Skip to main content
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Enjoy members-only rewards and discounts
  • Create and access a list of your products

VxRail: VxRail Manager kiertää ongelman korjaamalla Apache Log4Shell -haavoittuvuuden (CVE-2021-44228, CVE-2021-45046 ja CVE-2021-4104)

Summary: Tämä artikkeli sisältää komentosarjan, jonka voi suorittaa VxRail Managerissa CVE-2021-44228-artikkelissa kuvatun Apache Log4Shell -haavoittuvuuden korjaamista varten. CVE-2021-45046 ja CVE-2021-4104 (Dellin artikkeli DSN-2021-007, VMware-artikkeli VMSA-2021-0028). ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.

Instructions

Apache Software Foundation on julkaissut tietoja kriittisestä Apache Log4j Library Remote Code Execution Vulnerability -ongelmasta, josta käytetään gitHub-tiedotetietokannassa log4Shell-haavoittuvuutta (tarkemmat tiedot ovat myös artikkelissa CVE-2021-44228, CVE-2021-45046 ja CVE-2021-4104). VxRail Manager on altistunut haavoittuvuudessa kuvatulle ongelmalle.

Huomautus: Kahden muun CVE:n, CVE-2021-45046:n ja CVE-2021-4104:n, mukaan alkuperäinen suositus CVE-2021-44228 (Log4j 2.x) -versiossa kuvatun ongelman korjaamiseen ei ole täydellinen korjaus.

Lisätietoja näistä CVE:istä on seuraavissa artikkeleissa:

Huomautus: Tämän artikkelin komentosarja on päivitetty versioon 1.1.2, joka sisältää kaikkiin kolmeen CVE:hen, CVE-2021-44228:aan, CVE-2021-45046:een ja CVE-2021-4104:ään suositellut korjaukset.

Aiemmassa komentosarjassa havaittiin lisäongelma, jonka vuoksi VxRail Manageriin palautettiin järjestelmäarkistosta tiedosto, jota ongelma koskee. Ongelma on korjattu myös tässä versiossa.

Jos olet käyttänyt aiempia tämän artikkelin mukana toimitettuja komentosarjoja, lataa uusin komentosarja (1.1.2) ja suorita se VxRail Managerissa varmistaaksesi, että kaikki korjaukset ovat käytettävissäsi.

 

Vaatimukset ja laajuus

Tässä artikkelissa kuvatut korjaustoimet kattavat seuraavat:

  • Tämä artikkeli koskee VxRail Manager -versioita VxRail 4.5.x-, 4.7.x- ja 7.0.x-versioissa sekä VxRail Manageria VCF 3.x- ja 4.x-julkaisuversioissa.
  • Komentosarja ja korjaustoimet korjauttivat haavoittuvuuden vain VxRail Manager -virtuaalikoneessa.
  • Muita VxRail Managerin ulkopuolisia komponentteja, kuten vCenter Server Appliance (vCSA) ja NSX, on hallittava erikseen, eikä niitä ole komentosarjassa.
  • Komentosarja ei myöskään korjaa sovelluksia tai palveluja, jotka suoritetaan virtuaalikoneissa ja jotka saattavat altistua haavoittuvuudelle. Dell EMC suosittelee, että kaikki asiakkaat tarkistavat sovellus- tai ohjelmistovalmistajiltaan VM:issä käynnissä olevat palvelut varmistaakseen, että ongelma ei koske niitä.

Linkit VMware-tuotteisiin, joita ongelma koskee, ja mahdollisista kiertotavoista on seuraavassa VMware VMSA -artikkelissa:

VMware tarjoaa seuraavan artikkelin komentosarjan, jolla korjauksen voi automatisoida vCenter Server -laitteessa:

Tähän artikkeliin liittyy tiedosto fixlog4j-CVE-2021-44228-CVE-2021-45046-v-1-1-2.zip , joka sisältää ainoastaan VxRail Managerin komentosarjan.
 

