ECS: Solución de ECS a la vulnerabilidad de la ejecución remota de código Apache Log4j
Summary: Vulnerabilidad de seguridad de Apache Log4j
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Identificador de CVE CVE-2021-44228
Identificador de CVE CVE_2021-45046
Publicación de Apache: Ejecución remota de código Apache Log4j
Cause
Vulnerabilidad de seguridad de Apache Log4j
Resolution
¿Quién debe ejecutar este procedimiento?
Dell solicita que los clientes realicen este procedimiento de actualización de xDoctor e instalación del parche. Este es el método más rápido y seguro, ya que evita la exposición prolongada a esta vulnerabilidad Apache. Todos los pasos se detallan en esta base de conocimientos. También hay una guía en video que se puede seguir para acompañar este artículo de la base de conocimientos que se encuentra en el siguiente enlace.
Video: Apache-Log4j
Impacto del procedimiento:
Espere posibles tiempos de espera agotados de I/O mientras se reinician los servicios. Las aplicaciones que acceden al clúster deben ser capaces de manejar el tiempo de espera agotado de I/O. Se recomienda contar con una ventana de mantenimiento cuando ejecute este procedimiento.
Tiempo necesario para la actividad (aproximadamente):
De manera predeterminada, se establece una demora de aproximadamente 7 minutos por nodo entre reinicios de servicio. La cantidad de nodos en un centro de datos virtual (VDC) multiplicada por 7 minutos + 60 minutos para la preparación, la estabilización de DT y las comprobaciones posteriores necesarias.
Ejemplos:
Un sistema VDC de 48 nodos puede tardar aproximadamente 6,5 horas:
7,5 minutos x 48 (cantidad de nodos VDC) + 30 minutos (preparación) = 6,5 horas o 390 minutos
Un sistema VDC de ocho nodos puede tardar aproximadamente 1,5 horas:
7,5 minutos x 8 (cantidad de nodos VDC) + 30 minutos (preparación) = 1,5 horas o 90 minutos
Preguntas frecuentes:
P: ¿El parche es parte de la versión de xDoctor?
Un: El script de instalación del parche es parte de la versión 4.8-79.1 y superior de xDoctor. Las instrucciones para la descarga de xDoctor y la ejecución de la instalación del parche se encuentran en los pasos de resolución.
Pregunta: ¿Puedo actualizar varios VDC en paralelo?
Un: No. Parche 1 VDC a la vez.
P: ¿Puedo aplicar este parche en un ECS que tenga en ejecución el código versión 3.2.x o una versión anterior?
R: No, este parche solo se aplica a las versiones 3.3.x - 3.6.x de ECS. Abra una solicitud de servicio para programar una actualización de versiones anteriores.
P: Si actualizo ECS después de ejecutar este procedimiento, ¿debo volver a ejecutar el procedimiento después de la actualización?
Un: No, si se actualiza a una versión de código especificada en DSA-2021-273 que tiene la corrección permanente. Sí, si se actualiza a una versión de código no especificada en esta misma DSA.
P: ¿Es necesario volver a aplicar el parche en un sistema en el que se instaló anteriormente después de reemplazar un nodo, crear una nueva imagen o ampliarlo?
Un: No, si VDC se encuentra en la versión de código especificada en DSA-2021-273. Sí, si realiza alguna de estas acciones en un VDC que ejecuta una versión de código no especificada en este mismo DSA. Cuando se requiere un parche para estas situaciones, el ingeniero de Dell en cuestión se comunica con usted para informarle que se requiere una actualización.
P: ¿Con qué usuario debe iniciar sesión para ejecutar todos los comandos de este artículo de la base de conocimientos?
Un: Admin
P: ¿svc_patch tiene que ejecutar en todos los racks o con un archivo MACHINES especializado donde hay varios racks en un VDC?
Un: No, detecta automáticamente si existen varios racks y actualiza todos los nodos en todos los racks de ese VDC.
P: Me doy cuenta de que la versión objetivo de xDoctor ahora es 4.8-79.1 y no 4.8-79.0. ¿Por qué?
