ECS: ECS Lösung für Sicherheitslücke in Apache Log4j durch Remoteausführung von Code
Summary: Sicherheitslücke bei Apache Log4j
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
CVE-Kennung CVE-2021-44228
CVE-Kennung CVE_2021-45046
Apache-Veröffentlichung: Apache Log4j Remote Code Execution
Cause
Sicherheitslücke bei Apache Log4j
Resolution
Wer sollte dieses Verfahren ausführen?
Dell bittet Kunden, dieses Verfahren des Upgrades von xDoctor und der Installation des Patches durchzuführen. Dies ist die schnellste und sicherste Methode, da sie eine längere Exposition gegenüber dieser Apache-Schwachstelle vermeidet. Alle Schritte werden in diesem Wissensdatenbank-Artikel beschrieben. Es gibt auch eine Videoanleitung zu diesem Wissensdatenbank-Artikel, die unter dem folgenden Link zu finden ist.
Video: Apache-Log4j
Auswirkungen des Verfahrens:
Rechnen Sie mit möglichen E/A-Zeitüberschreitungen, während Services neu gestartet werden. Anwendungen, die auf das Cluster zugreifen, müssen in der Lage sein, das E/A-Timeout zu verarbeiten. Für die Durchführung dieses Verfahrens wird ein Wartungszeitfenster empfohlen.
Zeitaufwand für die Aktivität (ca.):
Eine Verzögerung von ca. 7 Minuten wird standardmäßig pro Node zwischen Serviceneustarts festgelegt. Die Anzahl der Nodes in einem virtuellen Rechenzentrum (Virtual Data Center, VDC), multipliziert mit 7 Minuten + 60 Minuten für die Vorbereitung, DT-Stabilisierung und erforderliche Nachprüfungen.
Beispiele:
Ein VDC-System mit 48 Nodes kann ungefähr 6,5 Stunden dauern:
7,5 Minuten x 48 (Anzahl der VDC-Nodes) + 30 Minuten (Vorbereitung) = 6,5 Stunden oder 390 Minuten
Ein VDC-System mit 8 Nodes kann ungefähr 1,5 Stunden dauern:
7,5 Minuten x 8 (Anzahl der VDC-Nodes) + 30 Minuten (Vorbereitung) = 1,5 Stunden oder 90 Minuten
Häufig gestellte Fragen (FAQs):
F: Ist der Patch Teil der xDoctor-Version?
Ein: Das Patch-Installationsskript ist Teil von xDoctor-Version 4.8-79.1 und höher. Anweisungen zum Herunterladen von xDoctor und zum Ausführen der Patchinstallation befinden sich in den Lösungsschritten.
Frage: Kann ich mehrere VDCs parallel aktualisieren?
Ein: Nein. Führen Sie jeweils 1 VDC nach dem anderen aus.
F: Kann ich diesen Patch auf einem ECS anwenden, auf dem die Codeversion 3.2.x oder früher ausgeführt wird?
A: Nein, dieser Patch ist nur auf die ECS-Versionen 3.3.x bis 3.6.x anwendbar. Öffnen Sie einen Service-Request, um ein Upgrade für frühere Versionen zu planen.
F: Wenn ich nach dem Ausführen dieses Verfahrens ein Upgrade von ECS durchführe, führe ich das Verfahren nach dem Upgrade erneut aus?
Ein: Nein, wenn ein Upgrade auf eine in DSA-2021-273 angegebene Codeversion durchgeführt wird, die über die permanente Korrektur verfügt. Ja, wenn ein Upgrade auf eine Codeversion durchgeführt wird, die nicht in diesem DSA angegeben ist.
F: Muss der Patch nach einem Node-Austausch, einem Reimaging oder einer Erweiterung auf einem System, auf dem er zuvor installiert war, erneut angewendet werden?
Ein: Nein, wenn VDC die in DSA-2021-273 angegebene Codeversion aufweist. Ja, wenn Sie eine dieser Aktionen für ein VDC durchführen, auf dem eine Codeversion ausgeführt wird, die nicht in diesem DSA angegeben ist. Wenn für diese Szenarien ein Patch erforderlich ist, kontaktiert Sie der betreffende Dell Techniker, um Sie darüber zu informieren, dass ein Update erforderlich ist.
F: Mit welchem Nutzer sollten Sie angemeldet sein, um alle Befehle in diesem Wissensdatenbank-Artikel auszuführen?
