CVE-2021-44228 Apache Log4j 漏洞对 Veritas Desktop and Laptop Option (DLO) 的影响

book

Article ID: 100052110

calendar_today

Updated On:

Description

描述

在配置、日志信息和参数中使用的Apache Log4j 2.x(2.0到2.14.1)JNDI 功能,不能防止攻击者控制LDAP和其他JNDI相关端点。当启用信息查找替换时,可以控制日志信息或日志信息参数的攻击者可以执行从LDAP服务器加载的任意代码。更多信息可以从Apache公告中获得。虽然这个问题已经在Log4j 2.15.0中得到解决,但是这个版本的兼容性和安装问题仍在调查中。

目前,Veritas建议使用以下补救措施概述如下。

问题

CVE ID: CVE-2021-44228 - Apache Log4j2 JNDI features do not protect against attacker controlled LDAP and other JNDI related endpoints.
Severity: Critical
Base CVSS Score: 10.0
CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H

受影响的版本

Veritas Desktop and Laptop versions: 9.0 SP1, 9.1, 9.2, 9.3, 9.3.1, 9.3.2, 9.3.3, 9.4, 9.5 and 9.6

补救措施

使用以下更改来解决漏洞 CVE-2021-44228

DLO 9.6的补丁已发布,可以通过下面的下载中心链接下载:

https://www.veritas.com/content/support/en_US/downloads/update.UPD761261

以下方法适用于 DLO 9.0 SP1, 9.1, 9.2, 9.3, 9.3.1, 9.3.2, 9.3.3, 9.4, 9.5 and 9.6

在Windows计算机上执行以下操作:

  • 浏览到下面路径:

C:\Program Files\Veritas\Veritas DLO\Dedupe\Tomcat\webapps\DedupeServer\WEB-INF\lib,搜索 "log4j-core-*.jar" 文件。

  • 把 .jar 文件改为 .zip 文件, 按 "Win+R" 键 并输入 "cmd" 启动命令行窗口。

执行命令:
rename log4j-core-*.jar log4j-core-*.zip

"log4j-core-*.jar" 改名为 "log4j-core-*.zip"

  • 解压 "log4j-core-*.zip" 文件到 "log4j-core-*" 文件夹。

浏览到解压文件夹路径: log4j-core-*\org\apache\logging\log4j\core\lookup,删除 "Jndilookup.class" 文件。

  • 在解压的文件夹 "log4j-core-*"下,选择所有文件,点击右键,选择Send to Compressed (zipped) folder,输入文件名 log4j-core-*.zip

Note: 用log4j-core 的版本号替换 * 号,和原来的zip 名字相同。
例如:DLO 9.3.3 版本的文件名应该是"log4j-core-2.9.0.zip"

  • 再把 .zip 文件改为 .jar 文件, 按 "Win+R" 键 并输入 "cmd" 启动命令行窗口。

执行命令:
rename log4j-core-*.zip log4j-core-*.jar

"log4j-core-*.zip" 改名为 "log4j-core-*.jar"

  • 拷贝log4j-core-*.jar 文件并替换到以下路径:

C:\Program Files\Veritas\Veritas DLO\Dedupe\Tomcat\webapps\DedupeServer\WEB-INF\lib
&
C:\Program Files\Veritas\Veritas DLO\IOServer\Tomcat\webapps\DLOServer\WEB-INF\lib

  • 在DLO 服务器上, 按 "Win+R" 并输入 "services.msc" 启动Windows 服务.

重启以下服务:

  • Veritas DLO Web Server
  • Mindtree StoreSmart Dedupe Server

在Linux 计算机上执行以下操作:

  • 浏览到下面路径:

C:\Program Files\Veritas\Veritas DLO\Dedupe\Tomcat\webapps\DedupeServer\WEB-INF\lib

  • 拷贝 "log4j-core-*.jar" 文件并粘贴到Linux 计算机,然后执行下面的Linux 命令:

zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class

  • 从Linux计算机上拷贝 "log4j-core-*.jar" 文件并替换到以下 DLO 服务器的路径:

C:\Program Files\Veritas\Veritas DLO\Dedupe\Tomcat\webapps\DedupeServer\WEB-INF\lib
&
C:\Program Files\Veritas\Veritas DLO\IOServer\Tomcat\webapps\DLOServer\WEB-INF\lib
 

免责声明

这些安全警告“按原样”提供,以及所有明示或暗示的条件、陈述和保证,包括对适销性、特定用途的适用性或不侵权的任何暗示保证,特此声明不侵权,法律上无效。 VERITAS TECHNOLOGIES LLC 不对与本文档的提供、性能或使用相关的偶然或后果性损害负责。本文档中包含的信息如有更改,恕不另行通知。

 

Issue/Introduction

在配置、日志信息和参数中使用的Apache Log4j 2.x(2.0到2.14.1)JNDI 功能,不能防止攻击者控制LDAP和其他JNDI相关端点。当启用信息查找替换时,可以控制日志信息或日志信息参数的攻击者可以执行从LDAP服务器加载的任意代码。更多信息可以从Apache公告中获得。虽然这个问题已经在Log4j 2.15.0中得到解决,但是这个版本的兼容性和安装问题仍在调查中。 目前,Veritas建议使用以下补救措施概述如下。
Powered by Wolken Software