R: Los lanzamientos de xDoctor ocurren con frecuencia, por lo que siempre se recomienda actualizar a la versión más alta. Sin embargo, si anteriormente ejecutó Apache fix con 4.8-79.0, entonces el sistema está completamente protegido contra la vulnerabilidad y no es necesario volver a ejecutarlo.
Resumen de la resolución:
- Actualice el software ECS xDoctor a la versión 4.8.-79.1 o posterior
- Ejecute comprobaciones previas.
- Aplique el parche del sistema con la herramienta svc_patch incluida con xDoctor.
- Confirme que la corrección se haya aplicado.
- Solución de problemas.
Pasos para la resolución:
1. Actualice el software ECS xDoctor a la versión más reciente disponible.
-
Compruebe la versión de xDoctor que se ejecuta en el sistema. Si la versión es 4.8-79.1 o posterior, vaya al paso 2 "Ejecutar comprobaciones previas". Si ese no es el caso, continúe con los pasos que se indican a continuación.
Comando:
# sudo xdoctor --version
Ejemplo:
admin@node1:~> sudo xdoctor --version 4.8-79.1
- Inicie sesión en el sitio de soporte, conéctese directamente al enlace de descarga, busque xDoctor mediante la búsqueda por palabra clave y haga clic en el enlace RPM de xDoctor para descargar. Para ver las notas de la versión, vaya a Notas de la versión y seleccione Manuales y documentos en la barra lateral desde donde deberían estar disponibles para su descarga.
- Una vez descargado el RPM, utilice cualquier programa SCP remoto para cargar el archivo en el directorio /home/admin del primer nodo de ECS.
- Una vez finalizada la carga, acceda mediante el protocolo SSH al primer nodo del sistema ECS mediante el usuario administrador.
-
Actualice xDoctor en todos los nodos con la versión recientemente distribuida.
Comando:
# sudo xdoctor --upgrade --local=/home/admin/xDoctor4ECS-4.8-79.1.noarch.rpm
Ejemplo:
admin@node1:~> sudo xdoctor --upgrade --local=/home/admin/xDoctor4ECS-4.8-79.1.noarch.rpm 2021-12-20 12:06:11,358: xDoctor_4.8-78.2 - INFO : xDoctor Upgrader Instance (2:FTP_SFTP) 2021-12-20 12:06:11,358: xDoctor_4.8-78.2 - INFO : Local Upgrade (/home/admin/xDoctor4ECS-4.8-79.1.noarch.rpm) 2021-12-20 12:06:11,392: xDoctor_4.8-78.2 - INFO : Current Installed xDoctor version is 4.8-78.2 2021-12-20 12:06:11,429: xDoctor_4.8-78.2 - INFO : Requested package version is 4.8-79.1 2021-12-20 12:06:11,430: xDoctor_4.8-78.2 - INFO : Updating xDoctor RPM Package (RPM) 2021-12-20 12:06:11,482: xDoctor_4.8-78.2 - INFO : - Distribute package 2021-12-20 12:06:12,099: xDoctor_4.8-78.2 - INFO : - Install new rpm package 2021-12-20 12:06:37,829: xDoctor_4.8-78.2 - INFO : xDoctor successfully updated to version 4.8-79.1
-
Si el entorno es un VDC de múltiples racks, el nuevo paquete de xDoctor se debe instalar en el primer nodo de cada rack. Para identificar estos primeros racks, ejecute el siguiente comando. En esta instancia, hay cuatro racks y cuatro racks primarios resaltados.
