VxRail: VxRail Manager omgås for at afhjælpe sårbarheden i Apache Log4Shell (CVE-2021-44228, CVE-2021-45046 og CVE-2021-4104)
Summary:
Denne artikel beskriver et script, der kan køres på VxRail Manager for at afhjælpe sårbarheden i Apache Log4Shell, som er beskrevet i CVE-2021-44228, CVE-2021-45046 og CVE-2021-4104
(Dell-artikel DSN-2021-007, VMware-artikel VMSA-2021-0028).
...
Please select a product to check article relevancy
This article applies to This article does not apply toThis article is not tied to any specific product.Not all product versions are identified in this article.
Apache Software Foundation har udgivet oplysninger om et kritisk problem med udførelse af kode i Apache Log4j-biblioteket, der kaldes Log4Shell i henhold til GitHub-meddelelsesdatabasen (også detaljeret i CVE-2021-44228, CVE-2021-45046 og CVE-2021-4104). VxRail Manager er udsat for det problem, der er beskrevet i sikkerhedsrisikoen.
Bemærk: To yderligere CVE'er, CVE-2021-45046 og CVE-2021-4104, rapporteres, der angiver, at den oprindelige anbefaling om at afhjælpe det problem, der er beskrevet i CVE-2021-44228 (Log4j 2.x), ikke er en komplet rettelse.
Du kan få mere at vide om disse CVE'er i følgende artikler:
Bemærk: Scriptet i denne artikel er blevet opdateret til version 1.1.2, som indeholder de afhjælpninger, der anbefales til alle tre CVE'er, CVE-2021-44228, CVE-2021-45046 og CVE-2021-4104.
Der blev opdaget et yderligere problem i det forrige script, som kan resultere i, at en berørt fil gendannes på VxRail Manager fra et systemarkiv. Dette problem er også blevet løst i denne version.
Hvis du har brugt et tidligere script, der fulgte med denne artikel, skal du downloade det nyeste script (1.1.2) og køre det på VxRail Manager for at sikre, at du har den komplette rettelse.
Krav og omfang
Dette omfang af, hvad der er dækket af afhjælpningstrinnene i denne artikel, er:
Denne artikel gælder for VxRail Manager i VxRail 4.5.x-, 4.7.x- og 7.0.x-udgivelser sammen med VxRail Manager i VCF 3.x- og 4.x-udgivelser.
De angivne script- og afhjælpningstrin afhjælper kun sikkerhedsrisikoen i VxRail Manager-enhedens VM.
Andre komponenter uden for VxRail Manager som f.eks. vCenter Server Appliance (vCSA), NSX osv. skal reduceres separat og er ikke i dette script.
Scriptet afhjælper heller ikke programmer eller tjenester, der kører inde i VM'er, som kan være udsat for sikkerhedsrisikoen. Dell EMC anbefaler, at alle kunder samarbejder med deres program- eller softwareleverandører om tjenester, der kører i VM'er, for at sikre, at de ikke påvirkes.
Links til påvirkede VMware-produkter og potentielle omgåelser er beskrevet i følgende VMware VMSA-artikel:
Vedhæftet til denne artikel er fil fixlog4j-CVE-2021-44228-CVE-2021-45046-v-1-1-2.zip , som kun indeholder scriptet til VxRail Manager.
VxRail-udgivelser med programrettelser medfølger
Dette problem er blevet løst i følgende VxRail-softwareudgivelser:
VxRail-pakkesoftware 7.0.320
VxRail-enhedssoftware 4.7.541
VxRail-enhedssoftware 4.5.471
Det anbefales at opgradere til en VxRail-softwareudgivelse, som indeholder rettelsen. Scriptet anbefales til kunder, der ikke kan opgradere med det samme.
Bemærk: Hvis din VxRail 7.0.xxx-klynge administreres af et kundeadministreret vCenter, henvises til følgende artikel for yderligere overvejelser, der kan være gældende:
Du kan afhjælpe problemet ved at udføre følgende trin:
Download filen fixlog4j-CVE-2021-44228-CVE-2021-45046-v-1-1-2.zip, der er vedhæftet denne artikel.