VxRail-julkaisut, joihin sisältyy korjaus

Ongelma on korjattu seuraavissa VxRail-ohjelmistojulkaisuissa:

  • VxRail-pakettiohjelmisto 7.0.320
  • VxRail Appliance -ohjelmisto 4.7.541
  • VxRail Appliance -ohjelmisto 4.5.471

On suositeltavaa päivittää VxRail-ohjelmistoversioihin, jotka sisältävät korjauksen.
Komentosarjaa suositellaan asiakkaille, jotka eivät voi päivittää välittömästi.

Huomautus: Jos VxRail 7.0.xxx -klusteriasi hallinnoi asiakkaan hallinnoima vCenter, katso seuraavasta artikkelista lisätietoja seuraavista seikoista:

 

Korjaustoimet

Korjaa ongelma seuraavasti:
  1. Lataa tähän artikkeliin liitetty fixlog4j-CVE-2021-44228-CVE-2021-45046-v-1-1-2.zip-tiedosto.
  2. Lataa .zip-tiedosto VxRail Manageriin mystic user over SCP -sovelluksella (WinSCP on esimerkki käytettävästä SCP-asiakasohjelmasta).
  3. Kirjaudu sisään VxRail Managerin VM-konsoliin tai SSH:hen mystic-käyttäjän avulla. 
  4. Vaihda hakemistoon, johon latasit .zip-tiedoston, ja pura se purkukomennolla:
    mystic@vxrm:~> pura fixlog4j-CVE-2021-44228-CVE-2021-45046-v-1-1-2.zip-arkisto
    :  fixlog4j-CVE-2021-44228-CVE-2021-45046-v-1-1-2.zip
    täyttyy: fixlog4j-CVE-2021-44228-CVE-2021-45046.sh
  5. Tee komentosarja suoritettavaksi chmod-komennolla :
    mystic@vxrm:~> chmod +x fixlog4j-CVE-2021-44228-CVE-2021-45046.sh
  6. Kirjaudu sisään VxRail Manager -pääkäyttäjänä su-komennolla :
    mystic@vxrm:~> su -
    salasana:
  7. Varmista, että olet samassa hakemistossa, johon purit komentosarjapaketin:
    vxrm:~ # cd /home/mystic
    vxrm:/home/mystic #
  8. Suorita komentosarja:
    vxrm:/home/mystic # ./fixlog4j-CVE-2021-44228-CVE-2021-45046.sh

    Esimerkki komentosarjan tuloksesta:
    Pysäytä MARVIN- ja runjars-palvelu ennen järjestelmän

    /mystic/connectors/eservice/lib/log4j-core-2.13.0.jar-korjausta. CVE-2021-44228 ja CVE-2021-45046 vaikuttavat korjaukseen
    /mystic/connectors/eservice/lib/log4j-core-2.2. 13.0.jar
    Korjattu onnistuneesti /mystic/connectors/eservice/lib/log4j-core-2.13.0.jar

    /mystic/connectors/cluster/lib/log4j-core-2.13.0.jar on CVE-2021-44228 ja CVE-2021-45046, korjaustiedosto
    on otettava käyttöön korjaus /mystic/connectors/cluster/lib/log4j-core-2.13.0.jar
    Korjattu onnistuneesti /mystic/connectors/cluster/lib/log4j-core-2.13.0.jar

    Jotta uudelleenlataus ei onnistu, Myös .war-tiedosto on pakattava.
    Näyttää samalta kuin /usr/lib/vmware-marvin/marvind/webapps/ROOT.war sisältää virheellisen log4j-core-kirjaston WEB-INF/lib/log4j-core-2.13.0.jar-arkiston
    :  /usr/lib/vmware-marvin/marvind/webapps/ROOT.warflating
    : WEB-INF/lib/log4j-core-2.13.0.jar
    Web-INF/lib/log4j-core-2.13.0.jar-korjaus /usr/lib/vmware-marvin/marvind/webapps/ROOT.war
    Repack /usr/lib/vmware-marvind/webapps/ROOT.war
    -päivityksessä: WEB-INF/lib/log4j-core-2.13.0.jar (tyhjennys 11 %)
    Puhdista ROOT-kansio...

