ECS: ECS-løsning på Apache Log4j-sårbarheden i forbindelse med udførelse af fjernkode
Summary: Apache Log4j-sikkerhedssårbarhed
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
CVE-identifikator CVE-2021-44228
CVE-identifikator CVE_2021-45046
Apache-udgivelse: Apache Log4j, fjernudførelse af kode
Cause
Apache Log4j-sikkerhedssårbarhed
Resolution
Hvem skal køre denne procedure?
Dell anmoder kunderne om at udføre denne procedure med at opgradere xDoctor og installere programrettelsen. Dette er den hurtigste og sikreste metode, da den undgår langvarig eksponering for denne Apache-sårbarhed. Alle trin er beskrevet i denne vidensbase. Der er også en videoguide, som kan følges for at ledsage denne KB, som findes på nedenstående link.
Video: Apache-Log4j
Procedurens virkninger:
Forvent mulige I/O-timeouts, mens tjenesterne genstartes. Programmer, der har adgang til klyngen, skal kunne håndtere I/O-timeout. Der anbefales et vedligeholdelsesvindue, når du udfører denne procedure.
Den tid, det tager for aktiviteten (cirkapriser):
Der indstilles som standard en forsinkelse på ca. 7 minutter pr. node mellem tjenestens genstarter. Antallet af noder i et virtuelt datacenter (VDC) ganget med 7 minutter + 60 minutter til forberedelse, DT-stabilisering og nødvendig efterkontrol.
Eksempler:
Et VDC-system med 48 noder kan tage ca. 6,5 timer:
7,5 minutter x 48 (antal VDC-noder) + 30 minutter (forberedelse) = 6,5 timer eller 390 minutter
Et VDC-system med otte noder kan tage ca. 1,5 time:
7,5 minutter x 8 (antal VDC-noder) + 30 minutter (forberedelse) = 1,5 timer eller 90 minutter
Ofte stillede spørgsmål (FAQ):
Sp.: Er plasteret en del af xDoctor-udgivelsen?
En: Patch installere script er en del af xDoctor release 4.8-79.1 og højere. Instruktioner til download af xDoctor og udførelse af patchinstallation findes i opløsningstrinnene.
Sp: Kan jeg opdatere flere VDC'er parallelt?
En: Nej. Programrettelse til 1 VDC ad gangen.
Sp.: Kan jeg anvende denne programrettelse på ECS, der kører kodeversion 3.2.x eller tidligere?
En: Nej, denne programrettelse gælder kun for ECS-versionerne 3.3.x - 3.6.x. Åbn en serviceanmodning for at planlægge en opgradering til tidligere versioner.
Sp.: Hvis jeg opgraderer ECS efter at have kørt denne procedure, kører jeg så proceduren igen efter opgraderingen?
En: Nej, hvis du opgraderer til en kodeversion, der er angivet i DSA-2021-273, som har den permanente rettelse. Ja, hvis du opgraderer til en kodeversion, der ikke er angivet i samme DSA.
Sp.: Kræver programrettelsen genanvendelse på et system, hvor den tidligere blev installeret efter en nodeudskiftning, genafbildning eller udvidelse?
En: Nej, hvis VDC har den kodeversion, der er angivet i DSA-2021-273. Ja, hvis du foretager nogen af disse handlinger mod en VDC, der kører en kodeversion, som ikke er specificeret i den samme DSA. Hvis der kræves en programrettelse til disse scenarier, kontakter den pågældende Dell-tekniker dig for at informere dig om, at en opdatering er påkrævet.
Sp.: Hvilken bruger skal du være logget på for at køre alle kommandoer i denne KB?
En: Admin
Sp.: Skal svc_patch køres på alle racks eller med en specialiseret MACHINES-fil, hvor flere racks i en VDC?
En: Nej, den registrerer automatisk, hvis der findes flere racks, og opdaterer alle noder på alle racks på den pågældende VDC.
Sp.: Jeg bemærker, at målet xDoctor frigivelse er nu 4,8-79,1 og ikke 4,8-79,0. Hvorfor?
