Data Protection Advisor: Manuel afhjælpning af Sårbarheder i Apache Log4j i Windows PowerShell-script (CVE-2021-44228, CVE-2021-45046)

Denne afhjælpning indebærer brug af et Windows PowerShell-script, som anvender indbyggede Windows scripting-kommandoer.

Disse instruktioner kan anvendes på enhver type Windows DPA-installation, herunder DPA-programmet, DPA-datalageret og standalone DPA Agent (installeret alene på en server eller på en anden type programserver).

Se nedenstående Dell-sikkerhedsmeddelelse for at få flere oplysninger om Apache Log4j-sårbarheder:

• DSA-2021-309: Dell Technologies Data Protection Advisor (DPA) sikkerhedsopdatering til Apache Log4j sikkerhedsrisiko ved fjernudførelse af kode (CVE-2021-44228 og CVE-2021-45046)

Hvis du har spørgsmål eller har brug for hjælp til disse instruktioner, skal du kontakte Dells tekniske support.

Trin til manuel afhjælpning:

Bemærk:

• Disse instruktioner kræver, at Windows-installationen har PowerShell installeret, og at den er tilgængelig (standard).
• Der kræves Windows-administratorrettigheder og -adgang.

1. Download den tekstfil, der er vedhæftet til denne KB-artikel log4j_jndiremoval.txt.

Bemærk: Alternativt leveres hele teksten i filen log4j_jndiremoval.txt i slutningen af denne vejledning, som kan kopieres og indsættes i en tekstfil.

2. Kopier eller flyt tekstfilen til den berørte Windows-node.
3. Omdøb tekstfilen, og skift filtypenavnet fra .txt til .ps1. Bemærk: Du skal muligvis gå til mappeindstillingerne i Windows Stifinder, Få vist og markere afkrydsningsfeltet for at få vist "filtypenavne", før du omdøber filen.
4. Åbn et Windows PowerShell-vindue. I menuen skal du klikke på Søg og skrive i PowerShell. "Windows PowerShell" bør blive vist. Højreklik på Windows PowerShell, og vælg "Kør som administrator".

5. Stop DPA Agent-tjenesten. Gør dette ved hjælp af Windows Services-snap-in eller fra kommandolinjen ved hjælp af Windows PowerShell.

Hvis dette er en agentinstallation på DPA-programmet eller DPA-datalageret i Windows PowerShell-vinduet, er kommandoen:

dpa-agent stop

Hvis dette er en enkeltstående DPA-agentinstallation i Windows PowerShell-vinduet, er kommandoen:

\dpa stop

Eksempel:   
C:\Program Files\EMC\DPA\agent\etc\dpa stop

6. I Windows PowerShell-vinduet skal du ændre mapper til mappen med scriptfilen.

7. Kør scriptet i PowerShell-vinduet ved hjælp af kontrolindstillingen, som scanner for og verificerer de berørte filer. Kommandoen er:    

8. Når du trykker på Enter, kører scriptet og beder derefter om stien til DPA-installationen. Angiv den fulde sti til DPA-installationen.

9. Efter tryk på Enter kører scriptet og identificerer eventuelle sårbare filer.

10. Kør scriptet igen i PowerShell-vinduet med udeladelsen Verify (Bekræft). I denne tilstand scanner scriptet efter og retter alle de filer, der påvirkes. Kommandoen er:   

Bemærk: DPA-installationsstien skal indtastes igen.

11. Efter tryk på Enter scanner scriptet efter og retter alle sårbare filer, der findes.

12. På dette tidspunkt er afhjælpningen fuldført.
13. Som et valgfrit trin skal du kontrollere ved at køre scriptet igen. Kør scriptet i PowerShell-vinduet ved hjælp af indstillingen Bekræft, som scanner for og verificerer de berørte filer. Kommandoen er:

14. Start DPA Agent-tjenesten. Dette kan gøres ved hjælp af Windows Services-snap-in eller fra kommandolinjen ved hjælp af Windows PowerShell.

