VxRail: VxRail Manager kiertää ongelman korjaamalla Apache Log4Shell -haavoittuvuuden (CVE-2021-44228, CVE-2021-45046 ja CVE-2021-4104)

Apache Software Foundation on julkaissut tietoja kriittisestä Apache Log4j Library Remote Code Execution Vulnerability -ongelmasta, josta käytetään gitHub-tiedotetietokannassa log4Shell-haavoittuvuutta (tarkemmat tiedot ovat myös artikkelissa CVE-2021-44228, CVE-2021-45046 ja CVE-2021-4104). VxRail Manager on altistunut haavoittuvuudessa kuvatulle ongelmalle.

Huomautus: Kahden muun CVE:n, CVE-2021-45046:n ja CVE-2021-4104:n, mukaan alkuperäinen suositus CVE-2021-44228 (Log4j 2.x) -versiossa kuvatun ongelman korjaamiseen ei ole täydellinen korjaus.

Lisätietoja näistä CVE:istä on seuraavissa artikkeleissa:

• Apache Log4j -suojaushaavoittuvuus
• CVE-2021-45046 (Log4j 2.15)
• CVE-2021-4104 (Log4j 1.2)

Huomautus: Tämän artikkelin komentosarja on päivitetty versioon 1.1.2, joka sisältää kaikkiin kolmeen CVE:hen, CVE-2021-44228:aan, CVE-2021-45046:een ja CVE-2021-4104:ään suositellut korjaukset.

Aiemmassa komentosarjassa havaittiin lisäongelma, jonka vuoksi VxRail Manageriin palautettiin järjestelmäarkistosta tiedosto, jota ongelma koskee. Ongelma on korjattu myös tässä versiossa.

Jos olet käyttänyt aiempia tämän artikkelin mukana toimitettuja komentosarjoja, lataa uusin komentosarja (1.1.2) ja suorita se VxRail Managerissa varmistaaksesi, että kaikki korjaukset ovat käytettävissäsi.
 

Vaatimukset ja laajuus

Tässä artikkelissa kuvatut korjaustoimet kattavat seuraavat:

• Tämä artikkeli koskee VxRail Manager -versioita VxRail 4.5.x-, 4.7.x- ja 7.0.x-versioissa sekä VxRail Manageria VCF 3.x- ja 4.x-julkaisuversioissa.
• Komentosarja ja korjaustoimet korjauttivat haavoittuvuuden vain VxRail Manager -virtuaalikoneessa.
• Muita VxRail Managerin ulkopuolisia komponentteja, kuten vCenter Server Appliance (vCSA) ja NSX, on hallittava erikseen, eikä niitä ole komentosarjassa.
• Komentosarja ei myöskään korjaa sovelluksia tai palveluja, jotka suoritetaan virtuaalikoneissa ja jotka saattavat altistua haavoittuvuudelle. Dell EMC suosittelee, että kaikki asiakkaat tarkistavat sovellus- tai ohjelmistovalmistajiltaan VM:issä käynnissä olevat palvelut varmistaakseen, että ongelma ei koske niitä.

Linkit VMware-tuotteisiin, joita ongelma koskee, ja mahdollisista kiertotavoista on seuraavassa VMware VMSA -artikkelissa:

• VMware-tietoturvatiedote VMSA-2021-0028

VMware tarjoaa seuraavan artikkelin komentosarjan, jolla korjauksen voi automatisoida vCenter Server -laitteessa:

• Python-komentosarja, joka automatisoi VMSA-2021-0028-haavoittuvuuden kiertotavat vCenter Server Appliancessa (87088)

Tähän artikkeliin liittyy tiedosto fixlog4j-CVE-2021-44228-CVE-2021-45046-v-1-1-2.zip , joka sisältää ainoastaan VxRail Managerin komentosarjan.
 

