ECS: Řešení ECS pro chybu zabezpečení vzdáleného spouštění kódu Apache Log4j
Summary: Chyba zabezpečení Apache Log4j
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Identifikátor CVE-2021-44228
Identifikátor CVE CVE_2021-45046
Publikace společnosti Apache: Vzdálené spouštění kódu Apache Log4j
Cause
Chyba zabezpečení Apache Log4j
Resolution
Kdo by měl tento postup spustit?
Společnost Dell žádá zákazníky, aby tento postup zahrnovali upgrade aplikace xDoctor a instalaci opravy. Jedná se o nejrychlejší a nejbezpečnější metodu, protože zabraňuje dlouhodobému vystavení této zranitelnosti Apache. Všechny kroky jsou podrobně popsány v tomto článku znalostní databáze. K dispozici je také video průvodce, který lze doprovázet tímto KB, který se nachází na níže uvedeném odkazu.
Video: Apache-Log4j
Dopad postupu:
Očekávejte možné vypršení časového limitu I/O při restartování služeb. Aplikace přistupující ke clusteru musí být schopné zpracovat vypršení časového limitu I/O. K provedení tohoto postupu doporučujeme využít okno údržby.
Doba trvání činnosti (přibližně):
Ve výchozím nastavení je mezi restarty služeb nastavena přibližně 7minutová prodleva pro každý uzel. Počet uzlů ve virtuálním datovém centru (VDC) vynásobený 7 minutami + 60 minut pro přípravu, stabilizaci DT a nutné následné kontroly.
Příklady:
Systém VDC se 48 uzly může trvat přibližně 6,5 hodiny:
7,5 minut × 48 (počet uzlů VDC) + 30 minut (příprava) = 6,5 hodiny nebo 390 minut
Práce systému VDC s osmi uzly může trvat přibližně 1,5 hodiny:
7,5 minut × 8 (počet uzlů VDC) + 30 minut (příprava) = 1,5 hodiny nebo 90 minut
Často kladené dotazy:
Dotaz: Je oprava součástí vydání aplikace xDoctor?
Odpověď: Skript pro instalaci opravy je součástí aplikace xDoctor verze 4.8-79.1 a vyšší. Pokyny ke stažení aplikace xDoctor a instalaci opravy jsou uvedeny v krocích řešení.
Otázka: Mohu aktualizovat více virtuálních datových adaptérů současně?
Odpověď: Ne. Opravte vždy 1 V DC.
Dotaz: Mohu tuto opravu použít na systém ECS s kódem verze 3.2.x nebo starší?
Odpověď: Ne, tato oprava se vztahuje pouze na systém ECS verze 3.3.x až 3.6.x. Otevřete žádost o službu a naplánujte upgrade pro starší verze.
Dotaz: Pokud po spuštění tohoto postupu upgraduji systém ECS, spustím postup po upgradu znovu?
Odpověď: Ne, pokud upgradujete na verzi kódu uvedenou v DSA-2021-273, která má trvalou opravu. Ano, pokud upgradujete na verzi kódu, která není uvedená ve stejném DSA.
Dotaz: Vyžaduje oprava opětovné použití v systému, kde byla dříve nainstalována po výměně uzlu, přeinstalaci pomocí bitové kopie nebo rozšíření?
Odpověď: Ne, pokud má VDC verzi kódu specifikovanou v DSA-2021-273. Ano, pokud provádíte některou z těchto akcí u virtuálního datového centra s verzí kódu, která není uvedena ve stejném DSA. Pokud je pro tyto scénáře nutná oprava, dotyčný technik společnosti Dell vás kontaktuje a informuje vás o nutnosti aktualizace.
Dotaz: Pod jakým uživatelem byste měli být přihlášeni, abyste mohli spouštět všechny příkazy v tomto článku znalostní databáze?
Odpověď: Admin
Dotaz: Musí být svc_patch spuštěn na všech rackech nebo se specializovaným souborem MACHINES, kde je více racků ve VDC?
Odpověď: Ne, automaticky detekuje, zda existuje více racků, a aktualizuje všechny uzly ve všech rackech v daném VDC.
