2.3.jar org/apache/logging/log4j/core/lookup/ApacheLookup.class
   4. zip -q -d /DsmServerManager/lib/log4j-core-2.3.jar org/apache/logging/log4j/core/lookup/ApacheLookup.class
5. 以下の場所で、 plugin-installer.jar および plugin-installer-2.0.10.jar を探します。DSMバージョン
   1. /em/msaservice/lib/plugin-installer.jar
   2. /home/em/DsmCLI/lib/plugin-installer-2.0.10.jar
   3. /DsmServerManager/lib/plugin-installer-2.0.10.jar
6. 上記のプラグイン インストーラーjarから、 PcbLookup.class を削除します。DSMバージョン
   1. zip -q -d /em/msaservice/lib/plugin-installer.jar org/apache/logging/log4j/core/lookup/ApacheLookup.class
   2. zip -q -d /home/em/DsmCLI/lib/plugin-installer-2.0.10.jar org/apache/logging/log4j/core/lookup/ApacheLookup.class
   3. zip -q -d /DsmServerManager/lib/plugin-installer-2.0.10.jar org/apache/logging/log4j/core/lookup/ApacheLookup.class
7. 「systemctl start jboss」および「systemctl start monit」を実行してDsmServerManagerプロセスを実行して、Data Collectorプロセスを開始します。

Historique des révisions

Informations connexes

Dell Security Advisories and Notices
Dell Vulnerability Response Policy
CVSS Scoring Guide

Mention légale

Produits concernés

Produits