VxRail: VxRail Manager arbeider rundt for å løse sikkerhetsproblem med Apache Log4Shell (CVE-2021-44228, CVE-2021-45046 og CVE-2021-4104)
Summary:
Denne artikkelen beskriver et skript som kan kjøres på VxRail Manager for å utbedre sikkerhetsproblemene i Apache Log4Shell som er beskrevet i CVE-2021-44228, CVE-2021-45046 og
CVE-2021-4104 (Dell-artikkel DSN-2021-007, VMware-artikkel VMSA-2021-0028).
...
Please select a product to check article relevancy
This article applies to This article does not apply to
Apache Software Foundation har publisert informasjon om et kritisk sikkerhetsproblem med kjøring av apache Log4j-bibliotek som er kjent som Log4Shell i henhold til GitHub Advisory Database (også beskrevet i CVE-2021-44228, CVE-2021-45046 og CVE-2021-4104). VxRail Manager er utsatt for problemet som er beskrevet i sikkerhetsproblemet.
Merk: Ytterligere to CVE-er, CVE-2021-45046 og CVE-2021-4104, rapporteres som indikerer at den opprinnelige anbefalingen om å løse problemet som er beskrevet i CVE-2021-44228 (Log4j 2.x), ikke er en komplett løsning.
Hvis du vil ha mer informasjon om disse CVE-ene, kan du se følgende artikler:
Merk: Skriptet i denne artikkelen er oppdatert til versjon 1.1.2 som inkluderer utbedringer som er anbefalt for alle tre CVE-er, CVE-2021-44228, CVE-2021-45046 og CVE-2021-4104.
Det ble oppdaget et ekstra problem i det forrige skriptet, noe som kan føre til at en berørt fil blir gjenopprettet på VxRail Manager fra et systemarkiv. Dette problemet er også løst i denne utgivelsen.
Hvis du brukte tidligere skript som ble levert med denne artikkelen, laster du ned det nyeste skriptet (1.1.2) og kjører det på VxRail Manager for å sikre at du har den fullstendige løsningen.
Krav og omfang
Dette omfanget av hva som dekkes av utbedringstrinnene i denne artikkelen, er:
Denne artikkelen gjelder for VxRail Manager i VxRail 4.5.x-, 4.7.x- og 7.0.x-utgivelser sammen med VxRail Manager i VCF 3.x- og 4.x-utgivelser.
Trinnene for skript og utbedring ga utbedring av sikkerhetsproblemet kun i VxRail Manager Appliance VM.
Andre komponenter utenfor VxRail Manager, for eksempel vCenter Server Appliance (vCSA), NSX og så videre, må begrenses separat, og er ikke i dette skriptet.
Skriptet utbedrer heller ikke noen applikasjoner eller tjenester som kjører inne i VM-er, noe som kan være utsatt for sikkerhetsproblemet. Dell EMC anbefaler at alle kunder sjekker med sine applikasjoner eller programvareleverandører for tjenester som kjører i VIRTUELLE-er, for å sikre at de ikke blir påvirket.
Koblinger til berørte VMware-produkter og potensielle midlertidige løsninger er beskrevet i følgende VMware VMSA-artikkel:
Vedlagt i denne artikkelen er file fixlog4j-CVE-2021-44228-CVE-2021-45046-v-1-1-2.zip som inneholder skriptet kun for VxRail Manager.
VxRail-utgivelser med løsning er inkludert
Dette problemet er løst i følgende VxRail-programvareversjoner:
Programvare for VxRail-pakke 7.0.320
VxRail Appliance-programvare 4.7.541
VxRail Appliance-programvare 4.5.471
Det anbefales å oppgradere til en VxRail-programvareversjon som inkluderer reparasjonen. Skriptet anbefales for kunder som ikke kan oppgradere umiddelbart.
Merk: Hvis VxRail 7.0.xxx-klyngen administreres av en kundeadministrert vCenter, kan du se følgende artikkel for ytterligere hensyn som kan gjelde:
Last ned fixlog4j-CVE-2021-44228-CVE-2021-45046-v-1-1-2.zip-filen som er vedlagt i denne artikkelen.