Dotaz: Všiml jsem si, že cílová verze aplikace xDoctor je nyní 4.8-79.1 a ne 4.8-79.0. Proč?
Odpověď: Aplikace xDoctor je vydávána často, proto vždy doporučujeme provést upgrade na nejvyšší vydanou verzi. Pokud jste však již dříve spustili opravu Apache pomocí verze 4.8-79.0, je systém plně chráněn proti této chybě zabezpečení a není nutné jej spouštět znovu.
Shrnutí řešení:
- Upgradujte software ECS xDoctor na verzi 4.8.-79.1 nebo novější.
- Spusťte předběžné kontroly.
- Aplikujte opravu systému pomocí nástroje svc_patch, který je součástí aplikace xDoctor.
- Potvrďte, že oprava byla provedena.
- Odstraňování potíží
Postup řešení:
1. Proveďte upgrade softwaru ECS xDoctor na nejnovější dostupnou verzi.
-
Zkontrolujte, zda je v systému spuštěna verze aplikace xDoctor. Pokud je verze 4.8-79.1 nebo novější, přejděte ke kroku 2 "Spuštění předběžných kontrol". Pokud ne, pokračujte kroky níže.
Příkaz:
# sudo xdoctor --version
Příklad:
admin@node1:~> sudo xdoctor --version 4.8-79.1
- Přihlaste se na stránky podpory, připojte se přímo k odkazu ke stažení, vyhledejte aplikaci xDoctor pomocí vyhledávání klíčových slov a klikněte na odkaz xDoctor RPM pro stažení. Chcete-li zobrazit poznámky k verzi, postupujte podle pokynů k vydání a na postranním panelu vyberte Příručky a dokumenty, odkud by měly být k dispozici ke stažení.
- Po stažení souboru RPM nahrajte soubor do adresáře /home/admin v prvním uzlu ECS pomocí libovolného vzdáleného programu SCP.
- Po dokončení nahrávání se jako správce přihlaste pomocí SSH k prvnímu uzlu v systému ECS.
-
Proveďte upgrade aplikace xDoctor na všech uzlech na nově vydanou verzi.
Příkaz:
# sudo xdoctor --upgrade --local=/home/admin/xDoctor4ECS-4.8-79.1.noarch.rpm
Příklad:
admin@node1:~> sudo xdoctor --upgrade --local=/home/admin/xDoctor4ECS-4.8-79.1.noarch.rpm 2021-12-20 12:06:11,358: xDoctor_4.8-78.2 - INFO : xDoctor Upgrader Instance (2:FTP_SFTP) 2021-12-20 12:06:11,358: xDoctor_4.8-78.2 - INFO : Local Upgrade (/home/admin/xDoctor4ECS-4.8-79.1.noarch.rpm) 2021-12-20 12:06:11,392: xDoctor_4.8-78.2 - INFO : Current Installed xDoctor version is 4.8-78.2 2021-12-20 12:06:11,429: xDoctor_4.8-78.2 - INFO : Requested package version is 4.8-79.1 2021-12-20 12:06:11,430: xDoctor_4.8-78.2 - INFO : Updating xDoctor RPM Package (RPM) 2021-12-20 12:06:11,482: xDoctor_4.8-78.2 - INFO : - Distribute package 2021-12-20 12:06:12,099: xDoctor_4.8-78.2 - INFO : - Install new rpm package 2021-12-20 12:06:37,829: xDoctor_4.8-78.2 - INFO : xDoctor successfully updated to version 4.8-79.1
-
Pokud je prostředím VDC s více racky, musí být nový balíček aplikace xDoctor nainstalován na prvním uzlu každého racku. Chcete-li identifikovat tyto primární uzly racku, spusťte následující příkaz. V tomto případě jsou zvýrazněny čtyři racky a čtyři primární racky.