Ein: Admin
F: Muss svc_patch auf allen Racks oder mit einer speziellen MACHINES-Datei ausgeführt werden, in der sich mehrere Racks in einem VDC befinden?
Ein: Nein, es erkennt automatisch, ob mehrere Racks vorhanden sind, und aktualisiert alle Nodes in allen Racks auf diesem VDC.
F: Ich stelle fest, dass die Zielversion von xDoctor jetzt 4.8-79.1 und nicht 4.8-79.0 ist. Warum?
A: xDoctor-Versionen treten häufig auf, daher wird immer empfohlen, ein Upgrade auf die höchste veröffentlichte Version durchzuführen. Wenn Sie jedoch zuvor den Apache-Fix mit 4.8-79.0 ausgeführt haben, ist das System vollständig gegen die Sicherheitslücke geschützt und muss nicht erneut ausgeführt werden.
Lösungszusammenfassung:
- Upgrade Ihrer ECS xDoctor-Software auf Version 4.8.-79.1 oder höher
- Führen Sie Vorabprüfungen aus.
- Wenden Sie den Systempatch mit dem svc_patch Tool an, das in xDoctor enthalten ist.
- Vergewissern Sie sich, dass die Korrektur angewendet wurde.
- Fehlerbehebung.
Schritte zur Problemlösung:
1. Aktualisieren Sie Ihre ECS xDoctor-Software auf die neueste verfügbare Version.
-
Überprüfen Sie, welche xDoctor-Version auf Ihrem System ausgeführt wird. Wenn die Version 4.8-79.1 oder höher ist, fahren Sie mit Schritt 2 "Vorabprüfungen ausführen" fort. Andernfalls fahren Sie mit den folgenden Schritten fort.
Befehl:
# sudo xdoctor --version
Beispiel:
admin@node1:~> sudo xdoctor --version 4.8-79.1
- Melden Sie sich bei der Support-Website an, stellen Sie eine direkte Verbindung zum Download-Link her, suchen Sie mithilfe der Stichwortsuche nach xDoctor und klicken Sie zum Herunterladen auf den xDoctor RPM-Link. Um die Versionshinweise anzuzeigen, folgen Sie den Versionshinweisen und wählen Sie Handbücher und Dokumente in der Seitenleiste aus, wo sie zum Download verfügbar sein sollen.
- Sobald das RPM heruntergeladen wurde, verwenden Sie ein beliebiges Remote-SCP-Programm, um die Datei in das Verzeichnis /home/admin auf dem ersten ECS-Node hochzuladen.
- Sobald der Upload abgeschlossen ist, stellen Sie eine SSH-Verbindung zum ersten Node des ECS-Systems über den Admin her.
-
Führen Sie ein Upgrade von xDoctor auf allen Nodes mit der neu veröffentlichten Version durch.
Befehl:
# sudo xdoctor --upgrade --local=/home/admin/xDoctor4ECS-4.8-79.1.noarch.rpm
Beispiel:
admin@node1:~> sudo xdoctor --upgrade --local=/home/admin/xDoctor4ECS-4.8-79.1.noarch.rpm 2021-12-20 12:06:11,358: xDoctor_4.8-78.2 - INFO : xDoctor Upgrader Instance (2:FTP_SFTP) 2021-12-20 12:06:11,358: xDoctor_4.8-78.2 - INFO : Local Upgrade (/home/admin/xDoctor4ECS-4.8-79.1.noarch.rpm) 2021-12-20 12:06:11,392: xDoctor_4.8-78.2 - INFO : Current Installed xDoctor version is 4.8-78.2 2021-12-20 12:06:11,429: xDoctor_4.8-78.2 - INFO : Requested package version is 4.8-79.1 2021-12-20 12:06:11,430: xDoctor_4.8-78.2 - INFO : Updating xDoctor RPM Package (RPM) 2021-12-20 12:06:11,482: xDoctor_4.8-78.2 - INFO : - Distribute package 2021-12-20 12:06:12,099: xDoctor_4.8-78.2 - INFO : - Install new rpm package 2021-12-20 12:06:37,829: xDoctor_4.8-78.2 - INFO : xDoctor successfully updated to version 4.8-79.1
-
Wenn es sich bei der Umgebung um ein VDC mit mehreren Racks handelt, muss das neue xDoctor-Paket auf dem ersten Node jedes Racks installiert werden. Um diese Primär-Nodes zu identifizieren, führen Sie den folgenden Befehl aus. In diesem Fall sind vier Racks und vier Primärracks hervorgehoben.