A: xDoctor udgivelser forekommer hyppigt, så det anbefales altid at opgradere til den højest udgivne version. Hvis du dog tidligere har kørt Apache fix ved hjælp af 4.8-79.0, er systemet fuldt beskyttet mod sårbarheden og behøver ikke at blive kørt igen.
Løsningsoversigt:
- Opgrader ECS xDoctor-softwaren til version 4.8.-79.1 eller nyere
- Kør prækontroller.
- Anvend systemrettelsen med det svc_patch værktøj, der følger med xDoctor.
- Bekræft, at rettelsen er blevet anvendt.
- Fejlfinding
Trin til løsning:
1. Opgrader ECS xDoctor-softwaren til den nyeste tilgængelige version.
-
Kontroller xDoctor-versionen, der kører på dit system. Hvis versionen er 4.8-79.1 eller nyere, skal du gå til trin 2 "Kør forhåndskontroller". Hvis ikke, skal du fortsætte med nedenstående trin.
Kommando:
# sudo xdoctor --version
Eksempel:
admin@node1:~> sudo xdoctor --version 4.8-79.1
- Log ind på supportwebstedet, opret forbindelse direkte til downloadlinket, søg efter xDoctor ved hjælp af nøgleordssøgningen, og klik på xDoctor RPM-linket for at downloade. Hvis du vil se produktbemærkningerne, skal du følge produktbemærkningerne, vælge Manualer og dokumenter i indholdsoversigten, hvorfra de skulle være tilgængelige til download.
- Når RPM er downloadet, skal du bruge et eksternt SCP-program til at uploade filen til mappen /home/admin på den første ECS-node.
- Når uploaden er fuldført, SSH til den første node i ECS-systemet ved hjælp af admin.
-
Opgrader xDoctor på alle noder med den nyligt distribuerede version.
Kommando:
# sudo xdoctor --upgrade --local=/home/admin/xDoctor4ECS-4.8-79.1.noarch.rpm
Eksempel:
admin@node1:~> sudo xdoctor --upgrade --local=/home/admin/xDoctor4ECS-4.8-79.1.noarch.rpm 2021-12-20 12:06:11,358: xDoctor_4.8-78.2 - INFO : xDoctor Upgrader Instance (2:FTP_SFTP) 2021-12-20 12:06:11,358: xDoctor_4.8-78.2 - INFO : Local Upgrade (/home/admin/xDoctor4ECS-4.8-79.1.noarch.rpm) 2021-12-20 12:06:11,392: xDoctor_4.8-78.2 - INFO : Current Installed xDoctor version is 4.8-78.2 2021-12-20 12:06:11,429: xDoctor_4.8-78.2 - INFO : Requested package version is 4.8-79.1 2021-12-20 12:06:11,430: xDoctor_4.8-78.2 - INFO : Updating xDoctor RPM Package (RPM) 2021-12-20 12:06:11,482: xDoctor_4.8-78.2 - INFO : - Distribute package 2021-12-20 12:06:12,099: xDoctor_4.8-78.2 - INFO : - Install new rpm package 2021-12-20 12:06:37,829: xDoctor_4.8-78.2 - INFO : xDoctor successfully updated to version 4.8-79.1
-
Hvis miljøet er en VDC med flere racks, skal den nye xDoctor-pakke installeres på den første node i hvert rack. For at identificere disse primærvalg skal du køre nedenstående kommando. I dette tilfælde er der fire racks og fire rack primærvalg fremhævet.
