VxRail: VxRail Manager omgås for at afhjælpe sårbarheden i Apache Log4Shell (CVE-2021-44228, CVE-2021-45046 og CVE-2021-4104)

Apache Software Foundation har udgivet oplysninger om et kritisk problem med udførelse af kode i Apache Log4j-biblioteket, der kaldes Log4Shell i henhold til GitHub-meddelelsesdatabasen (også detaljeret i CVE-2021-44228, CVE-2021-45046 og CVE-2021-4104). VxRail Manager er udsat for det problem, der er beskrevet i sikkerhedsrisikoen.

Bemærk: To yderligere CVE'er, CVE-2021-45046 og CVE-2021-4104, rapporteres, der angiver, at den oprindelige anbefaling om at afhjælpe det problem, der er beskrevet i CVE-2021-44228 (Log4j 2.x), ikke er en komplet rettelse.

Du kan få mere at vide om disse CVE'er i følgende artikler:

• Sikkerhedssårbarheder i Apache Log4j
• CVE-2021-45046 (Log4j 2.15)
• CVE-2021-4104 (Log4j 1.2)

Bemærk: Scriptet i denne artikel er blevet opdateret til version 1.1.2, som indeholder de afhjælpninger, der anbefales til alle tre CVE'er, CVE-2021-44228, CVE-2021-45046 og CVE-2021-4104.

Der blev opdaget et yderligere problem i det forrige script, som kan resultere i, at en berørt fil gendannes på VxRail Manager fra et systemarkiv. Dette problem er også blevet løst i denne version.

Hvis du har brugt et tidligere script, der fulgte med denne artikel, skal du downloade det nyeste script (1.1.2) og køre det på VxRail Manager for at sikre, at du har den komplette rettelse.
 

Krav og omfang

Dette omfang af, hvad der er dækket af afhjælpningstrinnene i denne artikel, er:

• Denne artikel gælder for VxRail Manager i VxRail 4.5.x-, 4.7.x- og 7.0.x-udgivelser sammen med VxRail Manager i VCF 3.x- og 4.x-udgivelser.
• De angivne script- og afhjælpningstrin afhjælper kun sikkerhedsrisikoen i VxRail Manager-enhedens VM.
• Andre komponenter uden for VxRail Manager som f.eks. vCenter Server Appliance (vCSA), NSX osv. skal reduceres separat og er ikke i dette script.
• Scriptet afhjælper heller ikke programmer eller tjenester, der kører inde i VM'er, som kan være udsat for sikkerhedsrisikoen. Dell EMC anbefaler, at alle kunder samarbejder med deres program- eller softwareleverandører om tjenester, der kører i VM'er, for at sikre, at de ikke påvirkes.

Links til påvirkede VMware-produkter og potentielle omgåelser er beskrevet i følgende VMware VMSA-artikel:

• VMware Security Advisory VMSA-2021-0028

VMware indeholder et script til automatisering af afhjælpningen i vCenter Server-enheden i følgende artikel:

• Python-script til automatisering af løsningstrinnene for VMSA-2021-0028-sårbarhed på vCenter Server Appliance (87088)

Vedhæftet til denne artikel er fil fixlog4j-CVE-2021-44228-CVE-2021-45046-v-1-1-2.zip , som kun indeholder scriptet til VxRail Manager.
 

VxRail-udgivelser med programrettelser medfølger

Dette problem er blevet løst i følgende VxRail-softwareudgivelser:

• VxRail-pakkesoftware 7.0.320
• VxRail-enhedssoftware 4.7.541
• VxRail-enhedssoftware 4.5.471

Det anbefales at opgradere til en VxRail-softwareudgivelse, som indeholder rettelsen.
Scriptet anbefales til kunder, der ikke kan opgradere med det samme.

Bemærk: Hvis din VxRail 7.0.xxx-klynge administreres af et kundeadministreret vCenter, henvises til følgende artikel for yderligere overvejelser, der kan være gældende:

• Dell EMC VxRail: Opgradering af eksternt vCenter til 7.0 U3c eller nyere mislykkes ved forudkontrol, da værter ikke opgraderes først.