VxRail-julkaisut, joihin sisältyy korjaus

Ongelma on korjattu seuraavissa VxRail-ohjelmistojulkaisuissa:

• VxRail-pakettiohjelmisto 7.0.320
• VxRail Appliance -ohjelmisto 4.7.541
• VxRail Appliance -ohjelmisto 4.5.471

On suositeltavaa päivittää VxRail-ohjelmistoversioihin, jotka sisältävät korjauksen.
Komentosarjaa suositellaan asiakkaille, jotka eivät voi päivittää välittömästi.

Huomautus: Jos VxRail 7.0.xxx -klusteriasi hallinnoi asiakkaan hallinnoima vCenter, katso seuraavasta artikkelista lisätietoja seuraavista seikoista:

• Dell EMC VxRail: Ulkoisen vCenterin päivittäminen versioon 7.0 U3c tai uudempaan epäonnistuu esitarkistukseen, koska isäntäkoneita ei päivittyy ensin.

 

Korjaustoimet

Korjaa ongelma seuraavasti:

1. Lataa tähän artikkeliin liitetty fixlog4j-CVE-2021-44228-CVE-2021-45046-v-1-1-2.zip-tiedosto.
2. Lataa .zip-tiedosto VxRail Manageriin mystic user over SCP -sovelluksella (WinSCP on esimerkki käytettävästä SCP-asiakasohjelmasta).
3. Kirjaudu sisään VxRail Managerin VM-konsoliin tai SSH:hen mystic-käyttäjän avulla. 
4. Vaihda hakemistoon, johon latasit .zip-tiedoston, ja pura se purkukomennolla:
   mystic@vxrm:~> pura fixlog4j-CVE-2021-44228-CVE-2021-45046-v-1-1-2.zip-arkisto
   :  fixlog4j-CVE-2021-44228-CVE-2021-45046-v-1-1-2.zip
   täyttyy: fixlog4j-CVE-2021-44228-CVE-2021-45046.sh
5. Tee komentosarja suoritettavaksi chmod-komennolla :
   mystic@vxrm:~> chmod +x fixlog4j-CVE-2021-44228-CVE-2021-45046.sh
6. Kirjaudu sisään VxRail Manager -pääkäyttäjänä su-komennolla :
   mystic@vxrm:~> su -
   salasana:
7. Varmista, että olet samassa hakemistossa, johon purit komentosarjapaketin:
   vxrm:~ # cd /home/mystic
   vxrm:/home/mystic #
8. Suorita komentosarja:
   vxrm:/home/mystic # ./fixlog4j-CVE-2021-44228-CVE-2021-45046.sh

   Esimerkki komentosarjan tuloksesta:
   Pysäytä MARVIN- ja runjars-palvelu ennen järjestelmän
   
   /mystic/connectors/eservice/lib/log4j-core-2.13.0.jar-korjausta. CVE-2021-44228 ja CVE-2021-45046 vaikuttavat korjaukseen
   /mystic/connectors/eservice/lib/log4j-core-2.2. 13.0.jar
   Korjattu onnistuneesti /mystic/connectors/eservice/lib/log4j-core-2.13.0.jar
   
   /mystic/connectors/cluster/lib/log4j-core-2.13.0.jar on CVE-2021-44228 ja CVE-2021-45046, korjaustiedosto
   on otettava käyttöön korjaus /mystic/connectors/cluster/lib/log4j-core-2.13.0.jar
   Korjattu onnistuneesti /mystic/connectors/cluster/lib/log4j-core-2.13.0.jar
   
   Jotta uudelleenlataus ei onnistu, Myös .war-tiedosto on pakattava.
   Näyttää samalta kuin /usr/lib/vmware-marvin/marvind/webapps/ROOT.war sisältää virheellisen log4j-core-kirjaston WEB-INF/lib/log4j-core-2.13.0.jar-arkiston
   :  /usr/lib/vmware-marvin/marvind/webapps/ROOT.warflating
   : WEB-INF/lib/log4j-core-2.13.0.jar
   Web-INF/lib/log4j-core-2.13.0.jar-korjaus /usr/lib/vmware-marvin/marvind/webapps/ROOT.war
   Repack /usr/lib/vmware-marvind/webapps/ROOT.war
   -päivityksessä: WEB-INF/lib/log4j-core-2.13.0.jar (tyhjennys 11 %)
   Puhdista ROOT-kansio...
   