-
Kommando:
# svc_exec -m "ip address show private.4 |grep -w inet"
Eksempel:
admin@ecsnode1~> svc_exec -m "ip address show private.4 |grep -w inet" svc_exec v1.0.2 (svc_tools v2.1.0) Started 2021-12-20 14:03:33 Output from node: r1n1 retval: 0 inet 169.254.1.1/16 brd 169.254.255.255 scope global private.4 Output from node: r2n1 retval: 0 inet 169.254.2.1/16 brd 169.254.255.255 scope global private.4 Output from node: r3n1 retval: 0 inet 169.254.3.1/16 brd 169.254.255.255 scope global private.4 Output from node: r4n1 retval: 0 inet 169.254.4.1/16 brd 169.254.255.255 scope global private.4 -
Kopiér pakken fra systemets første node (R1N1) til de andre rackprimærvalg i henhold til nedenstående:
Eksempel:
admin@ecsnode1~> scp xDoctor4ECS-4.8-79.1.noarch.rpm 169.254.2.1:/home/admin/ xDoctor4ECS-4.8-79.1.noarch.rpm 100% 32MB 31.9MB/s 00:00 admin@ecsnode1~> scp xDoctor4ECS-4.8-79.1.noarch.rpm 169.254.3.1:/home/admin/ xDoctor4ECS-4.8-79.1.noarch.rpm 100% 32MB 31.9MB/s 00:00 admin@ecsnode1~> scp xDoctor4ECS-4.8-79.1.noarch.rpm 169.254.4.1:/home/admin/ xDoctor4ECS-4.8-79.1.noarch.rpm 100% 32MB 31.9MB/s 00:00 admin@ecsnode1~>
-
Pr. trin e ovenfor skal du køre den samme xDoctor-installationskommando på hver af ovenstående rackprimærvalg, som er identificeret tidligere.
Kommando:
# sudo xdoctor --upgrade --local=/home/admin/xDoctor4ECS-4.8-79.1.noarch.rpm
-
2. Kør prækontroller.
-
Brug kommandoen svc_dt til at kontrollere, om DT er stabile. DT'er er stabile, hvis kolonnen "Unready #" viser 0. Hvis ja, skal du gå til næste kontrol. Hvis nej, skal du vente 15 minutter og kontrollere igen. Hvis DT er ikke har stabiliseret sig, skal du åbne en serviceanmodning hos ECS-supportteamet.
Kommando:
# svc_dt check -b
Eksempel:
admin@node1:~> svc_dt check -b svc_dt v1.0.25 (svc_tools v2.0.2) Started 2021-12-16 16:44:51 Date Total DT Unknown # Unready # RIS Fail # Dump Fail # Check type Time since check Check successful 2021-12-16 16:43:44 2432 0 0 0 0 AutoCheck 1m 7s True 2021-12-16 16:42:33 2432 0 0 0 0 AutoCheck 2m 18s True 2021-12-16 16:41:23 2432 0 0 0 0 AutoCheck 3m 28s True 2021-12-16 16:40:13 2432 0 0 0 0 AutoCheck 4m 38s True 2021-12-16 16:39:02 2432 0 0 0 0 AutoCheck 5m 49s True 2021-12-16 16:37:52 2432 0 0 0 0 AutoCheck 6m 59s True 2021-12-16 16:36:42 2432 0 0 0 0 AutoCheck 8m 9s True 2021-12-16 16:35:31 2432 0 0 0 0 AutoCheck 9m 20s True 2021-12-16 16:34:21 2432 0 0 0 0 AutoCheck 10m 30s True 2021-12-16 16:33:11 2432 0 0 0 0 AutoCheck 11m 40s True
-
Brug kommandoen svc_patch til at validere, at alle noder er online. Hvis ja, skal du gå til næste trin. Hvis nej, skal du undersøge årsagen, få den online igen og køre kontrollen igen. Hvis en node ikke kan hentes online, skal du åbne en serviceanmodning hos ECS-supportteamet for at undersøge sagen.
Kommando:
# /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/svc_patch status
Eksempel:
admin@node1:~> /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/svc_patch status svc_patch Version 2.9.1 Verifying patch bundle consistency DONE Detecting nodes in current VDC DONE Reading in patch details (1 of 2) DONE Reading in patch details (2 of 2) DONE Validating nodes are online DONE Checking Installed Patches and Dependencies DONE Patches/releases currently installed: [ None detected ] Patches that need to be installed: CVE-2021-44228_log4j-fix_3.3.x-3.6.2 (PatchID: 3298) Files that need to be installed: /opt/storageos/lib/log4j-core-2.5.jar (from CVE-2021-44228_log4j-fix_3.3.x-3.6.2) The following services need to be restarted: ALL
3. Anvend systemrettelsen med det svc_patch værktøj, der følger med xDoctor.
-
Kør kommandoen svc_patch, skriv "y", og tryk på Enter-tasten , når du bliver bedt om at installere programrettelsen. Kommandoen kan køre på enhver ECS-node.