-
Befehl:
# svc_exec -m "ip address show private.4 |grep -w inet"
Beispiel:
admin@ecsnode1~> svc_exec -m "ip address show private.4 |grep -w inet" svc_exec v1.0.2 (svc_tools v2.1.0) Started 2021-12-20 14:03:33 Output from node: r1n1 retval: 0 inet 169.254.1.1/16 brd 169.254.255.255 scope global private.4 Output from node: r2n1 retval: 0 inet 169.254.2.1/16 brd 169.254.255.255 scope global private.4 Output from node: r3n1 retval: 0 inet 169.254.3.1/16 brd 169.254.255.255 scope global private.4 Output from node: r4n1 retval: 0 inet 169.254.4.1/16 brd 169.254.255.255 scope global private.4 -
Kopieren Sie das Paket vom ersten Node des Systems (R1N1) in die anderen Primär-Nodes wie unten beschrieben:
Beispiel:
admin@ecsnode1~> scp xDoctor4ECS-4.8-79.1.noarch.rpm 169.254.2.1:/home/admin/ xDoctor4ECS-4.8-79.1.noarch.rpm 100% 32MB 31.9MB/s 00:00 admin@ecsnode1~> scp xDoctor4ECS-4.8-79.1.noarch.rpm 169.254.3.1:/home/admin/ xDoctor4ECS-4.8-79.1.noarch.rpm 100% 32MB 31.9MB/s 00:00 admin@ecsnode1~> scp xDoctor4ECS-4.8-79.1.noarch.rpm 169.254.4.1:/home/admin/ xDoctor4ECS-4.8-79.1.noarch.rpm 100% 32MB 31.9MB/s 00:00 admin@ecsnode1~>
-
Führen Sie gemäß Schritt e oben denselben xDoctor-Installationsbefehl auf jedem der oben genannten primären Racks aus, die zuvor identifiziert wurden.
Befehl:
# sudo xdoctor --upgrade --local=/home/admin/xDoctor4ECS-4.8-79.1.noarch.rpm
-
2. Führen Sie Vorabprüfungen aus.
-
Verwenden Sie den Befehl svc_dt, um zu überprüfen, ob DTs stabil sind. DTs sind stabil, wenn in der Spalte "Unready #" 0 angezeigt wird. Ist dies der Fall, fahren Sie mit der nächsten Prüfung fort. Wenn nicht, warten Sie 15 Minuten und prüfen Sie erneut. Wenn sich DTs nicht stabilisiert haben, öffnen Sie einen Service-Request beim ECS-Supportteam.
Befehl:
# svc_dt check -b
Beispiel:
admin@node1:~> svc_dt check -b svc_dt v1.0.25 (svc_tools v2.0.2) Started 2021-12-16 16:44:51 Date Total DT Unknown # Unready # RIS Fail # Dump Fail # Check type Time since check Check successful 2021-12-16 16:43:44 2432 0 0 0 0 AutoCheck 1m 7s True 2021-12-16 16:42:33 2432 0 0 0 0 AutoCheck 2m 18s True 2021-12-16 16:41:23 2432 0 0 0 0 AutoCheck 3m 28s True 2021-12-16 16:40:13 2432 0 0 0 0 AutoCheck 4m 38s True 2021-12-16 16:39:02 2432 0 0 0 0 AutoCheck 5m 49s True 2021-12-16 16:37:52 2432 0 0 0 0 AutoCheck 6m 59s True 2021-12-16 16:36:42 2432 0 0 0 0 AutoCheck 8m 9s True 2021-12-16 16:35:31 2432 0 0 0 0 AutoCheck 9m 20s True 2021-12-16 16:34:21 2432 0 0 0 0 AutoCheck 10m 30s True 2021-12-16 16:33:11 2432 0 0 0 0 AutoCheck 11m 40s True
-
Verwenden Sie den Befehl svc_patch, um zu überprüfen, ob alle Nodes online sind. Ist dies der Fall, fahren Sie mit dem nächsten Schritt fort. Wenn nein, untersuchen Sie den Grund, schalten Sie es wieder online und führen Sie die Prüfung erneut aus. Wenn ein Node nicht online geschaltet werden kann, öffnen Sie einen Service-Request beim ECS-Supportteam, um ihn zu untersuchen.