-
Příkaz:
# svc_exec -m "ip address show private.4 |grep -w inet"
Příklad:
admin@ecsnode1~> svc_exec -m "ip address show private.4 |grep -w inet" svc_exec v1.0.2 (svc_tools v2.1.0) Started 2021-12-20 14:03:33 Output from node: r1n1 retval: 0 inet 169.254.1.1/16 brd 169.254.255.255 scope global private.4 Output from node: r2n1 retval: 0 inet 169.254.2.1/16 brd 169.254.255.255 scope global private.4 Output from node: r3n1 retval: 0 inet 169.254.3.1/16 brd 169.254.255.255 scope global private.4 Output from node: r4n1 retval: 0 inet 169.254.4.1/16 brd 169.254.255.255 scope global private.4 -
Zkopírujte balíček z prvního uzlu systému (R1N1) do dalších uzlů racku, jak je uvedeno níže:
Příklad:
admin@ecsnode1~> scp xDoctor4ECS-4.8-79.1.noarch.rpm 169.254.2.1:/home/admin/ xDoctor4ECS-4.8-79.1.noarch.rpm 100% 32MB 31.9MB/s 00:00 admin@ecsnode1~> scp xDoctor4ECS-4.8-79.1.noarch.rpm 169.254.3.1:/home/admin/ xDoctor4ECS-4.8-79.1.noarch.rpm 100% 32MB 31.9MB/s 00:00 admin@ecsnode1~> scp xDoctor4ECS-4.8-79.1.noarch.rpm 169.254.4.1:/home/admin/ xDoctor4ECS-4.8-79.1.noarch.rpm 100% 32MB 31.9MB/s 00:00 admin@ecsnode1~>
-
Podle kroku e výše spusťte stejný instalační příkaz aplikace xDoctor na všech výše uvedených primárních rackových serverech.
Příkaz:
# sudo xdoctor --upgrade --local=/home/admin/xDoctor4ECS-4.8-79.1.noarch.rpm
-
2. Spusťte předběžné kontroly.
-
Pomocí příkazu svc_dt zkontrolujte, zda jsou DT stabilní. DT jsou stabilní, pokud sloupec "Unready #" zobrazuje 0. Pokud tomu tak je, přejděte k další kontrole. Pokud ne, počkejte 15 minut a proveďte kontrolu znovu. Pokud se DT nestabilizovaly, otevřete servisní požadavek u týmu podpory ECS.
Příkaz:
# svc_dt check -b
Příklad:
admin@node1:~> svc_dt check -b svc_dt v1.0.25 (svc_tools v2.0.2) Started 2021-12-16 16:44:51 Date Total DT Unknown # Unready # RIS Fail # Dump Fail # Check type Time since check Check successful 2021-12-16 16:43:44 2432 0 0 0 0 AutoCheck 1m 7s True 2021-12-16 16:42:33 2432 0 0 0 0 AutoCheck 2m 18s True 2021-12-16 16:41:23 2432 0 0 0 0 AutoCheck 3m 28s True 2021-12-16 16:40:13 2432 0 0 0 0 AutoCheck 4m 38s True 2021-12-16 16:39:02 2432 0 0 0 0 AutoCheck 5m 49s True 2021-12-16 16:37:52 2432 0 0 0 0 AutoCheck 6m 59s True 2021-12-16 16:36:42 2432 0 0 0 0 AutoCheck 8m 9s True 2021-12-16 16:35:31 2432 0 0 0 0 AutoCheck 9m 20s True 2021-12-16 16:34:21 2432 0 0 0 0 AutoCheck 10m 30s True 2021-12-16 16:33:11 2432 0 0 0 0 AutoCheck 11m 40s True
-
Pomocí příkazu svc_patch ověřte, zda jsou všechny uzly online. Pokud ano, přejděte k dalšímu kroku. Pokud ne, prozkoumejte důvod, vraťte jej zpět do režimu online a spusťte kontrolu znovu. Pokud uzel nelze uvést do režimu online, otevřete servisní požadavek u týmu podpory ECS a prošetřte jej.