-
Comando:
# svc_exec -m "ip address show private.4 |grep -w inet"
Ejemplo:
admin@ecsnode1~> svc_exec -m "ip address show private.4 |grep -w inet" svc_exec v1.0.2 (svc_tools v2.1.0) Started 2021-12-20 14:03:33 Output from node: r1n1 retval: 0 inet 169.254.1.1/16 brd 169.254.255.255 scope global private.4 Output from node: r2n1 retval: 0 inet 169.254.2.1/16 brd 169.254.255.255 scope global private.4 Output from node: r3n1 retval: 0 inet 169.254.3.1/16 brd 169.254.255.255 scope global private.4 Output from node: r4n1 retval: 0 inet 169.254.4.1/16 brd 169.254.255.255 scope global private.4 -
Copie el paquete del primer nodo del sistema (R1N1) en los otros primeros racks según se indica a continuación:
Ejemplo:
admin@ecsnode1~> scp xDoctor4ECS-4.8-79.1.noarch.rpm 169.254.2.1:/home/admin/ xDoctor4ECS-4.8-79.1.noarch.rpm 100% 32MB 31.9MB/s 00:00 admin@ecsnode1~> scp xDoctor4ECS-4.8-79.1.noarch.rpm 169.254.3.1:/home/admin/ xDoctor4ECS-4.8-79.1.noarch.rpm 100% 32MB 31.9MB/s 00:00 admin@ecsnode1~> scp xDoctor4ECS-4.8-79.1.noarch.rpm 169.254.4.1:/home/admin/ xDoctor4ECS-4.8-79.1.noarch.rpm 100% 32MB 31.9MB/s 00:00 admin@ecsnode1~>
-
Según el paso e anterior, ejecute el mismo comando de instalación de xDoctor en cada uno de los racks principales anteriores identificados anteriormente.
Comando:
# sudo xdoctor --upgrade --local=/home/admin/xDoctor4ECS-4.8-79.1.noarch.rpm
-
2. Ejecute comprobaciones previas.
-
Utilice el comando svc_dt para comprobar si los DT están estables. Los DT son estables si la columna "Unready #" muestra 0. Si la respuesta es afirmativa, continúe con la siguiente comprobación. Si la respuesta es negativa, espere 15 minutos y vuelva a revisar. Si los DT no se han estabilizado, abra una solicitud de servicio con el equipo de soporte de ECS.
Comando:
# svc_dt check -b
Ejemplo:
admin@node1:~> svc_dt check -b svc_dt v1.0.25 (svc_tools v2.0.2) Started 2021-12-16 16:44:51 Date Total DT Unknown # Unready # RIS Fail # Dump Fail # Check type Time since check Check successful 2021-12-16 16:43:44 2432 0 0 0 0 AutoCheck 1m 7s True 2021-12-16 16:42:33 2432 0 0 0 0 AutoCheck 2m 18s True 2021-12-16 16:41:23 2432 0 0 0 0 AutoCheck 3m 28s True 2021-12-16 16:40:13 2432 0 0 0 0 AutoCheck 4m 38s True 2021-12-16 16:39:02 2432 0 0 0 0 AutoCheck 5m 49s True 2021-12-16 16:37:52 2432 0 0 0 0 AutoCheck 6m 59s True 2021-12-16 16:36:42 2432 0 0 0 0 AutoCheck 8m 9s True 2021-12-16 16:35:31 2432 0 0 0 0 AutoCheck 9m 20s True 2021-12-16 16:34:21 2432 0 0 0 0 AutoCheck 10m 30s True 2021-12-16 16:33:11 2432 0 0 0 0 AutoCheck 11m 40s True
-
Utilice el comando svc_patch para validar que todos los nodos estén en línea. Si la respuesta es afirmativa, continúe con el siguiente paso. Si la respuesta es negativa, investigue el motivo, vuelva a conectarlo en línea y vuelva a ejecutar la comprobación. Si un nodo no se puede poner en línea, abra una solicitud de servicio con el equipo de soporte de ECS para investigar.