Befehl:
# /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/svc_patch status
Beispiel:
admin@node1:~> /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/svc_patch status svc_patch Version 2.9.1 Verifying patch bundle consistency DONE Detecting nodes in current VDC DONE Reading in patch details (1 of 2) DONE Reading in patch details (2 of 2) DONE Validating nodes are online DONE Checking Installed Patches and Dependencies DONE Patches/releases currently installed: [ None detected ] Patches that need to be installed: CVE-2021-44228_log4j-fix_3.3.x-3.6.2 (PatchID: 3298) Files that need to be installed: /opt/storageos/lib/log4j-core-2.5.jar (from CVE-2021-44228_log4j-fix_3.3.x-3.6.2) The following services need to be restarted: ALL
3. Wenden Sie den Systempatch mit dem svc_patch Tool an, das in xDoctor enthalten ist.
-
Führen Sie den svc_patch-Befehl aus, geben Sie "y" ein und drücken Sie die Eingabetaste , wenn Sie aufgefordert werden, den Patch zu installieren. Der Befehl kann auf jedem ECS-Node ausgeführt werden.
Befehle:
# screen -S patchinstall
# unset TMOUT
# /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/svc_patch install
Beispiel:
Hinweis: In der folgenden Ausgabe wird eine Aufforderung zum Fortfahren angezeigt.admin@node1:~> screen -S patchinstall admin@node1:~> unset TMOUT admin@node1:~> /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/svc_patch install svc_patch Version 2.9.1 Verifying patch bundle consistency DONE Detecting nodes in current VDC DONE Reading in patch details (1 of 2) DONE Reading in patch details (2 of 2) DONE Validating nodes are online DONE Checking Installed Patches and Dependencies DONE Patches/releases currently installed: [ None detected ] Patches that will be installed: CVE-2021-44228_log4j-fix_3.3.x-3.6.2 (PatchID: 3298) Files that will be installed: /opt/storageos/lib/log4j-core-2.5.jar (from CVE-2021-44228_log4j-fix_3.3.x-3.6.2) The following services will be restarted: ALL Patch Type: Standalone Number of nodes: 8 Number of seconds to wait between restarting node services: 450 Check DT status between node service restarts: true Do you wish to continue (y/n)?y [...Truncated Output of each node Distributing files and restarting services...] Distributing files to node 1xx.xxx.xx.xx Distributing patch installer to node '1xx.xxx.xx.xx' Restarting services on 1xx.xxx.xx.xx Restarting all services Waiting 180 seconds for services to stabilize... [...Truncated Output of each node Distributing files and restarting services...] Stopping ViPR services..done Services status 3: stat georeceiver eventsvc blobsvc dataheadsvc blobsvc-perf blobsvc-fi resourcesvc resourcesvc-perf resourcesvc-fi rm cm ssm objcontrolsvc metering sr storageserver nvmeengine nvmetargetviewer dtquery dtsm vnest coordinatorsvc ecsportalsvc transformsvc Setting up SSL certificates ...done Starting ViPR services..done Waiting 300 seconds for services to stabilize...DONE Patching complete. admin@node1:~>
-
Bildschirm zum Beenden der Sitzung, wenn die Aktualisierung gemäß der obigen Ausgabe abgeschlossen ist.
Beispiel:
admin@node1:/> exit logout [screen is terminating] admin@node1:/>
Hinweis: Wenn Sie die PuTTY-Sitzung versehentlich schließen, während die Ausführung ausgeführt wird, stellen Sie eine erneute Verbindung her, indem Sie sich wieder bei demselben Node anmelden und den folgenden Befehl ausführen:Befehl:
# screen -ls
admin@node 1:~> screen -ls There is a screen on: 114475.pts-0.ecs-n3 (Detached) 1 Socket in /var/run/uscreens/S-admin.Erneut an eine getrennte Sitzung von der vorherigen Ausgabe anbinden.
admin@node1:~> screen -r 114475.pts-0.ecs-n3
4. Vergewissern Sie sich, dass die Korrektur angewendet wurde.
-
Die folgende Ausgabe stammt von einem System, auf dem die Korrektur angewendet wurde.