Příkaz:
# /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/svc_patch status
Příklad:
admin@node1:~> /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/svc_patch status svc_patch Version 2.9.1 Verifying patch bundle consistency DONE Detecting nodes in current VDC DONE Reading in patch details (1 of 2) DONE Reading in patch details (2 of 2) DONE Validating nodes are online DONE Checking Installed Patches and Dependencies DONE Patches/releases currently installed: [ None detected ] Patches that need to be installed: CVE-2021-44228_log4j-fix_3.3.x-3.6.2 (PatchID: 3298) Files that need to be installed: /opt/storageos/lib/log4j-core-2.5.jar (from CVE-2021-44228_log4j-fix_3.3.x-3.6.2) The following services need to be restarted: ALL
3. Aplikujte opravu systému pomocí nástroje svc_patch, který je součástí aplikace xDoctor.
-
Spusťte příkaz svc_patch, zadejte "y" a po zobrazení výzvy stiskněte klávesu Enter k instalaci opravy. Příkaz lze spustit na libovolném uzlu ECS.
Příkazy:
# screen -S patchinstall
# unset TMOUT
# /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/svc_patch install
Příklad:
Poznámka: V níže uvedeném výstupu se zobrazí výzva k pokračování.admin@node1:~> screen -S patchinstall admin@node1:~> unset TMOUT admin@node1:~> /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/svc_patch install svc_patch Version 2.9.1 Verifying patch bundle consistency DONE Detecting nodes in current VDC DONE Reading in patch details (1 of 2) DONE Reading in patch details (2 of 2) DONE Validating nodes are online DONE Checking Installed Patches and Dependencies DONE Patches/releases currently installed: [ None detected ] Patches that will be installed: CVE-2021-44228_log4j-fix_3.3.x-3.6.2 (PatchID: 3298) Files that will be installed: /opt/storageos/lib/log4j-core-2.5.jar (from CVE-2021-44228_log4j-fix_3.3.x-3.6.2) The following services will be restarted: ALL Patch Type: Standalone Number of nodes: 8 Number of seconds to wait between restarting node services: 450 Check DT status between node service restarts: true Do you wish to continue (y/n)?y [...Truncated Output of each node Distributing files and restarting services...] Distributing files to node 1xx.xxx.xx.xx Distributing patch installer to node '1xx.xxx.xx.xx' Restarting services on 1xx.xxx.xx.xx Restarting all services Waiting 180 seconds for services to stabilize... [...Truncated Output of each node Distributing files and restarting services...] Stopping ViPR services..done Services status 3: stat georeceiver eventsvc blobsvc dataheadsvc blobsvc-perf blobsvc-fi resourcesvc resourcesvc-perf resourcesvc-fi rm cm ssm objcontrolsvc metering sr storageserver nvmeengine nvmetargetviewer dtquery dtsm vnest coordinatorsvc ecsportalsvc transformsvc Setting up SSL certificates ...done Starting ViPR services..done Waiting 300 seconds for services to stabilize...DONE Patching complete. admin@node1:~>
-
Po dokončení aktualizace ukončete relaci podle výše uvedeného výstupu.
Příklad:
admin@node1:/> exit logout [screen is terminating] admin@node1:/>
Poznámka: Pokud omylem zavřete relaci PuTTY během provádění, znovu se přihlaste zpět do stejného uzlu a spusťte následující příkaz:Příkaz:
# screen -ls
admin@node 1:~> screen -ls There is a screen on: 114475.pts-0.ecs-n3 (Detached) 1 Socket in /var/run/uscreens/S-admin.Znovu se připojte k odpojené relaci z předchozího výstupu.
admin@node1:~> screen -r 114475.pts-0.ecs-n3
4. Potvrďte, že oprava byla provedena.
-
Níže uvedené výstupy pocházejí ze systému, kde byla oprava provedena.
Příkaz:
# /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/svc_patch status
Příklad:
admin@node1:/> /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/svc_patch status svc_patch Version 2.9.1 Verifying patch bundle consistency DONE Detecting nodes in current VDC DONE Reading in patch details (1 of 2) DONE Reading in patch details (2 of 2) DONE Validating nodes are online DONE Checking Installed Patches and Dependencies DONE Patches/releases currently installed: CVE-2021-44228_log4j-fix_3.3.x-3.6.2 (PatchID: 3298) Fixes for Log4j vulnerabilities CVE-2021-44228 and CVE-2021-45046 Patches that need to be installed: No files need to be installed. The following services need to be restarted: No services need to be restarted. -
Níže uvedený výstup pochází ze systému, kde oprava nebyla použita.