Comando:
# /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/svc_patch status
Ejemplo:
admin@node1:~> /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/svc_patch status svc_patch Version 2.9.1 Verifying patch bundle consistency DONE Detecting nodes in current VDC DONE Reading in patch details (1 of 2) DONE Reading in patch details (2 of 2) DONE Validating nodes are online DONE Checking Installed Patches and Dependencies DONE Patches/releases currently installed: [ None detected ] Patches that need to be installed: CVE-2021-44228_log4j-fix_3.3.x-3.6.2 (PatchID: 3298) Files that need to be installed: /opt/storageos/lib/log4j-core-2.5.jar (from CVE-2021-44228_log4j-fix_3.3.x-3.6.2) The following services need to be restarted: ALL
3. Aplique el parche del sistema con la herramienta svc_patch incluida con xDoctor.
-
Ejecute el svc_patch comando, escriba "y" y presione la tecla Intro cuando se le solicite que instale el parche. El comando se puede ejecutar en cualquier nodo de ECS.
Comandos:
# screen -S patchinstall
# unset TMOUT
# /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/svc_patch install
Ejemplo:
Nota: Hay un mensaje para continuar en el siguiente resultado.admin@node1:~> screen -S patchinstall admin@node1:~> unset TMOUT admin@node1:~> /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/svc_patch install svc_patch Version 2.9.1 Verifying patch bundle consistency DONE Detecting nodes in current VDC DONE Reading in patch details (1 of 2) DONE Reading in patch details (2 of 2) DONE Validating nodes are online DONE Checking Installed Patches and Dependencies DONE Patches/releases currently installed: [ None detected ] Patches that will be installed: CVE-2021-44228_log4j-fix_3.3.x-3.6.2 (PatchID: 3298) Files that will be installed: /opt/storageos/lib/log4j-core-2.5.jar (from CVE-2021-44228_log4j-fix_3.3.x-3.6.2) The following services will be restarted: ALL Patch Type: Standalone Number of nodes: 8 Number of seconds to wait between restarting node services: 450 Check DT status between node service restarts: true Do you wish to continue (y/n)?y [...Truncated Output of each node Distributing files and restarting services...] Distributing files to node 1xx.xxx.xx.xx Distributing patch installer to node '1xx.xxx.xx.xx' Restarting services on 1xx.xxx.xx.xx Restarting all services Waiting 180 seconds for services to stabilize... [...Truncated Output of each node Distributing files and restarting services...] Stopping ViPR services..done Services status 3: stat georeceiver eventsvc blobsvc dataheadsvc blobsvc-perf blobsvc-fi resourcesvc resourcesvc-perf resourcesvc-fi rm cm ssm objcontrolsvc metering sr storageserver nvmeengine nvmetargetviewer dtquery dtsm vnest coordinatorsvc ecsportalsvc transformsvc Setting up SSL certificates ...done Starting ViPR services..done Waiting 300 seconds for services to stabilize...DONE Patching complete. admin@node1:~>
-
Salir de la pantalla de sesión cuando se complete la actualización según el resultado anterior.
Ejemplo:
admin@node1:/> exit logout [screen is terminating] admin@node1:/>
Nota: Si cierra accidentalmente la sesión de PuTTY mientras la ejecución está en curso, vuelva a conectarla iniciando sesión nuevamente en el mismo nodo y ejecute el siguiente comando:Comando:
# screen -ls
admin@node 1:~> screen -ls There is a screen on: 114475.pts-0.ecs-n3 (Detached) 1 Socket in /var/run/uscreens/S-admin.Vuelva a conectarse a la sesión Desconectada de la salida anterior.
admin@node1:~> screen -r 114475.pts-0.ecs-n3
4. Confirme que la corrección se haya aplicado.
-
La salida que aparece a continuación proviene de un sistema en que se aplicó la corrección.
Comando:
# /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/svc_patch status
Ejemplo:
admin@node1:/> /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/svc_patch status svc_patch Version 2.9.1 Verifying patch bundle consistency DONE Detecting nodes in current VDC DONE Reading in patch details (1 of 2) DONE Reading in patch details (2 of 2) DONE Validating nodes are online DONE Checking Installed Patches and Dependencies DONE Patches/releases currently installed: CVE-2021-44228_log4j-fix_3.3.x-3.6.2 (PatchID: 3298) Fixes for Log4j vulnerabilities CVE-2021-44228 and CVE-2021-45046 Patches that need to be installed: No files need to be installed. The following services need to be restarted: No services need to be restarted. -
El siguiente resultado proviene de un sistema en el que no se aplicó la corrección.
