Vulnerabilidad de Log4j2 (CVE-2021-44228)

Versión del producto: 10.5.1

Último modificado: 15 de diciembre de 2021

Problema

¿Está NAKIVO Backup & Replication afectado por la vulnerabilidad CVE-2021-44228 y puede solucionarse?

Fondo

NAKIVO Backup & Replication utiliza la biblioteca Apache Log4j, que forma parte de Apache Logging Services. CVE-2021-44228 es una vulnerabilidad en la librería Apache Log4j, que permite la ejecución remota de código sin autenticación, es decir, puede ser explotada a través de una red sin necesidad de nombre de usuario y contraseña.

Importante

  • CVE-2021-44228 es una vulnerabilidad de gravedad alta. Se recomienda encarecidamente aplicar la solución manual que se detalla a continuación lo antes posible.

  • Las soluciones propuestas a continuación también se aplican a la vulnerabilidad CVE-2021-45046.

Solución

Tiene una de las siguientes opciones:

  • La vulnerabilidad CVE-2021-44228 se ha corregido en NAKIVO Backup & Replication v10.5.1. Descargue la versión actualizada de la solución cuando se publique.

  • Póngase en contacto con el servicio de atención al cliente para obtener una versión personalizada de NAKIVO Backup & Replication que contenga la solución.

  • Aplique manualmente la corrección que se detalla a continuación.

Arreglo manual

Para la versión anterior del producto, puede corregir manualmente la vulnerabilidad eliminando JndiLookup.class ubicado en libs\log4j-core-2.2.jar.

Nota

Si la carpeta libs contiene log4j-core-fixed-2.2.jar en lugar de log4j-core-2.2.jar, significa que el problema ya está solucionado para su versión de NAKIVO Backup & Replication.

Para Linux:

  1. Vaya a la carpeta de instalación de NAKIVO Backup & Replication. 

  2. En la carpeta libs, ejecute el siguiente comando para eliminar JndiLookup.class del archivo jar:

    zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class

  3. Si utiliza un dispositivo NAS, abra una conexión SSH con su dispositivo y localice aquí la carpeta de instalación de NAKIVO Backup & Replication:

    • Para ASUSTOR NAS: /usr/local/AppCentral/NBR

    • Para FreeNAS/TrueNAS (dentro de la jaula): /usr/local/nakivo/director

    • Para NETGEAR NAS: /apps/nbr

    • Para el NAS de QNAP: /share/CACHEDEV1_DATA/.qpkg/NBR

    • Para Raspberry PI: /opt/nakivo/director

    • Para Synology NAS: /volume1/@appstore/NBR

    • Para NAS Western Digital: /mnt/HD/HD_a2/Nas_Prog/NBR

    Nota
    Consulte la documentación del proveedor NAS para saber cómo abrir una conexión SSH con su dispositivo NAS.

  4. Reinicie NAKIVO Backup & Replication.

Para Windows:

  1. Asegúrate de tener instalada la herramienta 7z.

  2. Vaya a la carpeta de instalación de NAKIVO Backup & Replication. 

  3. Vaya a la carpeta libs

  4. Utilice 7z para abrir el archivo log4j-core-2.2.jar y elimine JndiLookup.class ubicado en la carpeta org/apache/logging/log4j/core/lookup del archivo jar.

  5. Reinicie NAKIVO Backup & Replication.