Befehl:
# /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/svc_patch status
Beispiel:
admin@node1:/> /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/svc_patch status svc_patch Version 2.9.1 Verifying patch bundle consistency DONE Detecting nodes in current VDC DONE Reading in patch details (1 of 2) DONE Reading in patch details (2 of 2) DONE Validating nodes are online DONE Checking Installed Patches and Dependencies DONE Patches/releases currently installed: CVE-2021-44228_log4j-fix_3.3.x-3.6.2 (PatchID: 3298) Fixes for Log4j vulnerabilities CVE-2021-44228 and CVE-2021-45046 Patches that need to be installed: No files need to be installed. The following services need to be restarted: No services need to be restarted. -
Die folgende Ausgabe stammt von einem System, auf das die Korrektur nicht angewendet wurde.
Beispiel:
admin@node1:/> /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/svc_patch status svc_patch Version 2.9.1 Verifying patch bundle consistency DONE Detecting nodes in current VDC DONE Reading in patch details (1 of 2) DONE Reading in patch details (2 of 2) DONE Validating nodes are online DONE Checking Installed Patches and Dependencies DONE Patches/releases currently installed: [ None detected ] Patches that need to be installed: CVE-2021-44228_log4j-fix_3.3.x-3.6.2 (PatchID: 3298) Files that need to be installed: /opt/storageos/lib/log4j-core-2.5.jar (from CVE-2021-44228_log4j-fix_3.3.x-3.6.2) The following services need to be restarted: ALL
Troubleshooting:
-
DT-Stabilisierung dauert zu lange
-
Wenn die DT-Stabilisierung mehr Zeit als die standardmäßigen 7,5 Minuten in Anspruch nimmt, fordert svc_patch Anwendung Sie auf, den Patch-Prozess fortzusetzen oder zu beenden.
Beispiel:
admin@node1:~> /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/svc_patch install [...Truncated Output of each node Distributing files and restarting services...] Restarting services on 1xx.xx.xx.xx Restarting all services Waiting 180 seconds for services to stabilize...DONE Waiting for DTs to come online ERROR: DT Check failed. DTs did not come ready or could not be checked after several passes. Do you wish to continue anyway (y/n)?
-
Öffnen Sie eine PuTTY-Sitzung auf einem anderen Node und führen Sie svc_dt Befehl aus, um DTs in der Spalte "Unready #" zu überprüfen. Wenn keine "0"-Werte vorhanden sind, warten Sie 15 Minuten und führen Sie die Prüfung erneut aus. Kehren Sie mit svc_patch zur Sitzung zurück, wenn keine DTs im Status „unready“ vorhanden sind. Antworten Sie mit „y“ und fahren Sie fort. Wenn svc_dt weiterhin Werte in "Unready #" DTs auflistet, öffnen Sie einen Service-Request beim ECS-Supportteam.
Befehl:
# svc_dt check -b
Beispiel:
admin@node1:~> svc_dt check -b svc_dt v1.0.25 (svc_tools v2.0.2) Started 2021-12-15 17:18:52 Date Total DT Unknown # Unready # RIS Fail # Dump Fail # Check type Time since check Check successful 2021-12-15 17:17:54 1920 0 0 0 0 AutoCheck 0m 58s True 2021-12-15 17:16:44 1920 0 0 0 0 AutoCheck 2m 8s True 2021-12-15 17:16:10 1920 0 0 0 0 Manual Check 2m 42s True 2021-12-15 17:15:34 1920 0 0 0 0 AutoCheck 3m 18s True 2021-12-15 17:14:24 1920 0 0 0 0 AutoCheck 4m 28s True 2021-12-15 17:13:13 1920 0 0 0 0 AutoCheck 5m 39s True 2021-12-15 17:12:03 1920 0 0 0 0 AutoCheck 6m 49s True 2021-12-15 17:10:53 1920 0 0 0 0 AutoCheck 7m 59s True 2021-12-15 17:09:43 1920 0 0 0 0 AutoCheck 9m 9s True 2021-12-15 17:08:32 1920 0 0 0 0 AutoCheck 10m 20s True
-
-
Es werden nicht alle Services auf allen Nodes neu gestartet, da sie nicht im Bildschirm ausgeführt werden und die PuTTY-Sitzung vorzeitig beendet wird.
