Skip to main content
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Create and access a list of your products

VxRail: VxRail Manager omgås for at afhjælpe sårbarheden i Apache Log4Shell (CVE-2021-44228, CVE-2021-45046 og CVE-2021-4104)

Summary: Denne artikel beskriver et script, der kan køres på VxRail Manager for at afhjælpe sårbarheden i Apache Log4Shell, som er beskrevet i CVE-2021-44228, CVE-2021-45046 og CVE-2021-4104 (Dell-artikel DSN-2021-007, VMware-artikel VMSA-2021-0028). ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.

Instructions

Apache Software Foundation har udgivet oplysninger om et kritisk problem med udførelse af kode i Apache Log4j-biblioteket, der kaldes Log4Shell i henhold til GitHub-meddelelsesdatabasen (også detaljeret i CVE-2021-44228, CVE-2021-45046 og CVE-2021-4104). VxRail Manager er udsat for det problem, der er beskrevet i sikkerhedsrisikoen.

Bemærk: To yderligere CVE'er, CVE-2021-45046 og CVE-2021-4104, rapporteres, der angiver, at den oprindelige anbefaling om at afhjælpe det problem, der er beskrevet i CVE-2021-44228 (Log4j 2.x), ikke er en komplet rettelse.

Du kan få mere at vide om disse CVE'er i følgende artikler:

Bemærk: Scriptet i denne artikel er blevet opdateret til version 1.1.2, som indeholder de afhjælpninger, der anbefales til alle tre CVE'er, CVE-2021-44228, CVE-2021-45046 og CVE-2021-4104.

Der blev opdaget et yderligere problem i det forrige script, som kan resultere i, at en berørt fil gendannes på VxRail Manager fra et systemarkiv. Dette problem er også blevet løst i denne version.

Hvis du har brugt et tidligere script, der fulgte med denne artikel, skal du downloade det nyeste script (1.1.2) og køre det på VxRail Manager for at sikre, at du har den komplette rettelse.

 

Krav og omfang

Dette omfang af, hvad der er dækket af afhjælpningstrinnene i denne artikel, er:

  • Denne artikel gælder for VxRail Manager i VxRail 4.5.x-, 4.7.x- og 7.0.x-udgivelser sammen med VxRail Manager i VCF 3.x- og 4.x-udgivelser.
  • De angivne script- og afhjælpningstrin afhjælper kun sikkerhedsrisikoen i VxRail Manager-enhedens VM.
  • Andre komponenter uden for VxRail Manager som f.eks. vCenter Server Appliance (vCSA), NSX osv. skal reduceres separat og er ikke i dette script.
  • Scriptet afhjælper heller ikke programmer eller tjenester, der kører inde i VM'er, som kan være udsat for sikkerhedsrisikoen. Dell EMC anbefaler, at alle kunder samarbejder med deres program- eller softwareleverandører om tjenester, der kører i VM'er, for at sikre, at de ikke påvirkes.

Links til påvirkede VMware-produkter og potentielle omgåelser er beskrevet i følgende VMware VMSA-artikel:

VMware indeholder et script til automatisering af afhjælpningen i vCenter Server-enheden i følgende artikel:

Vedhæftet til denne artikel er fil fixlog4j-CVE-2021-44228-CVE-2021-45046-v-1-1-2.zip , som kun indeholder scriptet til VxRail Manager.
 

VxRail-udgivelser med programrettelser medfølger

Dette problem er blevet løst i følgende VxRail-softwareudgivelser:

  • VxRail-pakkesoftware 7.0.320
  • VxRail-enhedssoftware 4.7.541
  • VxRail-enhedssoftware 4.5.471

Det anbefales at opgradere til en VxRail-softwareudgivelse, som indeholder rettelsen.
Scriptet anbefales til kunder, der ikke kan opgradere med det samme.

Bemærk: Hvis din VxRail 7.0.xxx-klynge administreres af et kundeadministreret vCenter, henvises til følgende artikel for yderligere overvejelser, der kan være gældende:

 