Last opp .zip-filen til VxRail Manager ved hjelp av mystic user over SCP (WinSCP er et eksempel på en SCP-klient som kan brukes).
Logg på VxRail Manager VM-konsollen eller SSH ved hjelp av mystic-brukeren.
Endre katalogen til der du lastet opp ZIP-filen, og pakk den ut ved hjelp av utpakkingskommandoen: mystic@vxrm:~> pakke ut fixlog4j-CVE-2021-44228-CVE-2021-45046-v-1-1-2.zip-arkiv : fixlog4j-CVE-2021-44228-CVE-2021-45046-v-1-1-2.zip-ing : fixlog4j-CVE-2021-44228-CVE-2021-45046.sh
Gjør skriptet kjørbart ved hjelp av chmod-kommandoen : mystic@vxrm:~> chmod +x fixlog4j-CVE-2021-44228-CVE-2021-45046.sh
Logg på som VxRail Manager-rotbruker ved hjelp av su-kommandoen : mystic@vxrm:~> su – passord:
Kontroller at du er i samme katalog der du pakket ut skriptpakken: vxrm:~ # cd /home/mystic vxrm:/home/mystic #
Eksempel på skriptutdata: Stopp PST og service før oppdatering av systemet
/mystic/connectors/eservice/lib/log4j-core-2.13.0.jar påvirkes av CVE-2021-44228 og CVE-2021-45046, må bruke patching /mystic/connectors/eservice/lib/log4j-core-2.0 13.0.jar vellykket patched /mystic/connectors/eservice/lib/log4j-core-2.13.0.jar
/mystic/connectors/cluster/lib/log4j-core-2.13.0.jar påvirkes av CVE-2021-44228 og CVE-2021-45046, må bruke korrigeringsfilen patching /mystic/connectors/cluster/lib/log4j-core-2.13.0.jar successfully patched /mystic/connectors/cluster/lib/log4j-core-2.13.0.jar
For å sikre at det ikke blir lastet inn på nytt, vi må også pakke .war-filen. Ser også ut som /usr/lib/vmware-rothing/webapps/ROOT.war inneholder det ugyldige log4j-core-biblioteket WEB-INF/lib/log4j-core-2.13.0.jar Archive: /usr/lib/vmware-watred/watd/webapps/ROOT.war følgende: OPPDATERING AV WEB-INF/lib/log4j-core-2.13.0.jar Patching WEB-INF/lib/log4j-core-2.13.0.jar i /usr/lib/vmware-pst/pstd/webapps/ROOT.war Repack /usr/lib/vmware-dll/patchd/webapps/ROOT.war-oppdatering : WEB-INF/lib/log4j-core-2.13.0.jar (pstd 11 %) Rengjør ROOT-mappen ...
Bruk alltid en omstart av ANDROID, og runmbes-tjenestene starter OMSTART AV ENSTSCRS FORDRCDRDCDDD PÅ nytt når runskytten startes på nytt.
Merk: Det kan ta alt fra 5–10 minutter før alle filene blir utbedret og at VxRail Manager-tjenestene starter.
Vent i minst ti minutter hvis du planlegger å utføre noen av de manuelle valideringstrinnene nedenfor.
Det finnes flere forskjellige versjoner av lib4j-core-biblioteket, avhengig av utgivelsen av VxRail Manager.
Skriptet er utformet for å utbedre VxRail Manager på riktig måte, uavhengig av hvilken versjon av lib4j-core som er inkludert i den versjonen av VxRail Manager.
Utdataene ovenfor fra kjøring av skriptet kan vise at ulike filer oppdateres, avhengig av hvilken versjon av lib4j-core som er inkludert.
Merk: Hvis du utfører en VxRail-oppgradering til en annen versjon av VxRail som ikke inneholder en løsning, må dette skriptet kjøres en gang til for å kunne bruke utbedringen på nytt.
MERK: Den fullstendige løsningen for VxRail krever både vCenter Server Appliance (vCSA)-løsningen fra VMware, og utbedringen på VxRail Manager som utføres av dette skriptet for å bli implementert.
