ECS: Rozwiązanie ECS dla luki w zabezpieczeniach zdalnego wykonania kodu Apache Log4j
Summary: Luka w zabezpieczeniach Apache Log4j
Symptoms
Identyfikator CVE: CVE-2021-44228
: identyfikator CVE CVE_2021-45046
Publikacja Apache: Apache Log4j Remote Code Execution
Cause
Luka w zabezpieczeniach Apache Log4j
Resolution
Kto powinien uruchomić tę procedurę?
Firma Dell prosi klientów o wykonanie następującej procedury aktualizacji xDoctor i zainstalowania poprawki. Jest to najszybsza i najbezpieczniejsza metoda, ponieważ pozwala uniknąć długotrwałego narażenia na tę lukę w zabezpieczeniach Apache. Wszystkie kroki są opisane w tym artykule bazy wiedzy. Dostępny jest również przewodnik wideo dołączony do tej bazy wiedzy, który znajduje się pod poniższym linkiem.
Film: Apache-Log4j
Wpływ procedury:
Podczas ponownego uruchamiania usług należy oczekiwać możliwych przekroczeń limitu czasu we/wy. Aplikacje z dostępem do klastra, muszą być w stanie obsłużyć przekroczenie limitu czasu we/wy. Wykonywanie tej procedury zaleca się podczas przerwy konserwacyjnej.
Czas potrzebny na to działanie (w przybliżeniu):
Pomiędzy poszczególnymi ponownymi uruchomieniami usług ustawione jest domyślne 7 minut opóźnienia dla każdego węzła. Liczba węzłów w wirtualnym centrum przetwarzania danych (VDC) pomnożona przez 7 minut + 60 minut na przygotowanie, stabilizację DT i wymagane testy POST.
Przykłady:
Obsługa 48-węzłowego systemu VDC może zająć około 6,5 godziny:
7,5 minuty x 48 (liczba węzłów VDC) + 30 minut (przygotowanie) = 6,5 godziny lub 390 minut
Osiem węzłów VDC może zająć około 1,5 godziny:
7,5 minuty x 8 (liczba węzłów VDC) + 30 minut (przygotowanie) = 1,5 godziny lub 90 minut
Często zadawane pytania:
Pytanie: Czy łatka jest częścią wydania xDoctor?
ZA: Skrypt instalacji poprawki jest częścią xDoctor w wersji 4.8-79.1 i nowszych. Instrukcje dotyczące pobierania programu xDoctor i instalacji poprawki znajdują się w sekcji kroków rozwiązywania problemów.
Pytanie: Czy mogę równolegle aktualizować wiele VDC?
ZA: Nie. Poprawka 1 VDC na raz.
Pytanie: Czy mogę zastosować tę poprawkę w ECS z kodem w wersji 3.2.x lub wcześniejszej?
Odpowiedź: Nie, ta poprawka ma zastosowanie tylko do ECS w wersjach 3.3.x – 3.6.x. Otwórz zgłoszenie serwisowe, aby zaplanować uaktualnienie do wcześniejszych wersji.
Pytanie: Czy w przypadku aktualizacji ECS po wykonaniu tej procedury należy ją ponownie uruchomić po uaktualnieniu?
ZA: Nie, w przypadku aktualizacji do wersji kodu określonej w DSA-2021-273, która zawiera trwałą poprawkę. Tak, w przypadku uaktualniania do wersji kodu innej niż określona w tym samym DSA.
Pytanie: Czy poprawka wymaga ponownego zastosowania w systemie, w którym została wcześniej zainstalowana po wymianie węzła, ponownym tworzeniu obrazu lub rozbudowie?
ZA: Nie, jeśli VDC jest w wersji kodu określonej w DSA-2021-273. Tak, w przypadku wykonywania którejkolwiek z tych czynności wobec VDC z wersją kodu nieokreśloną w tym samym DSA. Jeśli w przypadku tych scenariuszy wymagana jest poprawka, inżynier firmy Dell skontaktuje się z Tobą w celu poinformowania, że wymagana jest aktualizacja.
Pytanie: Jakiego użytkownika należy się zalogować, aby uruchamiać wszystkie polecenia w tej bazie wiedzy?