Upload .zip-filen til VxRail Manager ved hjælp af en pennebruger via SCP (WinSCP er et eksempel på en SCP-klient, der kan bruges).
Log på VxRail Manager VM-konsollen eller SSH ved hjælp af user.
Skift mappe til det, du uploadede .zip-filen til, og udpak den med udpakningskommandoen: mystic@vxrm:~> udpak fixlog4j-CVE-2021-44228-CVE-2021-45046-v-1-1-2.zip-arkiv : fixlog4j-CVE-2021-44228-CVE-2021-45046-v-1-1-2.zip - opflating: fixlog4j-CVE-2021-44228-CVE-2021-45046.sh
Gør scriptet eksekverbart ved hjælp af chmod-kommandoen : mystic@vxrm:~> chmod +x fixlog4j-CVE-2021-44228-CVE-2021-45046.sh
Log på som VxRail Manager-rodbruger med kommandoen su : mystic@vxrm:~> su – Adgangskode:
Sørg for, at du er i den samme mappe, hvor du udpakkede scriptpakken: vxrm:~ # cd /home/dvd vxrm:/home/pse #
Eksempel på scriptoutput: Stop MARVIN- og runjars-tjenesten, før du retter systemet
/journal/connectors/eservice/lib/log4j-core-2.13.0.jar er berørt af CVE-2021-44228 og CVE-2021-45046. Du skal anvende patch-patching /kabinet/stik/eservice/lib/log4j-core-2.13.0.jar Er blevet programrettet /ektor/connectors/eservice/lib/log4j-core-2.13.0.jar
/adrenalin/connectors/cluster/lib/log4j-core-2.13.0.jar er berørt af CVE-2021-44228 og CVE-2021-45046, skal du anvende patchen rettelse /ektor/stik/klynge/lib/log4j-core-2.13.0.jar Er blevet programrettet /indstillinger/stik/cluster/lib/log4j-core-2.13.0.jar
for at sikre, at der ikke er nogen genindlæsningsadfærd, vi skal også pakke .war-filen. ligner /usr/lib/vmware-marvin/marvind/webapps/ROOT.war indeholder bad log4j-core-biblioteket WEB-INF/lib/log4j-core-2.13.0.jar Archive: /usr/lib/vmware-marvin/marvind/webapps/ROOT.war inflating: WEB-INF/lib/log4j-core-2.13.0.jar Patching WEB-INF/lib/log4j-core-2.13.0.jar i /usr/lib/vmware-marvin/marvind/webapps/ROOT.war Repack /usr/lib/vmware-marvin/marvind/webapps/ROOT.war updating: WEB-INF/lib/log4j-core-2.13.0.jar (deflateret 11 %) Ryd op i RODmappen...
Anvend altid en genstart af MARVIN og runjars services restart MARVIN MARVIN genstart runjars runjars genstart korrekt
Bemærk: Det kan tage alt fra 5-10 minutter, før alle filer afhjælpes, og at VxRail Manager-tjenesterne starter.
Vent mindst 10 minutter, hvis du planlægger at udføre et af de manuelle valideringstrin nedenfor.
Der findes flere forskellige versioner af lib4j-core-biblioteket afhængigt af udgivelsen af VxRail Manager.
Scriptet er designet til korrekt at afhjælpe VxRail Manager uanset versionen af lib4j-core, som følger med den version af VxRail Manager.
Ovenstående output fra kørsel af scriptet kan vise forskellige filer, der opdateres, afhængigt af den medfølgende version af lib4j-core.
Bemærk: Hvis du foretager en VxRail-opgradering til en anden build af VxRail, som ikke indeholder en rettelse, skal dette script køres endnu en gang for at genanvende afhjælpningen.
BEMÆRK: Den fulde afhjælpning af VxRail kræver, at både vCenter Server Appliance-løsningen (vCSA) fra VMware og afhjælpningen på VxRail Manager, der udføres med dette script, implementeres.
For at afhjælpe problemet fjerner scriptet JndiLookup.class-filen fra lib4j-core-* jar-filerne.