Ejemplo:
admin@node1:/> /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/svc_patch status svc_patch Version 2.9.1 Verifying patch bundle consistency DONE Detecting nodes in current VDC DONE Reading in patch details (1 of 2) DONE Reading in patch details (2 of 2) DONE Validating nodes are online DONE Checking Installed Patches and Dependencies DONE Patches/releases currently installed: [ None detected ] Patches that need to be installed: CVE-2021-44228_log4j-fix_3.3.x-3.6.2 (PatchID: 3298) Files that need to be installed: /opt/storageos/lib/log4j-core-2.5.jar (from CVE-2021-44228_log4j-fix_3.3.x-3.6.2) The following services need to be restarted: ALL
Solución de problemas:
-
La estabilización de DT tarda demasiado
-
Si la estabilización de DT tarda más tiempo que los 7,5 minutos predeterminados, svc_patch aplicación solicita continuar o interrumpir el proceso de parches.
Ejemplo:
admin@node1:~> /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/svc_patch install [...Truncated Output of each node Distributing files and restarting services...] Restarting services on 1xx.xx.xx.xx Restarting all services Waiting 180 seconds for services to stabilize...DONE Waiting for DTs to come online ERROR: DT Check failed. DTs did not come ready or could not be checked after several passes. Do you wish to continue anyway (y/n)?
-
Abra una sesión de PuTTY en otro nodo y ejecute svc_dt comando para comprobar los DT en la columna "Unready #". Si no hay valores "0", espere 15 minutos y vuelva a ejecutar la comprobación. Vuelva a la sesión con svc_patch cuando no haya DT no preparadas. Responda “y” y continúe. Si svc_dt continúa enumerando valores en DT "Unready #", abra una solicitud de servicio con el equipo de soporte de ECS.
Comando:
# svc_dt check -b
Ejemplo:
admin@node1:~> svc_dt check -b svc_dt v1.0.25 (svc_tools v2.0.2) Started 2021-12-15 17:18:52 Date Total DT Unknown # Unready # RIS Fail # Dump Fail # Check type Time since check Check successful 2021-12-15 17:17:54 1920 0 0 0 0 AutoCheck 0m 58s True 2021-12-15 17:16:44 1920 0 0 0 0 AutoCheck 2m 8s True 2021-12-15 17:16:10 1920 0 0 0 0 Manual Check 2m 42s True 2021-12-15 17:15:34 1920 0 0 0 0 AutoCheck 3m 18s True 2021-12-15 17:14:24 1920 0 0 0 0 AutoCheck 4m 28s True 2021-12-15 17:13:13 1920 0 0 0 0 AutoCheck 5m 39s True 2021-12-15 17:12:03 1920 0 0 0 0 AutoCheck 6m 49s True 2021-12-15 17:10:53 1920 0 0 0 0 AutoCheck 7m 59s True 2021-12-15 17:09:43 1920 0 0 0 0 AutoCheck 9m 9s True 2021-12-15 17:08:32 1920 0 0 0 0 AutoCheck 10m 20s True
-
-
No todos los servicios se reinician en todos los nodos porque no se ejecutan en la pantalla y la sesión de PuTTY finaliza prematuramente.
Ejemplo: Los servicios se reiniciaron en cuatro de los seis nodos después de volver a iniciar sesión. Consulte los nodos 5 y 6 resaltados a continuación.