ZA: Admin
Pytanie: Czy svc_patch musi być uruchamiany na wszystkich szafach serwerowych, czy za pomocą specjalistycznego pliku MACHINES, w którym wiele szaf serwerowych znajduje się w VDC?
ZA: Nie. Automatycznie wykryje, czy istnieje wiele szaf serwerowych, i zaktualizuje wszystkie węzły na wszystkich szafach w ramach tego VDC.
Pytanie: Zauważyłem, że docelowa wersja xDoctor to teraz 4.8-79.1, a nie 4.8-79.0. Dlaczego?
Odp.: Wydania xDoctor występują często, dlatego zawsze zaleca się aktualizację do najwyższej wydanej wersji. Jeśli jednak wcześniej uruchomiono poprawkę Apache w wersji 4.8-79.0, system jest w pełni chroniony przed luką i nie trzeba go ponownie uruchamiać.
Podsumowanie rozwiązania:
- Zaktualizuj oprogramowanie ECS xDoctor do wersji 4.8.-79.1 lub nowszej
- Uruchom testy wstępne.
- Zastosuj poprawkę systemową za pomocą narzędzia svc_patch dołączonego do programu xDoctor.
- Potwierdź, że poprawka została zastosowana.
- Rozwiązywanie problemów.
Kroki rozwiązania:
1. Zaktualizuj oprogramowanie ECS xDoctor do najnowszej dostępnej wersji.
-
Sprawdź wersję xDoctor uruchomioną w systemie. Jeśli wersja to 4.8-79.1 lub nowsza, przejdź do kroku 2 "Uruchom wstępne sprawdzanie". Jeśli nie, postępuj zgodnie z poniższymi instrukcjami.
Polecenie:
# sudo xdoctor --version
Przykład:
admin@node1:~> sudo xdoctor --version 4.8-79.1
- Zaloguj się do witryny pomocy technicznej, połącz się bezpośrednio z łączem pobierania, wyszukaj xDoctor za pomocą słowa kluczowego search i kliknij łącze xDoctor RPM, aby pobrać. Aby wyświetlić informacje o wydaniu, postępuj zgodnie z sekcją Informacje o wydaniu, wybierz pozycję Podręczniki i dokumenty na pasku bocznym, z którego powinny być dostępne do pobrania.
- Po pobraniu pakietu RPM użyj dowolnego zdalnego programu SCP, aby przesłać plik do katalogu /home/admin w pierwszym węźle ECS.
- Po zakończeniu przesyłania – SSH do pierwszego węzła systemu ECS przy użyciu uprawnień administratora.
-
Uaktualnij oprogramowanie xDoctor na wszystkich węzłach za pomocą właśnie przekazanej wersji.
Polecenie:
# sudo xdoctor --upgrade --local=/home/admin/xDoctor4ECS-4.8-79.1.noarch.rpm
Przykład:
admin@node1:~> sudo xdoctor --upgrade --local=/home/admin/xDoctor4ECS-4.8-79.1.noarch.rpm 2021-12-20 12:06:11,358: xDoctor_4.8-78.2 - INFO : xDoctor Upgrader Instance (2:FTP_SFTP) 2021-12-20 12:06:11,358: xDoctor_4.8-78.2 - INFO : Local Upgrade (/home/admin/xDoctor4ECS-4.8-79.1.noarch.rpm) 2021-12-20 12:06:11,392: xDoctor_4.8-78.2 - INFO : Current Installed xDoctor version is 4.8-78.2 2021-12-20 12:06:11,429: xDoctor_4.8-78.2 - INFO : Requested package version is 4.8-79.1 2021-12-20 12:06:11,430: xDoctor_4.8-78.2 - INFO : Updating xDoctor RPM Package (RPM) 2021-12-20 12:06:11,482: xDoctor_4.8-78.2 - INFO : - Distribute package 2021-12-20 12:06:12,099: xDoctor_4.8-78.2 - INFO : - Install new rpm package 2021-12-20 12:06:37,829: xDoctor_4.8-78.2 - INFO : xDoctor successfully updated to version 4.8-79.1
-
Jeśli środowiskiem jest VDC z wieloma szafami serwerowymi, nowy pakiet xDoctor musi zostać zainstalowany w pierwszym węźle każdej szafy serwerowej. Aby zidentyfikować te główne elementy szaf serwerowych, uruchom poniższe polecenie. W tym przypadku wyróżnione są cztery szafy serwerowe i cztery podstawowe szafy serwerowe.