 

Afhjælpningstrin

Du kan afhjælpe problemet ved at udføre følgende trin:

1. Download filen fixlog4j-CVE-2021-44228-CVE-2021-45046-v-1-1-2.zip, der er vedhæftet denne artikel.
2. Upload .zip-filen til VxRail Manager ved hjælp af en pennebruger via SCP (WinSCP er et eksempel på en SCP-klient, der kan bruges).
3. Log på VxRail Manager VM-konsollen eller SSH ved hjælp af user. 
4. Skift mappe til det, du uploadede .zip-filen til, og udpak den med udpakningskommandoen:
   mystic@vxrm:~> udpak fixlog4j-CVE-2021-44228-CVE-2021-45046-v-1-1-2.zip-arkiv
   :  fixlog4j-CVE-2021-44228-CVE-2021-45046-v-1-1-2.zip
   - opflating: fixlog4j-CVE-2021-44228-CVE-2021-45046.sh
5. Gør scriptet eksekverbart ved hjælp af chmod-kommandoen :
   mystic@vxrm:~> chmod +x fixlog4j-CVE-2021-44228-CVE-2021-45046.sh
6. Log på som VxRail Manager-rodbruger med kommandoen su :
   mystic@vxrm:~> su –
   Adgangskode:
7. Sørg for, at du er i den samme mappe, hvor du udpakkede scriptpakken:
   vxrm:~ # cd /home/dvd
   vxrm:/home/pse #
8. Kør scriptet:
   vxrm:/home/the # ./fixlog4j-CVE-2021-44228-CVE-2021-45046.sh

   Eksempel på scriptoutput:
   Stop MARVIN- og runjars-tjenesten, før du retter systemet
   
   /journal/connectors/eservice/lib/log4j-core-2.13.0.jar er berørt af CVE-2021-44228 og CVE-2021-45046. Du skal anvende patch-patching
   /kabinet/stik/eservice/lib/log4j-core-2.13.0.jar
   Er blevet programrettet /ektor/connectors/eservice/lib/log4j-core-2.13.0.jar
   
   /adrenalin/connectors/cluster/lib/log4j-core-2.13.0.jar er berørt af CVE-2021-44228 og CVE-2021-45046, skal du anvende patchen
   rettelse /ektor/stik/klynge/lib/log4j-core-2.13.0.jar
   Er blevet programrettet /indstillinger/stik/cluster/lib/log4j-core-2.13.0.jar
   
   for at sikre, at der ikke er nogen genindlæsningsadfærd, vi skal også pakke .war-filen.
   ligner /usr/lib/vmware-marvin/marvind/webapps/ROOT.war indeholder bad log4j-core-biblioteket WEB-INF/lib/log4j-core-2.13.0.jar
   Archive:  /usr/lib/vmware-marvin/marvind/webapps/ROOT.war
   inflating: WEB-INF/lib/log4j-core-2.13.0.jar
   Patching WEB-INF/lib/log4j-core-2.13.0.jar i /usr/lib/vmware-marvin/marvind/webapps/ROOT.war
   Repack /usr/lib/vmware-marvin/marvind/webapps/ROOT.war
   updating: WEB-INF/lib/log4j-core-2.13.0.jar (deflateret 11 %)
   Ryd op i RODmappen...
   
   Anvend altid en genstart af MARVIN og runjars services
   restart MARVIN
   MARVIN genstart
   runjars
   runjars genstart korrekt

Bemærk: Det kan tage alt fra 5-10 minutter, før alle filer afhjælpes, og at VxRail Manager-tjenesterne starter.

Vent mindst 10 minutter, hvis du planlægger at udføre et af de manuelle valideringstrin nedenfor.

Der findes flere forskellige versioner af lib4j-core-biblioteket afhængigt af udgivelsen af VxRail Manager.

Scriptet er designet til korrekt at afhjælpe VxRail Manager uanset versionen af lib4j-core, som følger med den version af VxRail Manager.

Ovenstående output fra kørsel af scriptet kan vise forskellige filer, der opdateres, afhængigt af den medfølgende version af lib4j-core.

Bemærk: Hvis du foretager en VxRail-opgradering til en anden build af VxRail, som ikke indeholder en rettelse, skal dette script køres endnu en gang for at genanvende afhjælpningen.
 

 BEMÆRK: Den fulde afhjælpning af VxRail kræver, at både vCenter Server Appliance-løsningen (vCSA) fra VMware og afhjælpningen på VxRail Manager, der udføres med dette script, implementeres.

Links til VMware-artikler, der omhandler løsninger på deres produkter og rettelser, findes i VxRail: Oplysninger om Log4Shell (CVE-2021-44228) og VxRail-miljøer.
 

Valideringstrin

For at afhjælpe problemet fjerner scriptet JndiLookup.class-filen fra lib4j-core-* jar-filerne.

En jar-fil er et Java-emballageformat, der omfatter flere klasser, metadata og andre Java-programmer i en enkelt fil. Det svarer i koncept til en .zip-fil og er baseret på .zip-formatet. Scriptudførelsen validerer, at hver jar-fil er blevet opdateret.