admin@node1:~> /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/svc_patch status svc_patch Version 2.9.1 Verifying patch bundle consistency DONE Detecting nodes in current VDC DONE Reading in patch details (1 of 2) DONE Reading in patch details (2 of 2) DONE Validating nodes are online DONE Checking Installed Patches and Dependencies DONE All nodes currently do not have the same patches installed. Patches/releases currently installed: 169.254.1.1: CVE-2021-44228_45046_log4j-fix 169.254.1.2: CVE-2021-44228_45046_log4j-fix 169.254.1.3: CVE-2021-44228_45046_log4j-fix 169.254.1.4: CVE-2021-44228_45046_log4j-fix 169.254.1.5: CVE-2021-44228_45046_log4j-fix 169.254.1.6: CVE-2021-44228_45046_log4j-fix Patches that need to be installed: 169.254.1.1: <None> 169.254.1.2: <None> 169.254.1.3: <None> 169.254.1.4: <None> 169.254.1.5: <None> 169.254.1.6: <None> Files that need to be installed: 169.254.1.1: <None> 169.254.1.2: <None> 169.254.1.3: <None> 169.254.1.4: <None> 169.254.1.5: <None> 169.254.1.6: <None> Services that need to be restarted: 169.254.1.1: <None> 169.254.1.2: <None> 169.254.1.3: <None> 169.254.1.4: <None> 169.254.1.5: ALL 169.254.1.6: ALL admin@ecsnode1:~>Solución:
Vuelva a ejecutar el procedimiento y los nodos restantes que se perdieron originalmente reiniciarán sus servicios. Los nodos originales en que se habían reiniciado los servicios están intactos.admin@node1:~> /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/svc_patch install svc_patch Version 2.9.1 Verifying patch bundle consistency DONE Detecting nodes in current VDC DONE Reading in patch details (1 of 2) DONE Reading in patch details (2 of 2) DONE Validating nodes are online DONE Checking Installed Patches and Dependencies DONE All nodes currently do not have the same patches installed. Patches/releases currently installed: 169.254.1.1: CVE-2021-44228_45046_log4j-fix 169.254.1.2: CVE-2021-44228_45046_log4j-fix 169.254.1.3: CVE-2021-44228_45046_log4j-fix 169.254.1.4: CVE-2021-44228_45046_log4j-fix 169.254.1.5: CVE-2021-44228_45046_log4j-fix 169.254.1.6: CVE-2021-44228_45046_log4j-fix Patches that will be installed: 169.254.1.1: <None> 169.254.1.2: <None> 169.254.1.3: <None> 169.254.1.4: <None> 169.254.1.5: <None> 169.254.1.6: <None> Files that will be installed: 169.254.1.1: <None> 169.254.1.2: <None> 169.254.1.3: <None> 169.254.1.4: <None> 169.254.1.5: <None> 169.254.1.6: <None> Services that will be restarted: 169.254.1.1: <None> 169.254.1.2: <None> 169.254.1.3: <None> 169.254.1.4: <None> 169.254.1.5: ALL 169.254.1.6: ALL Patch Type: Standalone Number of nodes: 8 Number of seconds to wait between restarting node services: 450 Check DT status between node service restarts: true Do you wish to continue (y/n)?y No files to install on 169.254.1.1 Distributing patch installer to node '169.254.1.1' No files to install on 169.254.1.2 Distributing patch installer to node '169.254.1.2' No files to install on 169.254.1.3 Distributing patch installer to node '169.254.1.3' No files to install on 169.254.1.4 Distributing patch installer to node '169.254.1.4' No files to install on 169.254.1.5 Distributing patch installer to node '169.254.1.5' No files to install on 169.254.1.6 Distributing patch installer to node '169.254.1.6' No services to restart on 169.254.1.1 No services to restart on 169.254.1.2 No services to restart on 169.254.1.3 No services to restart on 169.254.1.4 Restarting services on 169.254.1.5 Restarting all services Waiting 450 seconds for services to stabilize...DONE Waiting for DTs to come online Restarting services on 169.254.1.6 Restarting all services Waiting 450 seconds for services to stabilize...DONE Waiting for DTs to come online Patching complete. admin@ecsnode1:~> -
No se pudo agregar el host a la lista de hosts conocidos mientras se aplicaba el parche.