-
Polecenie:
# svc_exec -m "ip address show private.4 |grep -w inet"
Przykład:
admin@ecsnode1~> svc_exec -m "ip address show private.4 |grep -w inet" svc_exec v1.0.2 (svc_tools v2.1.0) Started 2021-12-20 14:03:33 Output from node: r1n1 retval: 0 inet 169.254.1.1/16 brd 169.254.255.255 scope global private.4 Output from node: r2n1 retval: 0 inet 169.254.2.1/16 brd 169.254.255.255 scope global private.4 Output from node: r3n1 retval: 0 inet 169.254.3.1/16 brd 169.254.255.255 scope global private.4 Output from node: r4n1 retval: 0 inet 169.254.4.1/16 brd 169.254.255.255 scope global private.4 -
Skopiuj pakiet z pierwszego węzła systemu (R1N1) do innych elementów głównych szafy serwerowej zgodnie z poniższymi informacjami:
Przykład:
admin@ecsnode1~> scp xDoctor4ECS-4.8-79.1.noarch.rpm 169.254.2.1:/home/admin/ xDoctor4ECS-4.8-79.1.noarch.rpm 100% 32MB 31.9MB/s 00:00 admin@ecsnode1~> scp xDoctor4ECS-4.8-79.1.noarch.rpm 169.254.3.1:/home/admin/ xDoctor4ECS-4.8-79.1.noarch.rpm 100% 32MB 31.9MB/s 00:00 admin@ecsnode1~> scp xDoctor4ECS-4.8-79.1.noarch.rpm 169.254.4.1:/home/admin/ xDoctor4ECS-4.8-79.1.noarch.rpm 100% 32MB 31.9MB/s 00:00 admin@ecsnode1~>
-
Zgodnie z powyższym krokiem uruchom to samo polecenie instalacji xDoctor na każdym z powyższych urządzeń podstawowych szafy serwerowej, które zostały zidentyfikowane wcześniej.
Polecenie:
# sudo xdoctor --upgrade --local=/home/admin/xDoctor4ECS-4.8-79.1.noarch.rpm
-
2. Uruchom testy wstępne.
-
Użyj polecenia svc_dt, aby sprawdzić, czy DT są stabilne. Identyfikatory DT są stabilne, jeśli kolumna "Unready #" pokazuje 0. Jeśli tak, przejdź do kolejnego testu. Jeśli nie, odczekaj 15 minut i sprawdź ponownie. Jeśli liczba DT nie uległa ustabilizowaniu, otwórz zgłoszenie serwisowe w zespole pomocy technicznej ECS.
Polecenie:
# svc_dt check -b
Przykład:
admin@node1:~> svc_dt check -b svc_dt v1.0.25 (svc_tools v2.0.2) Started 2021-12-16 16:44:51 Date Total DT Unknown # Unready # RIS Fail # Dump Fail # Check type Time since check Check successful 2021-12-16 16:43:44 2432 0 0 0 0 AutoCheck 1m 7s True 2021-12-16 16:42:33 2432 0 0 0 0 AutoCheck 2m 18s True 2021-12-16 16:41:23 2432 0 0 0 0 AutoCheck 3m 28s True 2021-12-16 16:40:13 2432 0 0 0 0 AutoCheck 4m 38s True 2021-12-16 16:39:02 2432 0 0 0 0 AutoCheck 5m 49s True 2021-12-16 16:37:52 2432 0 0 0 0 AutoCheck 6m 59s True 2021-12-16 16:36:42 2432 0 0 0 0 AutoCheck 8m 9s True 2021-12-16 16:35:31 2432 0 0 0 0 AutoCheck 9m 20s True 2021-12-16 16:34:21 2432 0 0 0 0 AutoCheck 10m 30s True 2021-12-16 16:33:11 2432 0 0 0 0 AutoCheck 11m 40s True
-
Użyj polecenia svc_patch, aby sprawdzić, czy wszystkie węzły są w trybie online. Jeśli tak, przejdź do kolejnego kroku. Jeśli nie, zbadaj przyczynę, przełącz ją z powrotem w tryb online i ponownie przeprowadź kontrolę. Jeśli nie można połączyć węzła w tryb online, otwórz zgłoszenie serwisowe do zespołu pomocy technicznej ECS, aby zbadać problem.