For at udføre en manuel validering, som scriptet har fungeret, kan du kontrollere, om log4j-core-* jar-filerne på VxRail Manager stadig indeholder den påvirkede JndiLookup.class-fil . Hvis det har virket, bør du ikke se noget output til nedenstående kommandoer, som bekræfter, at den påvirkede JndiLookup.class-fil ikke længere findes i jar-filen.
 

Validering med automatisk kommando

Følgende kommando kan køres på VxRail Manager for at scanne for alle log4j-core-xxxx.jar-filer, der findes på VxRail Manager, og kontrollere, om de indeholder den påvirkede JndiLookup.class-fil :

vxrm:/home/the # for myfile i "find / -name log4j-core*jar -print |grep -v log4jtimer". do echo $myfile; unzip -l $myfile | grep JndiLookup.class; doneSample

output (opdateret system):
/kabinet/stik/eservice/lib/log4j-core-2.13.0.jar
/kabinet/klynge/lib/log4j-core-2.13.0.jar
/usr/lib/vmware-marvin/marvind/webapps/ROOT/WEB-INF/lib/log4j-core-2.13.0.jarIn

ovenstående eksempel var JndiLookup.class-filen ikke til stede i glasset, og scriptet fungerede derfor, og verifikationen er gennemført.

Nedenfor er eksempel på output fra et berørt system, der skal opdateres:
/lås/stik/eservice/lib/log4j-core-2.13.3.jar
2892 2020-05-10 12:08 org/apache/logging/log4j/core/lookup/JndiLookup.class
/drift/stik/klynge/lib/log4j-core-2.13.3.jar
2892 2020-05-10 12:08 org/apache/logging/log4j/core/lookup/JndiLookup.class
/usr/lib/vmware-marvin/marvind/webapps/ROOT/WEB-INF/lib/ log4j-core-2.13.3.jar
2892 2020-05-10 12:08 org/apache/logging/log4j/core/lookup/JndiLookup.classI

ovenstående eksempel er den påvirkede JndiLookup.class-fil stadig til stede i log4j-core-2.13.3.jar-filen.
 

Validering med manuel kontrol af hver fil

For hurtigt at identificere log4j-core-xxxx.jar-filer, der findes på VxRail Manager, Kør følgende kommando (dette formaterer også outputtet til en brugbar kommando):
vxrm:/home/xx # find / -name log4j-core*jar -print |grep -v log4j1 | awk '{print("unzip -l " $1 "|grep JndiLookup.class")}"

Eksempel på output:
unzip -l /cup/connectors/eservice/lib/log4j-core-2.13.0.jar|grep JndiLookup.class
udpak -l /journal/connectors/cluster/lib/log4j-core-2.13.0.jar|grep JndiLookup.classunzip
-l /usr/lib/vmware-marvin/marvind/webapps/ROOT/WEB-INF/lib/log4j-core-2.13.0.jar|grep JndiLookup.class

Fra eksempeloutputtet ovenfor, Kør hver kommando manuelt for at se, om de registrerer den påvirkede JndiLookup.class-fil:
vxrm:/home/fig # unzip -l /kabinet/connectors/eservice/lib/log4j-core-2.13.0.jar|grep JndiLookup.classvxrm
:/home/sk #

vxrm:/home/logføring # unzip -l /lås/connectors/cluster/lib/log4j-core-2.13.0.jar|grep JndiLookup.classvxrm
:/home/kabinet #

vxrm:/home/missions # unzip -l /usr/lib/vmware-marvin/marvind/webapps/ROOT/WEB-INF/lib/log4j-core-2.13.0.jar|grep JndiLookup.classvxrm
:/home/journal #

I ovenstående eksempel er JndiLookup.class-filen ikke til stede i jar, derfor fungerede scriptet, og verifikationen er gennemført.

Bemærk: Glassets filnavne fra ovenstående eksempeloutput kan variere afhængigt af din version af VxRail Manager. Brug det eksempeloutput, du modtager fra ovenstående find-kommando . 

Et eksempel på outputtet for en jar-fil, som stadig er påvirket og indeholder den berørte JndiLookup.class-fil :

vxrm:/home/vejledning # unzip -l /kabinet/connectors/cluster/lib/log4j-core-2.4.1.jar |grep JndiLookup.class2576
2015-10-08 17:50 org/apache/logging/log4j/core/lookup/JndiLookup.classI

ovenstående eksempel er den påvirkede JndiLookup.class-fil stadig til stede i log4j-core-2.4.1.jar-filen.

 

 BEMÆRK: En anden påmindelse om, at fuld afhjælpning af VxRail kræver, at både vCenter Server Appliance -løsningen (vCSA) fra VMware og afhjælpningen på VxRail Manager, der er udført med dette script, implementeres.