    Ota aina käyttöön MARVIN-uudelleenkäynnistys ja suoritajars-palvelut
    käynnistämällä MARVIN
    MARVIN uudelleen uudelleen
    . Käynnistä runjars
    uudelleen. Käynnistä järjestelmä uudelleen

Huomautus: Kestää 5–10 minuuttia, ennen kuin kaikki tiedostot korjataan ja VxRail Manager -palvelut käynnistyvät.

Odota vähintään 10 minuuttia, jos aiot tehdä jonkin seuraavista manuaalisia vahvistustoimia.

Lib4j-core-kirjastosta on saatavilla useita versioita VxRail Managerin julkaisun mukaan.

Komentosarja on suunniteltu korjaamaan VxRail Manager oikein riippumatta kyseisen VxRail Manager -version sisältämästä lib4j-core-versiosta.

Edellä komentosarjan suorittamisen tuloksessa saattaa näkyä, että päivitettävät tiedostot määräytyvät sisältyvän lib4j-core-version mukaan.

Huomautus: Jos teet VxRail-päivityksen toiseen VxRail-versioon, joka ei sisällä korjausta, tämä komentosarja on suoritettava toisen kerran, jotta korjausta voidaan käyttää uudelleen.
 

 HUOMAUTUS: VxRailin täydellinen korjaus edellyttää VMwaren vCenter Server Appliance (vCSA) -kiertotapaa ja tällä komentosarjalla suoritettua VxRail Managerin korjausta.


Linkkejä VMware-artikkeleihin, joissa käsitellään tuotteiden kiertotapoja ja korjauksia: Tietoja Log4Shell (CVE-2021-44228)- ja VxRail-ympäristöistä.
 

Vahvistusvaiheet

Komentosarja poistaa JndiLookup.class-tiedoston lib4j-core-* jar-tiedostoista ongelman korjaamista varten.

Jar-tiedosto on Java-pakkausmuoto, johon sisältyy useita luokka-, metatieto- ja muita java-ohjelmia yhdessä tiedostossa. Se muistuttaa .zip-tiedostoa ja perustuu .zip-muotoon. Komentosarjan suorittaminen varmistaa, että kunkin jar-tiedoston päivitys onnistui.

Voit tarkistaa manuaalisesti, että komentosarja toimi, tarkistamalla, sisältävätkö VxRail Managerissa olevat log4j-core-* jar-tiedostot edelleen JndiLookup.class-tiedoston , jota ongelma koskee. Jos se on toiminut, jännittimien komennoissa ei pitäisi näkyä tuloksia, jotka varmistavat, että jar-tiedostossa ei ole enää JndiLookup.class-tiedostoa .
 

Vahvistus automaattisella komennolla

VxRail Managerissa voi tarkistaa VxRail Managerilla kaikki VxRail Managerissa olevat log4j-core-xxxx.jar-tiedostot ja tarkistaa, sisältävätkö ne vioittuneen JndiLookup.class-tiedoston:vxrm:/home/mystic # for myfile tiedostossa 'find / -name log4j-core*jar -print |grep -v log4jbak'; do echo $myfile; pura -l $myfile | grep JndiLookup.class; doneSample-tulos

(päivitetty järjestelmä):


/mystic/connectors/eservice/lib/log4j-core-2.13.0.jar
/mystic/connectors/cluster/lib/log4j-core-2.13.0.jar
/usr/lib/vmware-marvin/marvind/webapps/ROOT/WEB-INF/lib/log4j-core-2.13.0.jarIned-esimerkissä


JndiLookup.class-tiedostoa ei ole purkissa, komentosarja toimi, ja tarkistus onnistui.