Polecenie:
# /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/svc_patch status
Przykład:
admin@node1:~> /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/svc_patch status svc_patch Version 2.9.1 Verifying patch bundle consistency DONE Detecting nodes in current VDC DONE Reading in patch details (1 of 2) DONE Reading in patch details (2 of 2) DONE Validating nodes are online DONE Checking Installed Patches and Dependencies DONE Patches/releases currently installed: [ None detected ] Patches that need to be installed: CVE-2021-44228_log4j-fix_3.3.x-3.6.2 (PatchID: 3298) Files that need to be installed: /opt/storageos/lib/log4j-core-2.5.jar (from CVE-2021-44228_log4j-fix_3.3.x-3.6.2) The following services need to be restarted: ALL
3. Zastosuj poprawkę systemową za pomocą narzędzia svc_patch dołączonego do programu xDoctor.
-
Uruchom polecenie svc_patch, wpisz "y" i naciśnij Enter po wyświetleniu monitu o zainstalowanie poprawki. Polecenie można uruchomić na dowolnym węźle ECS.
Polecenia:
# screen -S patchinstall
# unset TMOUT
# /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/svc_patch install
Przykład:
Uwaga: W poniższych danych wyjściowych pojawi się monit o kontynuowanie.admin@node1:~> screen -S patchinstall admin@node1:~> unset TMOUT admin@node1:~> /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/svc_patch install svc_patch Version 2.9.1 Verifying patch bundle consistency DONE Detecting nodes in current VDC DONE Reading in patch details (1 of 2) DONE Reading in patch details (2 of 2) DONE Validating nodes are online DONE Checking Installed Patches and Dependencies DONE Patches/releases currently installed: [ None detected ] Patches that will be installed: CVE-2021-44228_log4j-fix_3.3.x-3.6.2 (PatchID: 3298) Files that will be installed: /opt/storageos/lib/log4j-core-2.5.jar (from CVE-2021-44228_log4j-fix_3.3.x-3.6.2) The following services will be restarted: ALL Patch Type: Standalone Number of nodes: 8 Number of seconds to wait between restarting node services: 450 Check DT status between node service restarts: true Do you wish to continue (y/n)?y [...Truncated Output of each node Distributing files and restarting services...] Distributing files to node 1xx.xxx.xx.xx Distributing patch installer to node '1xx.xxx.xx.xx' Restarting services on 1xx.xxx.xx.xx Restarting all services Waiting 180 seconds for services to stabilize... [...Truncated Output of each node Distributing files and restarting services...] Stopping ViPR services..done Services status 3: stat georeceiver eventsvc blobsvc dataheadsvc blobsvc-perf blobsvc-fi resourcesvc resourcesvc-perf resourcesvc-fi rm cm ssm objcontrolsvc metering sr storageserver nvmeengine nvmetargetviewer dtquery dtsm vnest coordinatorsvc ecsportalsvc transformsvc Setting up SSL certificates ...done Starting ViPR services..done Waiting 300 seconds for services to stabilize...DONE Patching complete. admin@node1:~>
-
Zamknij ekran sesji po zakończeniu aktualizacji zgodnie z powyższymi danymi wyjściowymi.
Przykład:
admin@node1:/> exit logout [screen is terminating] admin@node1:/>
Uwaga: Jeśli przypadkowo zamkniesz sesję programu PuTTY w trakcie wykonywania, dołącz ponownie, logując się ponownie do tego samego węzła i uruchom poniższe polecenie:Polecenie:
# screen -ls
admin@node 1:~> screen -ls There is a screen on: 114475.pts-0.ecs-n3 (Detached) 1 Socket in /var/run/uscreens/S-admin.Dołącz ponownie do sesji odłączonej z poprzednich danych wyjściowych.
admin@node1:~> screen -r 114475.pts-0.ecs-n3
4. Potwierdź, że poprawka została zastosowana.
-
Poniższy wynik pochodzi z systemu, w którym zastosowano poprawkę.