Afhjælpningstrin

Du kan afhjælpe problemet ved at udføre følgende trin:
  1. Download filen fixlog4j-CVE-2021-44228-CVE-2021-45046-v-1-1-2.zip, der er vedhæftet denne artikel.
  2. Upload .zip-filen til VxRail Manager ved hjælp af en pennebruger via SCP (WinSCP er et eksempel på en SCP-klient, der kan bruges).
  3. Log på VxRail Manager VM-konsollen eller SSH ved hjælp af user. 
  4. Skift mappe til det, du uploadede .zip-filen til, og udpak den med udpakningskommandoen:
    mystic@vxrm:~> udpak fixlog4j-CVE-2021-44228-CVE-2021-45046-v-1-1-2.zip-arkiv
    :  fixlog4j-CVE-2021-44228-CVE-2021-45046-v-1-1-2.zip
    - opflating: fixlog4j-CVE-2021-44228-CVE-2021-45046.sh
  5. Gør scriptet eksekverbart ved hjælp af chmod-kommandoen :
    mystic@vxrm:~> chmod +x fixlog4j-CVE-2021-44228-CVE-2021-45046.sh
  6. Log på som VxRail Manager-rodbruger med kommandoen su :
    mystic@vxrm:~> su –
    Adgangskode:
  7. Sørg for, at du er i den samme mappe, hvor du udpakkede scriptpakken:
    vxrm:~ # cd /home/dvd
    vxrm:/home/pse #
  8. Kør scriptet:
    vxrm:/home/the # ./fixlog4j-CVE-2021-44228-CVE-2021-45046.sh

    Eksempel på scriptoutput:
    Stop MARVIN- og runjars-tjenesten, før du retter systemet

    /journal/connectors/eservice/lib/log4j-core-2.13.0.jar er berørt af CVE-2021-44228 og CVE-2021-45046. Du skal anvende patch-patching
    /kabinet/stik/eservice/lib/log4j-core-2.13.0.jar
    Er blevet programrettet /ektor/connectors/eservice/lib/log4j-core-2.13.0.jar

    /adrenalin/connectors/cluster/lib/log4j-core-2.13.0.jar er berørt af CVE-2021-44228 og CVE-2021-45046, skal du anvende patchen
    rettelse /ektor/stik/klynge/lib/log4j-core-2.13.0.jar
    Er blevet programrettet /indstillinger/stik/cluster/lib/log4j-core-2.13.0.jar

    for at sikre, at der ikke er nogen genindlæsningsadfærd, vi skal også pakke .war-filen.
    ligner /usr/lib/vmware-marvin/marvind/webapps/ROOT.war indeholder bad log4j-core-biblioteket WEB-INF/lib/log4j-core-2.13.0.jar
    Archive:  /usr/lib/vmware-marvin/marvind/webapps/ROOT.war
    inflating: WEB-INF/lib/log4j-core-2.13.0.jar
    Patching WEB-INF/lib/log4j-core-2.13.0.jar i /usr/lib/vmware-marvin/marvind/webapps/ROOT.war
    Repack /usr/lib/vmware-marvin/marvind/webapps/ROOT.war
    updating: WEB-INF/lib/log4j-core-2.13.0.jar (deflateret 11 %)
    Ryd op i RODmappen...

    Anvend altid en genstart af MARVIN og runjars services
    restart MARVIN
    MARVIN genstart
    runjars
    runjars genstart korrekt

Bemærk: Det kan tage alt fra 5-10 minutter, før alle filer afhjælpes, og at VxRail Manager-tjenesterne starter.

Vent mindst 10 minutter, hvis du planlægger at udføre et af de manuelle valideringstrin nedenfor.

Der findes flere forskellige versioner af lib4j-core-biblioteket afhængigt af udgivelsen af VxRail Manager.

Scriptet er designet til korrekt at afhjælpe VxRail Manager uanset versionen af lib4j-core, som følger med den version af VxRail Manager.

Ovenstående output fra kørsel af scriptet kan vise forskellige filer, der opdateres, afhængigt af den medfølgende version af lib4j-core.

Bemærk: Hvis du foretager en VxRail-opgradering til en anden build af VxRail, som ikke indeholder en rettelse, skal dette script køres endnu en gang for at genanvende afhjælpningen.
 

 BEMÆRK: Den fulde afhjælpning af VxRail kræver, at både vCenter Server Appliance-løsningen (vCSA) fra VMware og afhjælpningen på VxRail Manager, der udføres med dette script, implementeres.


Links til VMware-artikler, der omhandler løsninger på deres produkter og rettelser, findes i VxRail: Oplysninger om Log4Shell (CVE-2021-44228) og VxRail-miljøer.
 

Valideringstrin

For at afhjælpe problemet fjerner scriptet JndiLookup.class-filen fra lib4j-core-* jar-filerne.

En jar-fil er et Java-emballageformat, der omfatter flere klasser, metadata og andre Java-programmer i en enkelt fil. Det svarer i koncept til en .zip-fil og er baseret på .zip-formatet. Scriptudførelsen validerer, at hver jar-fil er blevet opdateret.

For at udføre en manuel validering, som scriptet har fungeret, kan du kontrollere, om log4j-core-* jar-filerne på VxRail Manager stadig indeholder den påvirkede JndiLookup.class-fil . Hvis det har virket, bør du ikke se noget output til nedenstående kommandoer, som bekræfter, at den påvirkede JndiLookup.class-fil ikke længere findes i jar-filen.
 