Příklad:
admin@node1:/> /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/svc_patch status svc_patch Version 2.9.1 Verifying patch bundle consistency DONE Detecting nodes in current VDC DONE Reading in patch details (1 of 2) DONE Reading in patch details (2 of 2) DONE Validating nodes are online DONE Checking Installed Patches and Dependencies DONE Patches/releases currently installed: [ None detected ] Patches that need to be installed: CVE-2021-44228_log4j-fix_3.3.x-3.6.2 (PatchID: 3298) Files that need to be installed: /opt/storageos/lib/log4j-core-2.5.jar (from CVE-2021-44228_log4j-fix_3.3.x-3.6.2) The following services need to be restarted: ALL
Odstraňování problémů:
-
Stabilizace DT trvá příliš dlouho
-
Pokud stabilizace DT trvá déle než výchozích 7,5 minuty, aplikace svc_patch vyzve k pokračování nebo ukončení procesu opravy.
Příklad:
admin@node1:~> /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/svc_patch install [...Truncated Output of each node Distributing files and restarting services...] Restarting services on 1xx.xx.xx.xx Restarting all services Waiting 180 seconds for services to stabilize...DONE Waiting for DTs to come online ERROR: DT Check failed. DTs did not come ready or could not be checked after several passes. Do you wish to continue anyway (y/n)?
-
Otevřete relaci PuTTY na jiném uzlu a spuštěním příkazu svc_dt zkontrolujte DT ve sloupci "Unready #". Pokud nejsou k dispozici žádné hodnoty "0", počkejte 15 minut a spusťte kontrolu znovu. Když nejsou uvedeny žádné položky Unready DT, vraťte se do relace pomocí aplikace svc_patch. Zadejte „y“ a pokračujte. Pokud svc_dt i nadále uvádí hodnoty v bodech DT "Unready #", otevřete servisní požadavek u týmu podpory ECS.
Příkaz:
# svc_dt check -b
Příklad:
admin@node1:~> svc_dt check -b svc_dt v1.0.25 (svc_tools v2.0.2) Started 2021-12-15 17:18:52 Date Total DT Unknown # Unready # RIS Fail # Dump Fail # Check type Time since check Check successful 2021-12-15 17:17:54 1920 0 0 0 0 AutoCheck 0m 58s True 2021-12-15 17:16:44 1920 0 0 0 0 AutoCheck 2m 8s True 2021-12-15 17:16:10 1920 0 0 0 0 Manual Check 2m 42s True 2021-12-15 17:15:34 1920 0 0 0 0 AutoCheck 3m 18s True 2021-12-15 17:14:24 1920 0 0 0 0 AutoCheck 4m 28s True 2021-12-15 17:13:13 1920 0 0 0 0 AutoCheck 5m 39s True 2021-12-15 17:12:03 1920 0 0 0 0 AutoCheck 6m 49s True 2021-12-15 17:10:53 1920 0 0 0 0 AutoCheck 7m 59s True 2021-12-15 17:09:43 1920 0 0 0 0 AutoCheck 9m 9s True 2021-12-15 17:08:32 1920 0 0 0 0 AutoCheck 10m 20s True
-
-
Nerestartují se všechny služby na všech uzlech, protože nejsou spuštěny na obrazovce a relace výstupu se předčasně ukončí.