Alla on esimerkkitulos järjestelmästä, jota
ongelma koskee: /mystic/connectors/eservice/lib/log4j-core-2.13.3.jar
2892 2020-05-10 12.08 org/apache/logging/log4j/core/lookup/
JndiLookup.class
/mystic/connectors/cluster/lib/log4j-core-2.13.3.jar
2892 2020-05-10 12:08 org/apache/logging/log4j/core/lookup/
JndiLookup.class
/usr/lib/vmware-marvin/marvind/webapps/ROOT/WEB-INF/lib/ log4j-core-2.13.3.jar
2892 2020-05-10 12.08 org/apache/logging/log4j/core/lookup/
JndiLookup.class

Yllä olevassa esimerkissä, JndiLookup.class-tiedosto, jota ongelma koskee, on edelleen log4j-core-2.13.3.jar-tiedostossa.
 

Vahvistus ja kunkin tiedoston manuaalinen tarkistus

VxRail Managerin lo4j-core-xxxx.jar-tiedostojen nopea tunnistaminen: Suorita seuraava komento (myös alustaa tuloksen käytettäväksi komennoksi):
vxrm:/home/mystic # find / -name log4j-core*jar -print |grep -v log4jbak | awk '{print("unzip -l" $1 "|grep JndiLookup.class")}'

Sample output:
unzip -l /mystic/connectors/eservice/lib/log4j-core-2.13.0.jar|grep JndiLookup.class
pura -l /mystic/connectors/cluster/lib/log4j-core-2.13.0.jar|grep JndiLookup.classunzip
-l /usr/lib/vmware-marvin/marvind/webapps/ROOT/WEB-INF/lib/log4j-core-2.13.0.jar|grep JndiLookup.classEi


yllä olevasta esimerkkitulostimesta, Suorita kaikki komennot manuaalisesti, jotta näet, havaitsevatko ne JndiLookup.class-tiedoston:
vxrm:/home/mystic # unzip -l /mystic/connectors/eservice/lib/log4j-core-2.13.0.jar|grep JndiLookup.classvxrm
:/home/mystic #

vxrm:/home/mystic # unzip -l /mystic/connectors/cluster/lib/log4j-core-2.13.0.jar|grep JndiLookup.classvxrm
:/home/mystic #

vxrm:/home/mystic # unzip -l /usr/rm lib/vmware-marvin/marvind/webapps/ROOT/WEB-INF/lib/log4j-core-2.13.0.jar|grep JndiLookup.classvxrm
:/home/mystic #


Yllä olevassa esimerkissä JndiLookup.class-tiedostoa ei ole jar-tiedostossa, komentosarja toimi. ja tarkistus onnistui.

Huomautus: Edellä olevan esimerkkituloksen purkkitiedostonimet voivat vaihdella VxRail Manager -version mukaan. Käytä edellä olevasta find-komennosta saamaasi esimerkkitulostetta. 

Esimerkki jar-tiedoston tuloksesta, jota ongelma koskee edelleen ja joka sisältää tiedoston JndiLookup.class file:

vxrm:/home/mystic # unzip -l /mystic/connectors/cluster/lib/log4j-core-2.4.1.jar |grep JndiLookup.class2576
2015-10-08 17:50 org/apache/logging/log4j/core/lookup/
JndiLookup.class Edellä olevassa esimerkissä

JndiLookup.class-tiedosto on edelleen log4j-core-2.4.1.jar-tiedostossa.

 

 HUOMAUTUS: Muista, että VxRailin täydellinen korjaus edellyttää VMwaren vCenter Server Appliance (vCSA) -kiertotapaa ja tällä komentosarjalla suoritettua VxRail Managerin korjausta.

Affected Products

VxRail, VxRail Appliance Family, VxRail Appliance Series, VxRail Software
Article Properties
Article Number: 000194458
Article Type: How To
Last Modified: 30 Aug 2022
Version:  18
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.