En jar-fil er et Java-emballageformat, der omfatter flere klasser, metadata og andre Java-programmer i en enkelt fil. Det svarer i koncept til en .zip-fil og er baseret på .zip-formatet. Scriptudførelsen validerer, at hver jar-fil er blevet opdateret.
For at udføre en manuel validering, som scriptet har fungeret, kan du kontrollere, om log4j-core-* jar-filerne på VxRail Manager stadig indeholder den påvirkede JndiLookup.class-fil . Hvis det har virket, bør du ikke se noget output til nedenstående kommandoer, som bekræfter, at den påvirkede JndiLookup.class-fil ikke længere findes i jar-filen.
Validering med automatisk kommando
Følgende kommando kan køres på VxRail Manager for at scanne for alle log4j-core-xxxx.jar-filer, der findes på VxRail Manager, og kontrollere, om de indeholder den påvirkede JndiLookup.class-fil :
vxrm:/home/the # for myfile i "find / -name log4j-core*jar -print |grep -v log4jtimer". do echo $myfile; unzip -l $myfile | grep JndiLookup.class; doneSample
ovenstående eksempel var JndiLookup.class-filen ikke til stede i glasset, og scriptet fungerede derfor, og verifikationen er gennemført.
Nedenfor er eksempel på output fra et berørt system, der skal opdateres:
/lås/stik/eservice/lib/log4j-core-2.13.3.jar 2892 2020-05-10 12:08 org/apache/logging/log4j/core/lookup/JndiLookup.class /drift/stik/klynge/lib/log4j-core-2.13.3.jar 2892 2020-05-10 12:08 org/apache/logging/log4j/core/lookup/JndiLookup.class /usr/lib/vmware-marvin/marvind/webapps/ROOT/WEB-INF/lib/ log4j-core-2.13.3.jar 2892 2020-05-10 12:08 org/apache/logging/log4j/core/lookup/JndiLookup.classI
ovenstående eksempel er den påvirkede JndiLookup.class-fil stadig til stede i log4j-core-2.13.3.jar-filen.
Validering med manuel kontrol af hver fil
For hurtigt at identificere log4j-core-xxxx.jar-filer, der findes på VxRail Manager, Kør følgende kommando (dette formaterer også outputtet til en brugbar kommando):
vxrm:/home/xx # find / -name log4j-core*jar -print |grep -v log4j1 | awk '{print("unzip -l " $1 "|grep JndiLookup.class")}"
Eksempel på output:
unzip -l /cup/connectors/eservice/lib/log4j-core-2.13.0.jar|grep JndiLookup.class udpak -l /journal/connectors/cluster/lib/log4j-core-2.13.0.jar|grep JndiLookup.classunzip -l /usr/lib/vmware-marvin/marvind/webapps/ROOT/WEB-INF/lib/log4j-core-2.13.0.jar|grep JndiLookup.class
Fra eksempeloutputtet ovenfor, Kør hver kommando manuelt for at se, om de registrerer den påvirkede JndiLookup.class-fil:
vxrm:/home/fig # unzip -l /kabinet/connectors/eservice/lib/log4j-core-2.13.0.jar|grep JndiLookup.classvxrm :/home/sk #
I ovenstående eksempel er JndiLookup.class-filen ikke til stede i jar, derfor fungerede scriptet, og verifikationen er gennemført.
Bemærk: Glassets filnavne fra ovenstående eksempeloutput kan variere afhængigt af din version af VxRail Manager. Brug det eksempeloutput, du modtager fra ovenstående find-kommando .
Et eksempel på outputtet for en jar-fil, som stadig er påvirket og indeholder den berørte JndiLookup.class-fil :
ovenstående eksempel er den påvirkede JndiLookup.class-fil stadig til stede i log4j-core-2.4.1.jar-filen.
BEMÆRK: En anden påmindelse om, at fuld afhjælpning af VxRail kræver, at både vCenter Server Appliance -løsningen (vCSA) fra VMware og afhjælpningen på VxRail Manager, der er udført med dette script, implementeres.