Skip to main content
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Enjoy members-only rewards and discounts
  • Create and access a list of your products

VxRail: VxRail Manager arbeider rundt for å løse sikkerhetsproblem med Apache Log4Shell (CVE-2021-44228, CVE-2021-45046 og CVE-2021-4104)

Summary: Denne artikkelen beskriver et skript som kan kjøres på VxRail Manager for å utbedre sikkerhetsproblemene i Apache Log4Shell som er beskrevet i CVE-2021-44228, CVE-2021-45046 og CVE-2021-4104 (Dell-artikkel DSN-2021-007, VMware-artikkel VMSA-2021-0028). ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.

Instructions

Apache Software Foundation har publisert informasjon om et kritisk sikkerhetsproblem med kjøring av apache Log4j-bibliotek som er kjent som Log4Shell i henhold til GitHub Advisory Database (også beskrevet i CVE-2021-44228, CVE-2021-45046 og CVE-2021-4104). VxRail Manager er utsatt for problemet som er beskrevet i sikkerhetsproblemet.

Merk: Ytterligere to CVE-er, CVE-2021-45046 og CVE-2021-4104, rapporteres som indikerer at den opprinnelige anbefalingen om å løse problemet som er beskrevet i CVE-2021-44228 (Log4j 2.x), ikke er en komplett løsning.

Hvis du vil ha mer informasjon om disse CVE-ene, kan du se følgende artikler:

Merk: Skriptet i denne artikkelen er oppdatert til versjon 1.1.2 som inkluderer utbedringer som er anbefalt for alle tre CVE-er, CVE-2021-44228, CVE-2021-45046 og CVE-2021-4104.

Det ble oppdaget et ekstra problem i det forrige skriptet, noe som kan føre til at en berørt fil blir gjenopprettet på VxRail Manager fra et systemarkiv. Dette problemet er også løst i denne utgivelsen.

Hvis du brukte tidligere skript som ble levert med denne artikkelen, laster du ned det nyeste skriptet (1.1.2) og kjører det på VxRail Manager for å sikre at du har den fullstendige løsningen.

 

Krav og omfang

Dette omfanget av hva som dekkes av utbedringstrinnene i denne artikkelen, er:

  • Denne artikkelen gjelder for VxRail Manager i VxRail 4.5.x-, 4.7.x- og 7.0.x-utgivelser sammen med VxRail Manager i VCF 3.x- og 4.x-utgivelser.
  • Trinnene for skript og utbedring ga utbedring av sikkerhetsproblemet kun i VxRail Manager Appliance VM.
  • Andre komponenter utenfor VxRail Manager, for eksempel vCenter Server Appliance (vCSA), NSX og så videre, må begrenses separat, og er ikke i dette skriptet.
  • Skriptet utbedrer heller ikke noen applikasjoner eller tjenester som kjører inne i VM-er, noe som kan være utsatt for sikkerhetsproblemet. Dell EMC anbefaler at alle kunder sjekker med sine applikasjoner eller programvareleverandører for tjenester som kjører i VIRTUELLE-er, for å sikre at de ikke blir påvirket.

Koblinger til berørte VMware-produkter og potensielle midlertidige løsninger er beskrevet i følgende VMware VMSA-artikkel:

VMware gir et skript for å automatisere utbedringen i vCenter Server Appliance i følgende artikkel:

Vedlagt i denne artikkelen er file fixlog4j-CVE-2021-44228-CVE-2021-45046-v-1-1-2.zip som inneholder skriptet kun for VxRail Manager.
 

VxRail-utgivelser med løsning er inkludert

Dette problemet er løst i følgende VxRail-programvareversjoner:

  • Programvare for VxRail-pakke 7.0.320
  • VxRail Appliance-programvare 4.7.541
  • VxRail Appliance-programvare 4.5.471

Det anbefales å oppgradere til en VxRail-programvareversjon som inkluderer reparasjonen.
Skriptet anbefales for kunder som ikke kan oppgradere umiddelbart.

Merk: Hvis VxRail 7.0.xxx-klyngen administreres av en kundeadministrert vCenter, kan du se følgende artikkel for ytterligere hensyn som kan gjelde:

 