Polecenie:
# /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/svc_patch status
Przykład:
admin@node1:/> /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/svc_patch status svc_patch Version 2.9.1 Verifying patch bundle consistency DONE Detecting nodes in current VDC DONE Reading in patch details (1 of 2) DONE Reading in patch details (2 of 2) DONE Validating nodes are online DONE Checking Installed Patches and Dependencies DONE Patches/releases currently installed: CVE-2021-44228_log4j-fix_3.3.x-3.6.2 (PatchID: 3298) Fixes for Log4j vulnerabilities CVE-2021-44228 and CVE-2021-45046 Patches that need to be installed: No files need to be installed. The following services need to be restarted: No services need to be restarted. -
Poniższe dane pochodzą z systemu, w którym poprawka nie została zastosowana.
Przykład:
admin@node1:/> /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/svc_patch status svc_patch Version 2.9.1 Verifying patch bundle consistency DONE Detecting nodes in current VDC DONE Reading in patch details (1 of 2) DONE Reading in patch details (2 of 2) DONE Validating nodes are online DONE Checking Installed Patches and Dependencies DONE Patches/releases currently installed: [ None detected ] Patches that need to be installed: CVE-2021-44228_log4j-fix_3.3.x-3.6.2 (PatchID: 3298) Files that need to be installed: /opt/storageos/lib/log4j-core-2.5.jar (from CVE-2021-44228_log4j-fix_3.3.x-3.6.2) The following services need to be restarted: ALL
Rozwiązywanie problemów:
-
Stabilizacja DT trwa zbyt długo
-
Jeśli stabilizacja DT trwa dłużej niż domyślne 7,5 minuty, aplikacja svc_patch wyświetli monit o kontynuowanie lub przerwanie procesu instalowania poprawki.
Przykład:
admin@node1:~> /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/svc_patch install [...Truncated Output of each node Distributing files and restarting services...] Restarting services on 1xx.xx.xx.xx Restarting all services Waiting 180 seconds for services to stabilize...DONE Waiting for DTs to come online ERROR: DT Check failed. DTs did not come ready or could not be checked after several passes. Do you wish to continue anyway (y/n)?
-
Otwórz sesję PuTTY w innym węźle i uruchom svc_dt polecenie, aby sprawdzić DT w kolumnie "Unready #". Jeśli nie ma wartości "0", odczekaj 15 minut i uruchom test ponownie. Wróć do sesji aplikacji svc_patch, gdy nie ma żadnych niegotowych DT. Odpowiedz „y” i kontynuuj. Jeśli svc_dt nadal wyświetla wartości w numerach identyfikacyjnych "Unready #", otwórz zgłoszenie serwisowe w zespole pomocy technicznej ECS.
Polecenie:
# svc_dt check -b
Przykład:
admin@node1:~> svc_dt check -b svc_dt v1.0.25 (svc_tools v2.0.2) Started 2021-12-15 17:18:52 Date Total DT Unknown # Unready # RIS Fail # Dump Fail # Check type Time since check Check successful 2021-12-15 17:17:54 1920 0 0 0 0 AutoCheck 0m 58s True 2021-12-15 17:16:44 1920 0 0 0 0 AutoCheck 2m 8s True 2021-12-15 17:16:10 1920 0 0 0 0 Manual Check 2m 42s True 2021-12-15 17:15:34 1920 0 0 0 0 AutoCheck 3m 18s True 2021-12-15 17:14:24 1920 0 0 0 0 AutoCheck 4m 28s True 2021-12-15 17:13:13 1920 0 0 0 0 AutoCheck 5m 39s True 2021-12-15 17:12:03 1920 0 0 0 0 AutoCheck 6m 49s True 2021-12-15 17:10:53 1920 0 0 0 0 AutoCheck 7m 59s True 2021-12-15 17:09:43 1920 0 0 0 0 AutoCheck 9m 9s True 2021-12-15 17:08:32 1920 0 0 0 0 AutoCheck 10m 20s True
-
-
Nie wszystkie usługi są uruchamiane ponownie we wszystkich węzłach, ponieważ nie są uruchamiane na ekranie, a sesja PuTTY kończy się przedwcześnie.