Kommandoer:
# screen -S patchinstall
# unset TMOUT
# /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/svc_patch install
Eksempel:
Bemærk: Der er en prompt om at fortsætte i outputtet nedenfor.admin@node1:~> screen -S patchinstall admin@node1:~> unset TMOUT admin@node1:~> /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/svc_patch install svc_patch Version 2.9.1 Verifying patch bundle consistency DONE Detecting nodes in current VDC DONE Reading in patch details (1 of 2) DONE Reading in patch details (2 of 2) DONE Validating nodes are online DONE Checking Installed Patches and Dependencies DONE Patches/releases currently installed: [ None detected ] Patches that will be installed: CVE-2021-44228_log4j-fix_3.3.x-3.6.2 (PatchID: 3298) Files that will be installed: /opt/storageos/lib/log4j-core-2.5.jar (from CVE-2021-44228_log4j-fix_3.3.x-3.6.2) The following services will be restarted: ALL Patch Type: Standalone Number of nodes: 8 Number of seconds to wait between restarting node services: 450 Check DT status between node service restarts: true Do you wish to continue (y/n)?y [...Truncated Output of each node Distributing files and restarting services...] Distributing files to node 1xx.xxx.xx.xx Distributing patch installer to node '1xx.xxx.xx.xx' Restarting services on 1xx.xxx.xx.xx Restarting all services Waiting 180 seconds for services to stabilize... [...Truncated Output of each node Distributing files and restarting services...] Stopping ViPR services..done Services status 3: stat georeceiver eventsvc blobsvc dataheadsvc blobsvc-perf blobsvc-fi resourcesvc resourcesvc-perf resourcesvc-fi rm cm ssm objcontrolsvc metering sr storageserver nvmeengine nvmetargetviewer dtquery dtsm vnest coordinatorsvc ecsportalsvc transformsvc Setting up SSL certificates ...done Starting ViPR services..done Waiting 300 seconds for services to stabilize...DONE Patching complete. admin@node1:~>
-
Afslut sessionsskærm, når opdateringen er fuldført i henhold til ovenstående output.
Eksempel:
admin@node1:/> exit logout [screen is terminating] admin@node1:/>
Bemærk: Hvis du ved et uheld lukker PuTTY-sessionen, mens udførelsen er i gang, skal du tilslutte den igen ved at logge på den samme node igen og køre nedenstående kommando:Kommando:
# screen -ls
admin@node 1:~> screen -ls There is a screen on: 114475.pts-0.ecs-n3 (Detached) 1 Socket in /var/run/uscreens/S-admin.Vedhæft igen til løsrevet session fra forrige output.
admin@node1:~> screen -r 114475.pts-0.ecs-n3
4. Bekræft, at rettelsen er blevet anvendt.
-
Resultatet nedenfor er fra et system, hvor rettelsen er blevet anvendt.
Kommando:
# /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/svc_patch status
Eksempel:
admin@node1:/> /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/svc_patch status svc_patch Version 2.9.1 Verifying patch bundle consistency DONE Detecting nodes in current VDC DONE Reading in patch details (1 of 2) DONE Reading in patch details (2 of 2) DONE Validating nodes are online DONE Checking Installed Patches and Dependencies DONE Patches/releases currently installed: CVE-2021-44228_log4j-fix_3.3.x-3.6.2 (PatchID: 3298) Fixes for Log4j vulnerabilities CVE-2021-44228 and CVE-2021-45046 Patches that need to be installed: No files need to be installed. The following services need to be restarted: No services need to be restarted. -
Resultatet nedenfor er fra et system, hvor rettelsen ikke er blevet anvendt.