Beispiel: Services wurden auf vier von sechs Nodes neu gestartet, nachdem sie sich wieder angemeldet hatten. Siehe unten hervorgehobene Nodes 5 und 6.
admin@node1:~> /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/svc_patch status svc_patch Version 2.9.1 Verifying patch bundle consistency DONE Detecting nodes in current VDC DONE Reading in patch details (1 of 2) DONE Reading in patch details (2 of 2) DONE Validating nodes are online DONE Checking Installed Patches and Dependencies DONE All nodes currently do not have the same patches installed. Patches/releases currently installed: 169.254.1.1: CVE-2021-44228_45046_log4j-fix 169.254.1.2: CVE-2021-44228_45046_log4j-fix 169.254.1.3: CVE-2021-44228_45046_log4j-fix 169.254.1.4: CVE-2021-44228_45046_log4j-fix 169.254.1.5: CVE-2021-44228_45046_log4j-fix 169.254.1.6: CVE-2021-44228_45046_log4j-fix Patches that need to be installed: 169.254.1.1: <None> 169.254.1.2: <None> 169.254.1.3: <None> 169.254.1.4: <None> 169.254.1.5: <None> 169.254.1.6: <None> Files that need to be installed: 169.254.1.1: <None> 169.254.1.2: <None> 169.254.1.3: <None> 169.254.1.4: <None> 169.254.1.5: <None> 169.254.1.6: <None> Services that need to be restarted: 169.254.1.1: <None> 169.254.1.2: <None> 169.254.1.3: <None> 169.254.1.4: <None> 169.254.1.5: ALL 169.254.1.6: ALL admin@ecsnode1:~>Lösung:
Führen Sie das Verfahren erneut aus, und die verbleibenden Nodes, die ursprünglich übersehen wurden, erhalten einen Neustart. Die ursprünglichen Nodes, auf denen die Services neu gestartet wurden, bleiben unangetastet.admin@node1:~> /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/svc_patch install svc_patch Version 2.9.1 Verifying patch bundle consistency DONE Detecting nodes in current VDC DONE Reading in patch details (1 of 2) DONE Reading in patch details (2 of 2) DONE Validating nodes are online DONE Checking Installed Patches and Dependencies DONE All nodes currently do not have the same patches installed. Patches/releases currently installed: 169.254.1.1: CVE-2021-44228_45046_log4j-fix 169.254.1.2: CVE-2021-44228_45046_log4j-fix 169.254.1.3: CVE-2021-44228_45046_log4j-fix 169.254.1.4: CVE-2021-44228_45046_log4j-fix 169.254.1.5: CVE-2021-44228_45046_log4j-fix 169.254.1.6: CVE-2021-44228_45046_log4j-fix Patches that will be installed: 169.254.1.1: <None> 169.254.1.2: <None> 169.254.1.3: <None> 169.254.1.4: <None> 169.254.1.5: <None> 169.254.1.6: <None> Files that will be installed: 169.254.1.1: <None> 169.254.1.2: <None> 169.254.1.3: <None> 169.254.1.4: <None> 169.254.1.5: <None> 169.254.1.6: <None> Services that will be restarted: 169.254.1.1: <None> 169.254.1.2: <None> 169.254.1.3: <None> 169.254.1.4: <None> 169.254.1.5: ALL 169.254.1.6: ALL Patch Type: Standalone Number of nodes: 8 Number of seconds to wait between restarting node services: 450 Check DT status between node service restarts: true Do you wish to continue (y/n)?y No files to install on 169.254.1.1 Distributing patch installer to node '169.254.1.1' No files to install on 169.254.1.2 Distributing patch installer to node '169.254.1.2' No files to install on 169.254.1.3 Distributing patch installer to node '169.254.1.3' No files to install on 169.254.1.4 Distributing patch installer to node '169.254.1.4' No files to install on 169.254.1.5 Distributing patch installer to node '169.254.1.5' No files to install on 169.254.1.6 Distributing patch installer to node '169.254.1.6' No services to restart on 169.254.1.1 No services to restart on 169.254.1.2 No services to restart on 169.254.1.3 No services to restart on 169.254.1.4 Restarting services on 169.254.1.5 Restarting all services Waiting 450 seconds for services to stabilize...DONE Waiting for DTs to come online Restarting services on 169.254.1.6 Restarting all services Waiting 450 seconds for services to stabilize...DONE Waiting for DTs to come online Patching complete. admin@ecsnode1:~> -
Der Host konnte der Liste der bekannten Hosts während der Anwendung des Patches nicht hinzugefügt werden.