Hvis dette er en agentinstallation på DPA-programmet eller DPA-datalageret i Windows PowerShell-vinduet, er kommandoen:

dpa-agent starter

Hvis dette er en enkeltstående DPA-agentinstallation i Windows PowerShell-vinduet, er kommandoen:

\dpa start

Eksempel:   
C:\Program Files\EMC\DPA\agent\etc\dpa start

Tillæg:
Nedenfor er den komplette tekst til PowerShell-scriptet. Hvis filen, der er vedhæftet til denne KB, ikke kan åbnes, kan denne tekst kopieres og indsættes i en tekstfil (.txt) til brug i ovenstående trin.

param ( [switch]$verify ) '--------------------------------------------------------------------------' '--------------------------------------------------------------------------' ' Data Protection Advisor CVE-2021-44228, CVE-2021-45046 Patcher 1.1 ' ' Developer : Pankaj Pande(p.pande@dell.com) ' ' Release : 29 Dec 2021 ' '--------------------------------------------------------------------------' 'Welcome to CVE-2021-44228, CVE-2021-45046 Patching Tool.' 'This utility will assist you in patching Data Protection Advisor for CVE-2021-44228 and CVE-2021-45046 on a Windows system.' "Special Note : The tool automates remediation steps for all internal components. Following remediation, validation checks are also run. While this tool remediates these vulnerabilities, all available information from Apache on log4j continues to be monitored. If new CVEs are discovered, Dell Technologies' Engineering teams will clarify impact and new remediation steps where necessary. If needed this tool will be updated to include the new remediation steps." '---------------------------------------------------------------------------' function List-JndiLookup { Param ( [string[]]$JarFiles, [string] $FilenameToRemove ) #initiate the .net namespace add-type -AssemblyName 'System.IO.Compression.filesystem' "The number of files to be processed is : $($JarFiles.Count)" #list the files we are processing # them later foreach ($JarFile in $JarFiles) { "$JarFile" } $processedFiles = 0; $skippedFiles = 0; foreach ($JarFile in $JarFiles) { # Open the jar for updating (.jar files are just .zip files) try { $ProcessJarFile = [io.compression.zipfile]::Open($JarFile,'Update') } catch { # Error Handling } "Checking $JarFile for $FilenameToRemove" $totalFilesInJar = ($ProcessJarFile.Entries | Where FullName -Match $FilenameToRemove).Count if($totalFilesInJar -gt 0){ $processedFiles++ } #close Zip try { $ProcessJarFile.Dispose() } catch { # Error Handling } } if ( $processedFiles -gt 0) { Write-Host "$processedFiles file(s) found vulnerable" -fore red Write-Host "Finished...Please make sure to run the patching on this sytem" -fore red } else { Write-Host "$processedFiles file(s) found vulnerable" -fore green Write-Host "Finished...No Action needed" -fore green } } function Remove-JndiLookup { Param ( [string[]]$JarFiles, [string] $FilenameToRemove ) #initiate the .net namespace add-type -AssemblyName 'System.IO.Compression.filesystem' "The number of files to be processed is : $($JarFiles.Count)" #list the files we are processing # them later foreach ($JarFile in $JarFiles) { "$JarFile" } "Starting patching/Removel Process" $processedFiles = 0; $skippedFiles = 0; foreach ($JarFile in $JarFiles) { # Open the jar for updating (.jar files are just .zip files) try { $ProcessJarFile = [io.compression.zipfile]::Open($JarFile,'Update') } catch { # Error Handling } "Checking $JarFile for $FilenameToRemove" $totalFilesInJar = ($ProcessJarFile.Entries | Where FullName -Match $FilenameToRemove).Count if($totalFilesInJar -gt 0){ "Deleting unwanted file $FilenameToRemove from $JarFile" ($ProcessJarFile.Entries | Where FullName -Match $FilenameToRemove).Delete() $processedFiles++ } else { "File $FilenameToRemove not found inside $JarFile, this may have already been deleted." $skippedFiles++ } # Clean up / close the zip try { $ProcessJarFile.Dispose() } catch { # Error Handling } } "$processedFiles file(s) processed`n$skippedFiles file(s) skipped" Write-Host "Finished..." -fore green } if ( $verify ) { Write-Host "Running in dry-run mode. Will not process any files" -fore green } else { Write-Host "Running in fix mode. Will patch files that are found affected" -fore red } $dpa_path = Read-Host "Enter the DPA location " Write-Host "Running in : '$dpa_path' " -fore green if ($verify) { List-JndiLookup -JarFiles (Get-ChildItem -Exclude 'tmp' -Recurse -Path "$dpa_path" -Filter 'dpa*.jar' | ? { $_.FullName -inotmatch 'tmp' }).FullName -FilenameToRemove 'JndiLookup.class' } else { Remove-JndiLookup -JarFiles (Get-ChildItem -Exclude 'tmp' -Recurse -Path "$dpa_path" -Filter 'dpa*.jar' | ? { $_.FullName -inotmatch 'tmp' }).FullName -FilenameToRemove 'JndiLookup.class' }

Hvis du har spørgsmål eller har brug for hjælp til disse instruktioner, skal du kontakte Dells tekniske support.