Příklad: Po opětovném přihlášení se služby restartovaly ve čtyřech ze šesti uzlů. Viz uzly 5 a 6 zvýrazněné níže.
admin@node1:~> /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/svc_patch status svc_patch Version 2.9.1 Verifying patch bundle consistency DONE Detecting nodes in current VDC DONE Reading in patch details (1 of 2) DONE Reading in patch details (2 of 2) DONE Validating nodes are online DONE Checking Installed Patches and Dependencies DONE All nodes currently do not have the same patches installed. Patches/releases currently installed: 169.254.1.1: CVE-2021-44228_45046_log4j-fix 169.254.1.2: CVE-2021-44228_45046_log4j-fix 169.254.1.3: CVE-2021-44228_45046_log4j-fix 169.254.1.4: CVE-2021-44228_45046_log4j-fix 169.254.1.5: CVE-2021-44228_45046_log4j-fix 169.254.1.6: CVE-2021-44228_45046_log4j-fix Patches that need to be installed: 169.254.1.1: <None> 169.254.1.2: <None> 169.254.1.3: <None> 169.254.1.4: <None> 169.254.1.5: <None> 169.254.1.6: <None> Files that need to be installed: 169.254.1.1: <None> 169.254.1.2: <None> 169.254.1.3: <None> 169.254.1.4: <None> 169.254.1.5: <None> 169.254.1.6: <None> Services that need to be restarted: 169.254.1.1: <None> 169.254.1.2: <None> 169.254.1.3: <None> 169.254.1.4: <None> 169.254.1.5: ALL 169.254.1.6: ALL admin@ecsnode1:~>Řešení:
Spusťte postup znovu a zbývající uzly, které byly původně vynechány, restartují své služby. Původní uzly, kde se služby restartovaly, to nijak neovlivní.admin@node1:~> /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/svc_patch install svc_patch Version 2.9.1 Verifying patch bundle consistency DONE Detecting nodes in current VDC DONE Reading in patch details (1 of 2) DONE Reading in patch details (2 of 2) DONE Validating nodes are online DONE Checking Installed Patches and Dependencies DONE All nodes currently do not have the same patches installed. Patches/releases currently installed: 169.254.1.1: CVE-2021-44228_45046_log4j-fix 169.254.1.2: CVE-2021-44228_45046_log4j-fix 169.254.1.3: CVE-2021-44228_45046_log4j-fix 169.254.1.4: CVE-2021-44228_45046_log4j-fix 169.254.1.5: CVE-2021-44228_45046_log4j-fix 169.254.1.6: CVE-2021-44228_45046_log4j-fix Patches that will be installed: 169.254.1.1: <None> 169.254.1.2: <None> 169.254.1.3: <None> 169.254.1.4: <None> 169.254.1.5: <None> 169.254.1.6: <None> Files that will be installed: 169.254.1.1: <None> 169.254.1.2: <None> 169.254.1.3: <None> 169.254.1.4: <None> 169.254.1.5: <None> 169.254.1.6: <None> Services that will be restarted: 169.254.1.1: <None> 169.254.1.2: <None> 169.254.1.3: <None> 169.254.1.4: <None> 169.254.1.5: ALL 169.254.1.6: ALL Patch Type: Standalone Number of nodes: 8 Number of seconds to wait between restarting node services: 450 Check DT status between node service restarts: true Do you wish to continue (y/n)?y No files to install on 169.254.1.1 Distributing patch installer to node '169.254.1.1' No files to install on 169.254.1.2 Distributing patch installer to node '169.254.1.2' No files to install on 169.254.1.3 Distributing patch installer to node '169.254.1.3' No files to install on 169.254.1.4 Distributing patch installer to node '169.254.1.4' No files to install on 169.254.1.5 Distributing patch installer to node '169.254.1.5' No files to install on 169.254.1.6 Distributing patch installer to node '169.254.1.6' No services to restart on 169.254.1.1 No services to restart on 169.254.1.2 No services to restart on 169.254.1.3 No services to restart on 169.254.1.4 Restarting services on 169.254.1.5 Restarting all services Waiting 450 seconds for services to stabilize...DONE Waiting for DTs to come online Restarting services on 169.254.1.6 Restarting all services Waiting 450 seconds for services to stabilize...DONE Waiting for DTs to come online Patching complete. admin@ecsnode1:~> -
Přidání hostitele do seznamu známých hostitelů při instalaci opravy se nezdařilo.