Beispiel:
svc_patch Version 2.9.1 Verifying patch bundle consistency DONE Detecting nodes in current VDC DONE Reading in patch details (1 of 2) DONE Reading in patch details (2 of 2) DONE Validating nodes are online FAILED ERROR: Could not execute commands on the object-main container on 169.254.x.x Output was 'Failed to add the host to the list of known hosts (/home/admin/.ssh/known_hosts). :patchtest:' Patching is unable to continue with unreachable nodes. To proceed: - Resolve problems accessing node(s) from this one. - Manually pass a MACHINES file containing the list of working nodes to patch (not recommended). - Contact your next level of support for other options or assistance.
Lösung:
Der Grund könnte sein, dass der Benutzer der Datei /home/admin/.ssh/known_hosts root war, was standardmäßig admin sein sollte.Beispiel:
admin@node1:~> ls -l /home/admin/.ssh/known_hosts -rw------- 1 root root 1802 Jul 23 2019 /home/admin/.ssh/known_hosts admin@ecs:~>
Um das Problem in einer anderen PuTTY-Sitzung zu beheben, melden Sie sich bei dem gemeldeten Node oder den gemeldeten Nodes an und ändern Sie den Nutzer auf den Nodes, auf denen er vorhanden ist, als Root-Nutzer, indem Sie den folgenden Befehl auf allen gemeldeten Nodes verwenden:
Befehl:
# sudo chown admin:users /home/admin/.ssh/known_hosts
Beispiel:
admin@node1:~> sudo chown admin:users /home/admin/.ssh/known_hosts
Führen Sie nun den svc_patch Befehl erneut aus. Er sollte abgeschlossen sein.
admin@node1:~> /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/svc_patch install
-
Befehle konnten auf dem Objekthauptcontainer auf 169.254.x.x aufgrund eines falschen Hostschlüssels in /home/admin/.ssh/known_hosts nicht ausgeführt werden.
Beispiel:
svc_patch Version 2.9.1 Verifying patch bundle consistency DONE Detecting nodes in current VDC DONE Reading in patch details (1 of 2) DONE Reading in patch details (2 of 2) DONE Validating nodes are online FAILED ERROR: Could not execute commands on the object-main container on 169.254.x.x Output was '@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ @ WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED! @ @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY! Someone could be eavesdropping on you right now (man-in-the-middle attack)! It is also possible that a host key has just been changed. The fingerprint for the ECDSA key sent by the remote host is SHA256:RcwOsFj7zPA5p5kSeYovF4UlZTm125nLVeCL1zCqOzc. Please contact your system administrator. Add correct host key in /home/admin/.ssh/known_hosts to get rid of this message. Offending ECDSA key in /home/admin/.ssh/known_hosts:14 You can use following command to remove the offending key: ssh-keygen -R 169.254.x.x -f /home/admin/.ssh/known_hosts Password authentication is disabled to avoid man-in-the-middle attacks. Keyboard-interactive authentication is disabled to avoid man-in-the-middle attacks. :patchtest:' Patching is unable to continue with unreachable nodes. To proceed: - Resolve problems accessing node(s) from this one. - Manually pass a MACHINES file containing the list of working nodes to patch (not recommended). - Contact your next level of support for other options or assistance.
Lösung:
Wenden Sie sich an den ECS-Support, um eine Lösung zu erhalten. -
Wenn Sie die xDoctor-Version 4.8-85.0 verwenden, um diesen Patch anzuwenden, erhalten Sie möglicherweise eine Warnmeldung, die darauf hinweist, dass die md5sum-Werte für svc_base.py nicht übereinstimmen:
# /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/svc_patch status svc_patch Version 2.9.1 Verifying patch bundle consistency FAILED Patch bundle onsistency check failed - md5sums for one or more files in the patch bundle were invalid, or files were not found. svc_patch will attempt to validate files in the patch using MD5SUMS.bundle, which is bundled with the patch. Output from md5sum was: ./lib/libs/svc_base.py: FAILED md5sum: WARNING: 1 computed checksum did NOT match
Lösung:
Führen Sie die folgenden Befehle aus, bevor Sie den Patch anwenden, um md5sum zu aktualisieren:# sudo sed -i '/svc_base.py/d' /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/MD5SUMS.bundle # sudo sed -i '/MD5SUMS.bundle/d' /opt/emc/xdoctor/.xdr_chksum
Affected Products
Elastic Cloud StorageProducts
ECS, ECS ApplianceArticle Properties
Article Number: 000194467
Article Type: Solution
Last Modified: 02 Dec 2025
Version: 28
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.