   Ota aina käyttöön MARVIN-uudelleenkäynnistys ja suoritajars-palvelut
   käynnistämällä MARVIN
   MARVIN uudelleen uudelleen
   . Käynnistä runjars
   uudelleen. Käynnistä järjestelmä uudelleen

Huomautus: Kestää 5–10 minuuttia, ennen kuin kaikki tiedostot korjataan ja VxRail Manager -palvelut käynnistyvät.

Odota vähintään 10 minuuttia, jos aiot tehdä jonkin seuraavista manuaalisia vahvistustoimia.

Lib4j-core-kirjastosta on saatavilla useita versioita VxRail Managerin julkaisun mukaan.

Komentosarja on suunniteltu korjaamaan VxRail Manager oikein riippumatta kyseisen VxRail Manager -version sisältämästä lib4j-core-versiosta.

Edellä komentosarjan suorittamisen tuloksessa saattaa näkyä, että päivitettävät tiedostot määräytyvät sisältyvän lib4j-core-version mukaan.

Huomautus: Jos teet VxRail-päivityksen toiseen VxRail-versioon, joka ei sisällä korjausta, tämä komentosarja on suoritettava toisen kerran, jotta korjausta voidaan käyttää uudelleen.
 

 HUOMAUTUS: VxRailin täydellinen korjaus edellyttää VMwaren vCenter Server Appliance (vCSA) -kiertotapaa ja tällä komentosarjalla suoritettua VxRail Managerin korjausta.

Linkkejä VMware-artikkeleihin, joissa käsitellään tuotteiden kiertotapoja ja korjauksia: Tietoja Log4Shell (CVE-2021-44228)- ja VxRail-ympäristöistä.
 

Vahvistusvaiheet

Komentosarja poistaa JndiLookup.class-tiedoston lib4j-core-* jar-tiedostoista ongelman korjaamista varten.

Jar-tiedosto on Java-pakkausmuoto, johon sisältyy useita luokka-, metatieto- ja muita java-ohjelmia yhdessä tiedostossa. Se muistuttaa .zip-tiedostoa ja perustuu .zip-muotoon. Komentosarjan suorittaminen varmistaa, että kunkin jar-tiedoston päivitys onnistui.

Voit tarkistaa manuaalisesti, että komentosarja toimi, tarkistamalla, sisältävätkö VxRail Managerissa olevat log4j-core-* jar-tiedostot edelleen JndiLookup.class-tiedoston , jota ongelma koskee. Jos se on toiminut, jännittimien komennoissa ei pitäisi näkyä tuloksia, jotka varmistavat, että jar-tiedostossa ei ole enää JndiLookup.class-tiedostoa .
 

Vahvistus automaattisella komennolla

VxRail Managerissa voi tarkistaa VxRail Managerilla kaikki VxRail Managerissa olevat log4j-core-xxxx.jar-tiedostot ja tarkistaa, sisältävätkö ne vioittuneen JndiLookup.class-tiedoston:vxrm:/home/mystic # for myfile tiedostossa 'find / -name log4j-core*jar -print |grep -v log4jbak'; do echo $myfile; pura -l $myfile | grep JndiLookup.class; doneSample-tulos

(päivitetty järjestelmä):


/mystic/connectors/eservice/lib/log4j-core-2.13.0.jar
/mystic/connectors/cluster/lib/log4j-core-2.13.0.jar
/usr/lib/vmware-marvin/marvind/webapps/ROOT/WEB-INF/lib/log4j-core-2.13.0.jarIned-esimerkissä

JndiLookup.class-tiedostoa ei ole purkissa, komentosarja toimi, ja tarkistus onnistui.