Przykład: Usługi zostały ponownie uruchomione na czterech z sześciu węzłów po ponownym zalogowaniu. Zobacz węzły 5 i 6 wyróżnione poniżej.
admin@node1:~> /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/svc_patch status svc_patch Version 2.9.1 Verifying patch bundle consistency DONE Detecting nodes in current VDC DONE Reading in patch details (1 of 2) DONE Reading in patch details (2 of 2) DONE Validating nodes are online DONE Checking Installed Patches and Dependencies DONE All nodes currently do not have the same patches installed. Patches/releases currently installed: 169.254.1.1: CVE-2021-44228_45046_log4j-fix 169.254.1.2: CVE-2021-44228_45046_log4j-fix 169.254.1.3: CVE-2021-44228_45046_log4j-fix 169.254.1.4: CVE-2021-44228_45046_log4j-fix 169.254.1.5: CVE-2021-44228_45046_log4j-fix 169.254.1.6: CVE-2021-44228_45046_log4j-fix Patches that need to be installed: 169.254.1.1: <None> 169.254.1.2: <None> 169.254.1.3: <None> 169.254.1.4: <None> 169.254.1.5: <None> 169.254.1.6: <None> Files that need to be installed: 169.254.1.1: <None> 169.254.1.2: <None> 169.254.1.3: <None> 169.254.1.4: <None> 169.254.1.5: <None> 169.254.1.6: <None> Services that need to be restarted: 169.254.1.1: <None> 169.254.1.2: <None> 169.254.1.3: <None> 169.254.1.4: <None> 169.254.1.5: ALL 169.254.1.6: ALL admin@ecsnode1:~>Rozwiązanie:
Uruchom procedurę ponownie, a pozostałe węzły, które zostały pierwotnie pominięte, zostaną ponownie uruchomione. Pierwotne węzły, w których usługi zostały ponownie uruchomione pozostają nietknięte.admin@node1:~> /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/svc_patch install svc_patch Version 2.9.1 Verifying patch bundle consistency DONE Detecting nodes in current VDC DONE Reading in patch details (1 of 2) DONE Reading in patch details (2 of 2) DONE Validating nodes are online DONE Checking Installed Patches and Dependencies DONE All nodes currently do not have the same patches installed. Patches/releases currently installed: 169.254.1.1: CVE-2021-44228_45046_log4j-fix 169.254.1.2: CVE-2021-44228_45046_log4j-fix 169.254.1.3: CVE-2021-44228_45046_log4j-fix 169.254.1.4: CVE-2021-44228_45046_log4j-fix 169.254.1.5: CVE-2021-44228_45046_log4j-fix 169.254.1.6: CVE-2021-44228_45046_log4j-fix Patches that will be installed: 169.254.1.1: <None> 169.254.1.2: <None> 169.254.1.3: <None> 169.254.1.4: <None> 169.254.1.5: <None> 169.254.1.6: <None> Files that will be installed: 169.254.1.1: <None> 169.254.1.2: <None> 169.254.1.3: <None> 169.254.1.4: <None> 169.254.1.5: <None> 169.254.1.6: <None> Services that will be restarted: 169.254.1.1: <None> 169.254.1.2: <None> 169.254.1.3: <None> 169.254.1.4: <None> 169.254.1.5: ALL 169.254.1.6: ALL Patch Type: Standalone Number of nodes: 8 Number of seconds to wait between restarting node services: 450 Check DT status between node service restarts: true Do you wish to continue (y/n)?y No files to install on 169.254.1.1 Distributing patch installer to node '169.254.1.1' No files to install on 169.254.1.2 Distributing patch installer to node '169.254.1.2' No files to install on 169.254.1.3 Distributing patch installer to node '169.254.1.3' No files to install on 169.254.1.4 Distributing patch installer to node '169.254.1.4' No files to install on 169.254.1.5 Distributing patch installer to node '169.254.1.5' No files to install on 169.254.1.6 Distributing patch installer to node '169.254.1.6' No services to restart on 169.254.1.1 No services to restart on 169.254.1.2 No services to restart on 169.254.1.3 No services to restart on 169.254.1.4 Restarting services on 169.254.1.5 Restarting all services Waiting 450 seconds for services to stabilize...DONE Waiting for DTs to come online Restarting services on 169.254.1.6 Restarting all services Waiting 450 seconds for services to stabilize...DONE Waiting for DTs to come online Patching complete. admin@ecsnode1:~> -
Nie udało się dodać hosta do listy znanych hostów podczas stosowania poprawki.