Příklad:
svc_patch Version 2.9.1 Verifying patch bundle consistency DONE Detecting nodes in current VDC DONE Reading in patch details (1 of 2) DONE Reading in patch details (2 of 2) DONE Validating nodes are online FAILED ERROR: Could not execute commands on the object-main container on 169.254.x.x Output was 'Failed to add the host to the list of known hosts (/home/admin/.ssh/known_hosts). :patchtest:' Patching is unable to continue with unreachable nodes. To proceed: - Resolve problems accessing node(s) from this one. - Manually pass a MACHINES file containing the list of working nodes to patch (not recommended). - Contact your next level of support for other options or assistance.
Řešení:
Důvodem může být, že uživatel souboru /home/admin/.ssh/known_hosts byl root, který by měl být ve výchozím nastavení admin.Příklad:
admin@node1:~> ls -l /home/admin/.ssh/known_hosts -rw------- 1 root root 1802 Jul 23 2019 /home/admin/.ssh/known_hosts admin@ecs:~>
Chcete-li problém vyřešit z jiné relace PuTTY, přihlaste se k nahlášenému uzlu nebo uzlům a změňte uživatele na admin na uzlech, kde se nachází jako uživatel root, pomocí níže uvedeného příkazu na všech nahlášených uzlech:
Příkaz:
# sudo chown admin:users /home/admin/.ssh/known_hosts
Příklad:
admin@node1:~> sudo chown admin:users /home/admin/.ssh/known_hosts
Nyní znovu spusťte příkaz svc_patch a měl by projít.
admin@node1:~> /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/svc_patch install
-
Kvůli nesprávnému hostitelskému klíči v souboru /home/admin/.ssh/known_hosts nelze spustit příkazy v kontejneru object-main na adrese 169.254.x.x.
Příklad:
svc_patch Version 2.9.1 Verifying patch bundle consistency DONE Detecting nodes in current VDC DONE Reading in patch details (1 of 2) DONE Reading in patch details (2 of 2) DONE Validating nodes are online FAILED ERROR: Could not execute commands on the object-main container on 169.254.x.x Output was '@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ @ WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED! @ @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY! Someone could be eavesdropping on you right now (man-in-the-middle attack)! It is also possible that a host key has just been changed. The fingerprint for the ECDSA key sent by the remote host is SHA256:RcwOsFj7zPA5p5kSeYovF4UlZTm125nLVeCL1zCqOzc. Please contact your system administrator. Add correct host key in /home/admin/.ssh/known_hosts to get rid of this message. Offending ECDSA key in /home/admin/.ssh/known_hosts:14 You can use following command to remove the offending key: ssh-keygen -R 169.254.x.x -f /home/admin/.ssh/known_hosts Password authentication is disabled to avoid man-in-the-middle attacks. Keyboard-interactive authentication is disabled to avoid man-in-the-middle attacks. :patchtest:' Patching is unable to continue with unreachable nodes. To proceed: - Resolve problems accessing node(s) from this one. - Manually pass a MACHINES file containing the list of working nodes to patch (not recommended). - Contact your next level of support for other options or assistance.
Řešení:
Obraťte se na podporu ECS s žádostí o řešení. -
Při použití aplikace xDoctor verze 4.8-85.0 k použití této opravy se může zobrazit výstraha s informací, že součet md5 neodpovídá svc_base.py:
# /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/svc_patch status svc_patch Version 2.9.1 Verifying patch bundle consistency FAILED Patch bundle onsistency check failed - md5sums for one or more files in the patch bundle were invalid, or files were not found. svc_patch will attempt to validate files in the patch using MD5SUMS.bundle, which is bundled with the patch. Output from md5sum was: ./lib/libs/svc_base.py: FAILED md5sum: WARNING: 1 computed checksum did NOT match
Řešení:
Před použitím opravy proveďte níže uvedené příkazy a aktualizujte tak parametr md5sum:# sudo sed -i '/svc_base.py/d' /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/MD5SUMS.bundle # sudo sed -i '/MD5SUMS.bundle/d' /opt/emc/xdoctor/.xdr_chksum
Affected Products
Elastic Cloud StorageProducts
ECS, ECS ApplianceArticle Properties
Article Number: 000194467
Article Type: Solution
Last Modified: 02 Dec 2025
Version: 28
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.