Alla on esimerkkitulos järjestelmästä, jota
ongelma koskee: /mystic/connectors/eservice/lib/log4j-core-2.13.3.jar
2892 2020-05-10 12.08 org/apache/logging/log4j/core/lookup/JndiLookup.class
/mystic/connectors/cluster/lib/log4j-core-2.13.3.jar
2892 2020-05-10 12:08 org/apache/logging/log4j/core/lookup/JndiLookup.class
/usr/lib/vmware-marvin/marvind/webapps/ROOT/WEB-INF/lib/ log4j-core-2.13.3.jar
2892 2020-05-10 12.08 org/apache/logging/log4j/core/lookup/JndiLookup.class

Yllä olevassa esimerkissä, JndiLookup.class-tiedosto, jota ongelma koskee, on edelleen log4j-core-2.13.3.jar-tiedostossa.
 

Vahvistus ja kunkin tiedoston manuaalinen tarkistus

VxRail Managerin lo4j-core-xxxx.jar-tiedostojen nopea tunnistaminen: Suorita seuraava komento (myös alustaa tuloksen käytettäväksi komennoksi):
vxrm:/home/mystic # find / -name log4j-core*jar -print |grep -v log4jbak | awk '{print("unzip -l" $1 "|grep JndiLookup.class")}'

Sample output:
unzip -l /mystic/connectors/eservice/lib/log4j-core-2.13.0.jar|grep JndiLookup.class
pura -l /mystic/connectors/cluster/lib/log4j-core-2.13.0.jar|grep JndiLookup.classunzip
-l /usr/lib/vmware-marvin/marvind/webapps/ROOT/WEB-INF/lib/log4j-core-2.13.0.jar|grep JndiLookup.classEi

yllä olevasta esimerkkitulostimesta, Suorita kaikki komennot manuaalisesti, jotta näet, havaitsevatko ne JndiLookup.class-tiedoston:
vxrm:/home/mystic # unzip -l /mystic/connectors/eservice/lib/log4j-core-2.13.0.jar|grep JndiLookup.classvxrm
:/home/mystic #

vxrm:/home/mystic # unzip -l /mystic/connectors/cluster/lib/log4j-core-2.13.0.jar|grep JndiLookup.classvxrm
:/home/mystic #

vxrm:/home/mystic # unzip -l /usr/rm lib/vmware-marvin/marvind/webapps/ROOT/WEB-INF/lib/log4j-core-2.13.0.jar|grep JndiLookup.classvxrm
:/home/mystic #

Yllä olevassa esimerkissä JndiLookup.class-tiedostoa ei ole jar-tiedostossa, komentosarja toimi. ja tarkistus onnistui.

Huomautus: Edellä olevan esimerkkituloksen purkkitiedostonimet voivat vaihdella VxRail Manager -version mukaan. Käytä edellä olevasta find-komennosta saamaasi esimerkkitulostetta. 

Esimerkki jar-tiedoston tuloksesta, jota ongelma koskee edelleen ja joka sisältää tiedoston JndiLookup.class file:

vxrm:/home/mystic # unzip -l /mystic/connectors/cluster/lib/log4j-core-2.4.1.jar |grep JndiLookup.class2576
2015-10-08 17:50 org/apache/logging/log4j/core/lookup/JndiLookup.class Edellä olevassa esimerkissä

JndiLookup.class-tiedosto on edelleen log4j-core-2.4.1.jar-tiedostossa.

 

 HUOMAUTUS: Muista, että VxRailin täydellinen korjaus edellyttää VMwaren vCenter Server Appliance (vCSA) -kiertotapaa ja tällä komentosarjalla suoritettua VxRail Managerin korjausta.