For å løse problemet fjerner skriptet JndiLookup.class-filen fra lib4j-core-* jar-filene.
En skankefil er et Java-emballasjeformat for å inkludere flere klasse-, metadata- og andre Java-programmer i én enkelt fil. Den ligner på en ZIP-fil og er basert på ZIP-formatet. Skriptkjøringen validerer at hver skankefil er oppdatert.
Hvis du vil utføre en manuell validering av at skriptet har fungert, kan du kontrollere om log4j-core-* jar-filene som finnes på VxRail Manager, fortsatt inneholder den berørte JndiLookup.class-filen . Hvis det fungerte, skal du ikke se noen utdata til kommandoene nedenfor som bekrefter at den berørte JndiLookup.class-filen ikke lenger finnes i filen med glasset.
Validering med automatisert kommando
Følgende kommando kan kjøres på VxRail Manager for å skanne etter alle log4j-core-xxxx.jar-filer som finnes på VxRail Manager, og kontrollere om de inneholder den berørte JndiLookup.class-filen:
vxrm:/home/mystic # for myfile i "find /-name log4j-core*jar -print |grep -v log4jbak"; do echo $myfile; unzip -l $myfile | grep JndiLookup.class; doneSample
eksemplet ovenfor er JndiLookup.class-filen som ikke finnes i jar, og dermed fungerte skriptet, og verifiseringen er vellykket.
Nedenfor finner du eksempler på utdata fra et berørt system som må oppdateres:/mystic/connectors/eservice/lib/log4j-core-2.13.3.jar 2892 2020-05-10 12:08 org/apache/logging/log4j/core/lookup/JndiLookup.class /mystic/connectors/cluster/lib/log4j-core-2.13.3.jar 2892 2020-05-10 12:08 org/apache/logging/log4j/core/lookup/JndiLookup.class /usr/lib/vmware-apache/apached/webapps/ROOT/WEB-INF/lib/
log4j-core-2.13.3.jar 2892 2020-05-10 12:08 org/apache/logging/log4j/core/lookup/JndiLookup.classI
eksemplet ovenfor finnes den berørte JndiLookup.class-filen i log4j-core-2.13.3.jar-filen.
Validering med manuell kontroll av hver fil
Hvis du raskt vil identifisere log4j-core-xxxx.jar-filer som finnes på VxRail Manager, kjør følgende kommando (dette formaterer også utdataene til en brukbar kommando):
vxrm:/home/mystic # find/ -name log4j-core*jar -print |grep -v log4jbak | awk '{print("unzip -l" $1 "|grep JndiLookup.class")}'
Eksempel på utdata:
unzip -l /mystic/connectors/eservice/lib/log4j-core-2.13.0.jar|grep JndiLookup.class unzip -l /mystic/connectors/cluster/lib/log4j-core-2.13.0.jar|grep JndiLookup.classunzip -l /usr/lib/vmware-rothub/dlld/webapps/ROOT/WEB-INF/lib/log4j-core-2.13.0.jar|grep JndiLookup.classFrom
eksempelutdataene ovenfor, Kjør hver kommando manuelt for å se om de oppdager den berørte JndiLookup.class-filen:
vxrm:/home/mystic # unzip -l /mystic/connectors/eservice/lib/log4j-core-2.13.0.jar|grep JndiLookup.classvxrm :/home/mystic #
I eksemplet ovenfor finnes ikke JndiLookup.class-filen i jar, dermed fungerte skriptet, og verifiseringen er vellykket.
Merk: Filnavnene på skanken fra eksempelutdataene ovenfor kan variere avhengig av hvilken VxRail Manager-versjon du har. Bruk eksempelutdataene du mottar fra søkekommandoen ovenfor.
Et eksempel på utdataene for en skankefil som fortsatt er berørt og inneholder den berørte JndiLookup.class-filen :
eksemplet ovenfor finnes den berørte JndiLookup.class-filen i log4j-core-2.4.1.jar jar-filen.
MERK: En annen påminnelse om at fullstendige løsninger for VxRail krever både vCenter Server Appliance -løsningen (vCSA) fra VMware, og utbedringen på VxRail Manager utført av dette skriptet for å bli implementert.