Utbedringstrinn

Utbedringen mot problemet utfører følgende trinn:
  1. Last ned fixlog4j-CVE-2021-44228-CVE-2021-45046-v-1-1-2.zip-filen som er vedlagt i denne artikkelen.
  2. Last opp .zip-filen til VxRail Manager ved hjelp av mystic user over SCP (WinSCP er et eksempel på en SCP-klient som kan brukes).
  3. Logg på VxRail Manager VM-konsollen eller SSH ved hjelp av mystic-brukeren. 
  4. Endre katalogen til der du lastet opp ZIP-filen, og pakk den ut ved hjelp av utpakkingskommandoen:
    mystic@vxrm:~> pakke ut fixlog4j-CVE-2021-44228-CVE-2021-45046-v-1-1-2.zip-arkiv
    :  fixlog4j-CVE-2021-44228-CVE-2021-45046-v-1-1-2.zip-ing
    : fixlog4j-CVE-2021-44228-CVE-2021-45046.sh
  5. Gjør skriptet kjørbart ved hjelp av chmod-kommandoen :
    mystic@vxrm:~> chmod +x fixlog4j-CVE-2021-44228-CVE-2021-45046.sh
  6. Logg på som VxRail Manager-rotbruker ved hjelp av su-kommandoen :
    mystic@vxrm:~> su –
    passord:
  7. Kontroller at du er i samme katalog der du pakket ut skriptpakken:
    vxrm:~ # cd /home/mystic
    vxrm:/home/mystic #
  8. Kjør skriptet:
    vxrm:/home/mystic # ./fixlog4j-CVE-2021-44228-CVE-2021-45046.sh

    Eksempel på skriptutdata:
    Stopp PST og service før oppdatering av systemet

    /mystic/connectors/eservice/lib/log4j-core-2.13.0.jar påvirkes av CVE-2021-44228 og CVE-2021-45046, må bruke patching
    /mystic/connectors/eservice/lib/log4j-core-2.0 13.0.jar
    vellykket patched /mystic/connectors/eservice/lib/log4j-core-2.13.0.jar

    /mystic/connectors/cluster/lib/log4j-core-2.13.0.jar påvirkes av CVE-2021-44228 og CVE-2021-45046, må bruke korrigeringsfilen
    patching /mystic/connectors/cluster/lib/log4j-core-2.13.0.jar
    successfully patched /mystic/connectors/cluster/lib/log4j-core-2.13.0.jar

    For å sikre at det ikke blir lastet inn på nytt, vi må også pakke .war-filen.
    Ser også ut som /usr/lib/vmware-rothing/webapps/ROOT.war inneholder det ugyldige log4j-core-biblioteket WEB-INF/lib/log4j-core-2.13.0.jar
    Archive:  /usr/lib/vmware-watred/watd/webapps/ROOT.war
    følgende: OPPDATERING AV WEB-INF/lib/log4j-core-2.13.0.jar
    Patching WEB-INF/lib/log4j-core-2.13.0.jar i /usr/lib/vmware-pst/pstd/webapps/ROOT.war
    Repack /usr/lib/vmware-dll/patchd/webapps/ROOT.war-oppdatering
    : WEB-INF/lib/log4j-core-2.13.0.jar (pstd 11 %)
    Rengjør ROOT-mappen ...

    Bruk alltid en omstart av ANDROID, og runmbes-tjenestene
    starter OMSTART AV ENSTSCRS FORDRCDRDCDDD
    PÅ nytt
    når runskytten startes
    på nytt.

Merk: Det kan ta alt fra 5–10 minutter før alle filene blir utbedret og at VxRail Manager-tjenestene starter.

Vent i minst ti minutter hvis du planlegger å utføre noen av de manuelle valideringstrinnene nedenfor.

Det finnes flere forskjellige versjoner av lib4j-core-biblioteket, avhengig av utgivelsen av VxRail Manager.

Skriptet er utformet for å utbedre VxRail Manager på riktig måte, uavhengig av hvilken versjon av lib4j-core som er inkludert i den versjonen av VxRail Manager.

Utdataene ovenfor fra kjøring av skriptet kan vise at ulike filer oppdateres, avhengig av hvilken versjon av lib4j-core som er inkludert.

Merk: Hvis du utfører en VxRail-oppgradering til en annen versjon av VxRail som ikke inneholder en løsning, må dette skriptet kjøres en gang til for å kunne bruke utbedringen på nytt.
 

 MERK: Den fullstendige løsningen for VxRail krever både vCenter Server Appliance (vCSA)-løsningen fra VMware, og utbedringen på VxRail Manager som utføres av dette skriptet for å bli implementert.


Du finner koblinger til VMware-artikler som dekker midlertidige løsninger på produkter og feilrettinger i VxRail: Informasjon om Log4Shell-miljøer (CVE-2021-44228) og VxRail.
 

Valideringstrinn

For å løse problemet fjerner skriptet JndiLookup.class-filen fra lib4j-core-* jar-filene.

En skankefil er et Java-emballasjeformat for å inkludere flere klasse-, metadata- og andre Java-programmer i én enkelt fil. Den ligner på en ZIP-fil og er basert på ZIP-formatet. Skriptkjøringen validerer at hver skankefil er oppdatert.

Hvis du vil utføre en manuell validering av at skriptet har fungert, kan du kontrollere om log4j-core-* jar-filene som finnes på VxRail Manager, fortsatt inneholder den berørte JndiLookup.class-filen . Hvis det fungerte, skal du ikke se noen utdata til kommandoene nedenfor som bekrefter at den berørte JndiLookup.class-filen ikke lenger finnes i filen med glasset.
 