Eksempel:
admin@node1:/> /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/svc_patch status svc_patch Version 2.9.1 Verifying patch bundle consistency DONE Detecting nodes in current VDC DONE Reading in patch details (1 of 2) DONE Reading in patch details (2 of 2) DONE Validating nodes are online DONE Checking Installed Patches and Dependencies DONE Patches/releases currently installed: [ None detected ] Patches that need to be installed: CVE-2021-44228_log4j-fix_3.3.x-3.6.2 (PatchID: 3298) Files that need to be installed: /opt/storageos/lib/log4j-core-2.5.jar (from CVE-2021-44228_log4j-fix_3.3.x-3.6.2) The following services need to be restarted: ALL
Fejlfinding:
-
DT-stabilisering tager for lang tid
-
Hvis DT-stabilisering tager længere tid end standardindstillingen på 7,5 minutter, beder svc_patch program om enten at fortsætte eller afbryde programrettelsesprocessen.
Eksempel:
admin@node1:~> /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/svc_patch install [...Truncated Output of each node Distributing files and restarting services...] Restarting services on 1xx.xx.xx.xx Restarting all services Waiting 180 seconds for services to stabilize...DONE Waiting for DTs to come online ERROR: DT Check failed. DTs did not come ready or could not be checked after several passes. Do you wish to continue anyway (y/n)?
-
Åbn en PuTTY-session på en anden node svc_dt og kør kommandoen for at kontrollere DT er i kolonnen "Unready #". Hvis der ikke er nogen "0"-værdier, skal du vente 15 minutter og køre kontrollen igen. Vend tilbage til sessionen med svc_patch, når der ikke er nogen uklare DT er. Svar "y" og fortsæt. Hvis svc_dt fortsætter med at angive værdier i "Unready #" DTs, skal du åbne en serviceanmodning hos ECS-supportteamet.
Kommando:
# svc_dt check -b
Eksempel:
admin@node1:~> svc_dt check -b svc_dt v1.0.25 (svc_tools v2.0.2) Started 2021-12-15 17:18:52 Date Total DT Unknown # Unready # RIS Fail # Dump Fail # Check type Time since check Check successful 2021-12-15 17:17:54 1920 0 0 0 0 AutoCheck 0m 58s True 2021-12-15 17:16:44 1920 0 0 0 0 AutoCheck 2m 8s True 2021-12-15 17:16:10 1920 0 0 0 0 Manual Check 2m 42s True 2021-12-15 17:15:34 1920 0 0 0 0 AutoCheck 3m 18s True 2021-12-15 17:14:24 1920 0 0 0 0 AutoCheck 4m 28s True 2021-12-15 17:13:13 1920 0 0 0 0 AutoCheck 5m 39s True 2021-12-15 17:12:03 1920 0 0 0 0 AutoCheck 6m 49s True 2021-12-15 17:10:53 1920 0 0 0 0 AutoCheck 7m 59s True 2021-12-15 17:09:43 1920 0 0 0 0 AutoCheck 9m 9s True 2021-12-15 17:08:32 1920 0 0 0 0 AutoCheck 10m 20s True
-
-
Alle tjenester genstartes ikke på alle noder, fordi de ikke køres på skærmen, og PuTTY-sessionen afsluttes for tidligt.
Eksempel: Tjenester genstartet på fire ud af seks noder efter at have logget ind igen. Se node 5 og 6 fremhævet nedenfor.