Przykład:
svc_patch Version 2.9.1 Verifying patch bundle consistency DONE Detecting nodes in current VDC DONE Reading in patch details (1 of 2) DONE Reading in patch details (2 of 2) DONE Validating nodes are online FAILED ERROR: Could not execute commands on the object-main container on 169.254.x.x Output was 'Failed to add the host to the list of known hosts (/home/admin/.ssh/known_hosts). :patchtest:' Patching is unable to continue with unreachable nodes. To proceed: - Resolve problems accessing node(s) from this one. - Manually pass a MACHINES file containing the list of working nodes to patch (not recommended). - Contact your next level of support for other options or assistance.
Rozwiązanie:
Powodem może być to, że użytkownik pliku /home/admin/.ssh/known_hosts był użytkownikiem root, który domyślnie powinien być administratorem.Przykład:
admin@node1:~> ls -l /home/admin/.ssh/known_hosts -rw------- 1 root root 1802 Jul 23 2019 /home/admin/.ssh/known_hosts admin@ecs:~>
Aby rozwiązać problem z innej sesji programu PuTTY, zaloguj się do zgłoszonego węzła lub węzłów i zmień użytkownika na admin w węzłach, w których jest obecny, jako użytkownika root, używając poniższego polecenia we wszystkich zgłoszonych węzłach:
Polecenie:
# sudo chown admin:users /home/admin/.ssh/known_hosts
Przykład:
admin@node1:~> sudo chown admin:users /home/admin/.ssh/known_hosts
Teraz ponownie uruchom svc_patch polecenie, a powinno ono zakończyć się pomyślnie.
admin@node1:~> /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/svc_patch install
-
Nie można uruchomić poleceń w kontenerze object-main w dniu 169.254.x.x z powodu nieprawidłowego klucza hosta w katalogu /home/admin/.ssh/known_hosts.
Przykład:
svc_patch Version 2.9.1 Verifying patch bundle consistency DONE Detecting nodes in current VDC DONE Reading in patch details (1 of 2) DONE Reading in patch details (2 of 2) DONE Validating nodes are online FAILED ERROR: Could not execute commands on the object-main container on 169.254.x.x Output was '@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ @ WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED! @ @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY! Someone could be eavesdropping on you right now (man-in-the-middle attack)! It is also possible that a host key has just been changed. The fingerprint for the ECDSA key sent by the remote host is SHA256:RcwOsFj7zPA5p5kSeYovF4UlZTm125nLVeCL1zCqOzc. Please contact your system administrator. Add correct host key in /home/admin/.ssh/known_hosts to get rid of this message. Offending ECDSA key in /home/admin/.ssh/known_hosts:14 You can use following command to remove the offending key: ssh-keygen -R 169.254.x.x -f /home/admin/.ssh/known_hosts Password authentication is disabled to avoid man-in-the-middle attacks. Keyboard-interactive authentication is disabled to avoid man-in-the-middle attacks. :patchtest:' Patching is unable to continue with unreachable nodes. To proceed: - Resolve problems accessing node(s) from this one. - Manually pass a MACHINES file containing the list of working nodes to patch (not recommended). - Contact your next level of support for other options or assistance.
Rozwiązanie:
Skontaktuj się z pomocą techniczną ECS, aby uzyskać rozwiązanie. -
W przypadku stosowania tej poprawki za pomocą programu xDoctor w wersji 4.8-85.0 może pojawić się alert informujący, że suma md5 nie jest zgodna z wartością svc_base.py:
# /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/svc_patch status svc_patch Version 2.9.1 Verifying patch bundle consistency FAILED Patch bundle onsistency check failed - md5sums for one or more files in the patch bundle were invalid, or files were not found. svc_patch will attempt to validate files in the patch using MD5SUMS.bundle, which is bundled with the patch. Output from md5sum was: ./lib/libs/svc_base.py: FAILED md5sum: WARNING: 1 computed checksum did NOT match
Rozwiązanie:
Uruchom poniższe polecenia przed zastosowaniem poprawki, aby zaktualizować md5sum:# sudo sed -i '/svc_base.py/d' /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/MD5SUMS.bundle # sudo sed -i '/MD5SUMS.bundle/d' /opt/emc/xdoctor/.xdr_chksum