Validering med automatisert kommando

Følgende kommando kan kjøres på VxRail Manager for å skanne etter alle log4j-core-xxxx.jar-filer som finnes på VxRail Manager, og kontrollere om de inneholder den berørte JndiLookup.class-filen:

vxrm:/home/mystic # for myfile i "find /-name log4j-core*jar -print |grep -v log4jbak"; do echo $myfile; unzip -l $myfile | grep JndiLookup.class; doneSample

output (oppdatert system):
/mystic/connectors/eservice/lib/log4j-core-2.13.0.jar
/mystic/connectors/cluster/lib/log4j-core-2.13.0.jar
/usr/lib/vmware-pst/watd/webapps/ROOT/WEB-INF/lib/log4j-core-2.13.0.jarI


eksemplet ovenfor er JndiLookup.class-filen som ikke finnes i jar, og dermed fungerte skriptet, og verifiseringen er vellykket.

Nedenfor finner du eksempler på utdata fra et berørt system som må oppdateres:/mystic/connectors/eservice/lib/log4j-core-2.13.3.jar
2892 2020-05-10 12:08 org/apache/logging/log4j/core/lookup/
JndiLookup.class
/mystic/connectors/cluster/lib/log4j-core-2.13.3.jar
2892 2020-05-10 12:08 org/apache/logging/log4j/core/lookup/
JndiLookup.class
/usr/lib/vmware-apache/apached/webapps/ROOT/WEB-INF/lib/
log4j-core-2.13.3.jar
2892 2020-05-10 12:08 org/apache/logging/log4j/core/lookup/
JndiLookup.classI

eksemplet ovenfor finnes den berørte JndiLookup.class-filen i log4j-core-2.13.3.jar-filen.
 

Validering med manuell kontroll av hver fil

Hvis du raskt vil identifisere log4j-core-xxxx.jar-filer som finnes på VxRail Manager, kjør følgende kommando (dette formaterer også utdataene til en brukbar kommando):
vxrm:/home/mystic # find/ -name log4j-core*jar -print |grep -v log4jbak | awk '{print("unzip -l" $1 "|grep JndiLookup.class")}'

Eksempel på utdata:
unzip -l /mystic/connectors/eservice/lib/log4j-core-2.13.0.jar|grep JndiLookup.class
unzip -l /mystic/connectors/cluster/lib/log4j-core-2.13.0.jar|grep JndiLookup.classunzip
-l /usr/lib/vmware-rothub/dlld/webapps/ROOT/WEB-INF/lib/log4j-core-2.13.0.jar|grep JndiLookup.classFrom


eksempelutdataene ovenfor, Kjør hver kommando manuelt for å se om de oppdager den berørte JndiLookup.class-filen:
vxrm:/home/mystic # unzip -l /mystic/connectors/eservice/lib/log4j-core-2.13.0.jar|grep JndiLookup.classvxrm
:/home/mystic #

vxrm:/home/mystic # unzip -l /mystic/connectors/cluster/lib/log4j-core-2.13.0.jar|grep JndiLookup.classvxrm
:/home/mystic #

vxrm:/home/mystic # unzip -l //usr/lib/vmware-rothub/dlld/webapps/ROOT/WEB-INF/lib/log4j-core-2.13.0.jar|grep JndiLookup.classvxrm
:/home/mystic #


I eksemplet ovenfor finnes ikke JndiLookup.class-filen i jar, dermed fungerte skriptet, og verifiseringen er vellykket.

Merk: Filnavnene på skanken fra eksempelutdataene ovenfor kan variere avhengig av hvilken VxRail Manager-versjon du har. Bruk eksempelutdataene du mottar fra søkekommandoen ovenfor. 

Et eksempel på utdataene for en skankefil som fortsatt er berørt og inneholder den berørte JndiLookup.class-filen :

vxrm:/home/mystic # unzip -l /mystic/connectors/cluster/lib/log4j-core-2.4.1.jar |grep JndiLookup.class25
76 2015-10-08 17:50 org/apache/logging/log4j/core/lookup/
JndiLookup.classI

eksemplet ovenfor finnes den berørte JndiLookup.class-filen i log4j-core-2.4.1.jar jar-filen.

 

 MERK: En annen påminnelse om at fullstendige løsninger for VxRail krever både vCenter Server Appliance -løsningen (vCSA) fra VMware, og utbedringen på VxRail Manager utført av dette skriptet for å bli implementert.

Affected Products

VxRail, VxRail Appliance Family, VxRail Appliance Series, VxRail Software
Article Properties
Article Number: 000194458
Article Type: How To
Last Modified: 30 Aug 2022
Version:  18
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.