Validering med automatisk kommando

Følgende kommando kan køres på VxRail Manager for at scanne for alle log4j-core-xxxx.jar-filer, der findes på VxRail Manager, og kontrollere, om de indeholder den påvirkede JndiLookup.class-fil :

vxrm:/home/the # for myfile i "find / -name log4j-core*jar -print |grep -v log4jtimer". do echo $myfile; unzip -l $myfile | grep JndiLookup.class; doneSample

output (opdateret system):
/kabinet/stik/eservice/lib/log4j-core-2.13.0.jar
/kabinet/klynge/lib/log4j-core-2.13.0.jar
/usr/lib/vmware-marvin/marvind/webapps/ROOT/WEB-INF/lib/log4j-core-2.13.0.jarIn


ovenstående eksempel var JndiLookup.class-filen ikke til stede i glasset, og scriptet fungerede derfor, og verifikationen er gennemført.

Nedenfor er eksempel på output fra et berørt system, der skal opdateres:
/lås/stik/eservice/lib/log4j-core-2.13.3.jar
2892 2020-05-10 12:08 org/apache/logging/log4j/core/lookup/
JndiLookup.class
/drift/stik/klynge/lib/log4j-core-2.13.3.jar
2892 2020-05-10 12:08 org/apache/logging/log4j/core/lookup/
JndiLookup.class
/usr/lib/vmware-marvin/marvind/webapps/ROOT/WEB-INF/lib/ log4j-core-2.13.3.jar
2892 2020-05-10 12:08 org/apache/logging/log4j/core/lookup/
JndiLookup.classI

ovenstående eksempel er den påvirkede JndiLookup.class-fil stadig til stede i log4j-core-2.13.3.jar-filen.
 

Validering med manuel kontrol af hver fil

For hurtigt at identificere log4j-core-xxxx.jar-filer, der findes på VxRail Manager, Kør følgende kommando (dette formaterer også outputtet til en brugbar kommando):
vxrm:/home/xx # find / -name log4j-core*jar -print |grep -v log4j1 | awk '{print("unzip -l " $1 "|grep JndiLookup.class")}"

Eksempel på output:
unzip -l /cup/connectors/eservice/lib/log4j-core-2.13.0.jar|grep JndiLookup.class
udpak -l /journal/connectors/cluster/lib/log4j-core-2.13.0.jar|grep JndiLookup.classunzip
-l /usr/lib/vmware-marvin/marvind/webapps/ROOT/WEB-INF/lib/log4j-core-2.13.0.jar|grep JndiLookup.class


Fra eksempeloutputtet ovenfor, Kør hver kommando manuelt for at se, om de registrerer den påvirkede JndiLookup.class-fil:
vxrm:/home/fig # unzip -l /kabinet/connectors/eservice/lib/log4j-core-2.13.0.jar|grep JndiLookup.classvxrm
:/home/sk #

vxrm:/home/logføring # unzip -l /lås/connectors/cluster/lib/log4j-core-2.13.0.jar|grep JndiLookup.classvxrm
:/home/kabinet #

vxrm:/home/missions # unzip -l /usr/lib/vmware-marvin/marvind/webapps/ROOT/WEB-INF/lib/log4j-core-2.13.0.jar|grep JndiLookup.classvxrm
:/home/journal #


I ovenstående eksempel er JndiLookup.class-filen ikke til stede i jar, derfor fungerede scriptet, og verifikationen er gennemført.

Bemærk: Glassets filnavne fra ovenstående eksempeloutput kan variere afhængigt af din version af VxRail Manager. Brug det eksempeloutput, du modtager fra ovenstående find-kommando

Et eksempel på outputtet for en jar-fil, som stadig er påvirket og indeholder den berørte JndiLookup.class-fil :

vxrm:/home/vejledning # unzip -l /kabinet/connectors/cluster/lib/log4j-core-2.4.1.jar |grep JndiLookup.class2576
2015-10-08 17:50 org/apache/logging/log4j/core/lookup/
JndiLookup.classI

ovenstående eksempel er den påvirkede JndiLookup.class-fil stadig til stede i log4j-core-2.4.1.jar-filen.

 

 BEMÆRK: En anden påmindelse om, at fuld afhjælpning af VxRail kræver, at både vCenter Server Appliance -løsningen (vCSA) fra VMware og afhjælpningen på VxRail Manager, der er udført med dette script, implementeres.

Affected Products

VxRail, VxRail Appliance Family, VxRail Appliance Series, VxRail Software
Article Properties
Article Number: 000194458
Article Type: How To
Last Modified: 30 Aug 2022
Version:  18
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.