admin@node1:~> /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/svc_patch status svc_patch Version 2.9.1 Verifying patch bundle consistency DONE Detecting nodes in current VDC DONE Reading in patch details (1 of 2) DONE Reading in patch details (2 of 2) DONE Validating nodes are online DONE Checking Installed Patches and Dependencies DONE All nodes currently do not have the same patches installed. Patches/releases currently installed: 169.254.1.1: CVE-2021-44228_45046_log4j-fix 169.254.1.2: CVE-2021-44228_45046_log4j-fix 169.254.1.3: CVE-2021-44228_45046_log4j-fix 169.254.1.4: CVE-2021-44228_45046_log4j-fix 169.254.1.5: CVE-2021-44228_45046_log4j-fix 169.254.1.6: CVE-2021-44228_45046_log4j-fix Patches that need to be installed: 169.254.1.1: <None> 169.254.1.2: <None> 169.254.1.3: <None> 169.254.1.4: <None> 169.254.1.5: <None> 169.254.1.6: <None> Files that need to be installed: 169.254.1.1: <None> 169.254.1.2: <None> 169.254.1.3: <None> 169.254.1.4: <None> 169.254.1.5: <None> 169.254.1.6: <None> Services that need to be restarted: 169.254.1.1: <None> 169.254.1.2: <None> 169.254.1.3: <None> 169.254.1.4: <None> 169.254.1.5: ALL 169.254.1.6: ALL admin@ecsnode1:~>Løsning:
Kør proceduren igen, og de resterende noder, der oprindeligt blev savnet, får deres tjenester genstartet. De oprindelige noder, hvor tjenesterne var genstartet, er uberørte.admin@node1:~> /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/svc_patch install svc_patch Version 2.9.1 Verifying patch bundle consistency DONE Detecting nodes in current VDC DONE Reading in patch details (1 of 2) DONE Reading in patch details (2 of 2) DONE Validating nodes are online DONE Checking Installed Patches and Dependencies DONE All nodes currently do not have the same patches installed. Patches/releases currently installed: 169.254.1.1: CVE-2021-44228_45046_log4j-fix 169.254.1.2: CVE-2021-44228_45046_log4j-fix 169.254.1.3: CVE-2021-44228_45046_log4j-fix 169.254.1.4: CVE-2021-44228_45046_log4j-fix 169.254.1.5: CVE-2021-44228_45046_log4j-fix 169.254.1.6: CVE-2021-44228_45046_log4j-fix Patches that will be installed: 169.254.1.1: <None> 169.254.1.2: <None> 169.254.1.3: <None> 169.254.1.4: <None> 169.254.1.5: <None> 169.254.1.6: <None> Files that will be installed: 169.254.1.1: <None> 169.254.1.2: <None> 169.254.1.3: <None> 169.254.1.4: <None> 169.254.1.5: <None> 169.254.1.6: <None> Services that will be restarted: 169.254.1.1: <None> 169.254.1.2: <None> 169.254.1.3: <None> 169.254.1.4: <None> 169.254.1.5: ALL 169.254.1.6: ALL Patch Type: Standalone Number of nodes: 8 Number of seconds to wait between restarting node services: 450 Check DT status between node service restarts: true Do you wish to continue (y/n)?y No files to install on 169.254.1.1 Distributing patch installer to node '169.254.1.1' No files to install on 169.254.1.2 Distributing patch installer to node '169.254.1.2' No files to install on 169.254.1.3 Distributing patch installer to node '169.254.1.3' No files to install on 169.254.1.4 Distributing patch installer to node '169.254.1.4' No files to install on 169.254.1.5 Distributing patch installer to node '169.254.1.5' No files to install on 169.254.1.6 Distributing patch installer to node '169.254.1.6' No services to restart on 169.254.1.1 No services to restart on 169.254.1.2 No services to restart on 169.254.1.3 No services to restart on 169.254.1.4 Restarting services on 169.254.1.5 Restarting all services Waiting 450 seconds for services to stabilize...DONE Waiting for DTs to come online Restarting services on 169.254.1.6 Restarting all services Waiting 450 seconds for services to stabilize...DONE Waiting for DTs to come online Patching complete. admin@ecsnode1:~> -
Kunne ikke føje værten til listen over kendte værter under anvendelse af programrettelsen.
Eksempel:
svc_patch Version 2.9.1 Verifying patch bundle consistency DONE Detecting nodes in current VDC DONE Reading in patch details (1 of 2) DONE Reading in patch details (2 of 2) DONE Validating nodes are online FAILED ERROR: Could not execute commands on the object-main container on 169.254.x.x Output was 'Failed to add the host to the list of known hosts (/home/admin/.ssh/known_hosts). :patchtest:' Patching is unable to continue with unreachable nodes. To proceed: - Resolve problems accessing node(s) from this one. - Manually pass a MACHINES file containing the list of working nodes to patch (not recommended). - Contact your next level of support for other options or assistance.
Løsning:
Årsagen kan være, at brugeren af filen /home/admin/.ssh/known_hosts var root, som som standard skal være admin.Eksempel:
admin@node1:~> ls -l /home/admin/.ssh/known_hosts -rw------- 1 root root 1802 Jul 23 2019 /home/admin/.ssh/known_hosts admin@ecs:~>
For at løse problemet fra en anden PuTTY-session skal du logge på den eller de rapporterede noder og ændre brugeren til admin på de noder, hvor den er til stede som rodbruger, ved hjælp af nedenstående kommando på alle de rapporterede noder:
Kommando:
# sudo chown admin:users /home/admin/.ssh/known_hosts
Eksempel:
admin@node1:~> sudo chown admin:users /home/admin/.ssh/known_hosts
Kør nu svc_patch kommandoen igen, og den skal passere.
admin@node1:~> /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/svc_patch install
-
Kunne ikke køre kommandoer på objekt-hovedbeholderen på 169.254.x.x på grund af forkert værtsnøgle i /home/admin/.ssh/known_hosts.
Eksempel:
svc_patch Version 2.9.1 Verifying patch bundle consistency DONE Detecting nodes in current VDC DONE Reading in patch details (1 of 2) DONE Reading in patch details (2 of 2) DONE Validating nodes are online FAILED ERROR: Could not execute commands on the object-main container on 169.254.x.x Output was '@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ @ WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED! @ @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY! Someone could be eavesdropping on you right now (man-in-the-middle attack)! It is also possible that a host key has just been changed. The fingerprint for the ECDSA key sent by the remote host is SHA256:RcwOsFj7zPA5p5kSeYovF4UlZTm125nLVeCL1zCqOzc. Please contact your system administrator. Add correct host key in /home/admin/.ssh/known_hosts to get rid of this message. Offending ECDSA key in /home/admin/.ssh/known_hosts:14 You can use following command to remove the offending key: ssh-keygen -R 169.254.x.x -f /home/admin/.ssh/known_hosts Password authentication is disabled to avoid man-in-the-middle attacks. Keyboard-interactive authentication is disabled to avoid man-in-the-middle attacks. :patchtest:' Patching is unable to continue with unreachable nodes. To proceed: - Resolve problems accessing node(s) from this one. - Manually pass a MACHINES file containing the list of working nodes to patch (not recommended). - Contact your next level of support for other options or assistance.
Løsning:
Kontakt ECS-support for at få en løsning. -
Når du bruger xDoctor version 4.8-85.0 version til at anvende denne programrettelse, kan du få en advarsel, der skitserer, at md5sum ikke stemte overens for svc_base.py:
# /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/svc_patch status svc_patch Version 2.9.1 Verifying patch bundle consistency FAILED Patch bundle onsistency check failed - md5sums for one or more files in the patch bundle were invalid, or files were not found. svc_patch will attempt to validate files in the patch using MD5SUMS.bundle, which is bundled with the patch. Output from md5sum was: ./lib/libs/svc_base.py: FAILED md5sum: WARNING: 1 computed checksum did NOT match
Løsning:
Kør nedenstående kommandoer, før du anvender programrettelsen for at opdatere md5sum:# sudo sed -i '/svc_base.py/d' /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/MD5SUMS.bundle # sudo sed -i '/MD5SUMS.bundle/d' /opt/emc/xdoctor/.xdr_chksum
Affected Products
Elastic Cloud StorageProducts
ECS, ECS ApplianceArticle Properties
Article Number: 000194467
Article Type: Solution
Last Modified: 02 Dec 2025
Version: 28
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.