Ejemplo:
svc_patch Version 2.9.1 Verifying patch bundle consistency DONE Detecting nodes in current VDC DONE Reading in patch details (1 of 2) DONE Reading in patch details (2 of 2) DONE Validating nodes are online FAILED ERROR: Could not execute commands on the object-main container on 169.254.x.x Output was 'Failed to add the host to the list of known hosts (/home/admin/.ssh/known_hosts). :patchtest:' Patching is unable to continue with unreachable nodes. To proceed: - Resolve problems accessing node(s) from this one. - Manually pass a MACHINES file containing the list of working nodes to patch (not recommended). - Contact your next level of support for other options or assistance.
Solución:
El motivo podría ser que el usuario del archivo /home/admin/.ssh/known_hosts era root, que debería ser admin de forma predeterminada.Ejemplo:
admin@node1:~> ls -l /home/admin/.ssh/known_hosts -rw------- 1 root root 1802 Jul 23 2019 /home/admin/.ssh/known_hosts admin@ecs:~>
Para solucionar el problema desde otra sesión de PuTTY, inicie sesión en el o los nodos informados y cambie el usuario a admin en los nodos en los que está presente como usuario raíz mediante el siguiente comando en todos los nodos informados:
Comando:
# sudo chown admin:users /home/admin/.ssh/known_hosts
Ejemplo:
admin@node1:~> sudo chown admin:users /home/admin/.ssh/known_hosts
Ahora vuelva a ejecutar el comando svc_patch nuevamente y debería pasar.
admin@node1:~> /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/svc_patch install
-
No se pudieron ejecutar comandos en el contenedor object-main en 169.254.x.x debido a una clave de host incorrecta en /home/admin/.ssh/known_hosts.
Ejemplo:
svc_patch Version 2.9.1 Verifying patch bundle consistency DONE Detecting nodes in current VDC DONE Reading in patch details (1 of 2) DONE Reading in patch details (2 of 2) DONE Validating nodes are online FAILED ERROR: Could not execute commands on the object-main container on 169.254.x.x Output was '@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ @ WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED! @ @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY! Someone could be eavesdropping on you right now (man-in-the-middle attack)! It is also possible that a host key has just been changed. The fingerprint for the ECDSA key sent by the remote host is SHA256:RcwOsFj7zPA5p5kSeYovF4UlZTm125nLVeCL1zCqOzc. Please contact your system administrator. Add correct host key in /home/admin/.ssh/known_hosts to get rid of this message. Offending ECDSA key in /home/admin/.ssh/known_hosts:14 You can use following command to remove the offending key: ssh-keygen -R 169.254.x.x -f /home/admin/.ssh/known_hosts Password authentication is disabled to avoid man-in-the-middle attacks. Keyboard-interactive authentication is disabled to avoid man-in-the-middle attacks. :patchtest:' Patching is unable to continue with unreachable nodes. To proceed: - Resolve problems accessing node(s) from this one. - Manually pass a MACHINES file containing the list of working nodes to patch (not recommended). - Contact your next level of support for other options or assistance.
Solución:
Comuníquese con el soporte de ECS para obtener una resolución. -
Cuando utilice la versión 4.8-85.0 de xDoctor para aplicar este parche, es posible que reciba una alerta que indique que md5sum no coincidió con svc_base.py:
# /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/svc_patch status svc_patch Version 2.9.1 Verifying patch bundle consistency FAILED Patch bundle onsistency check failed - md5sums for one or more files in the patch bundle were invalid, or files were not found. svc_patch will attempt to validate files in the patch using MD5SUMS.bundle, which is bundled with the patch. Output from md5sum was: ./lib/libs/svc_base.py: FAILED md5sum: WARNING: 1 computed checksum did NOT match
Solución:
Ejecute los siguientes comandos antes de aplicar el parche para actualizar md5sum:# sudo sed -i '/svc_base.py/d' /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/MD5SUMS.bundle # sudo sed -i '/MD5SUMS.bundle/d' /opt/emc/xdoctor/.xdr_chksum
Affected Products
Elastic Cloud StorageProducts
ECS, ECS ApplianceArticle Properties
Article Number: 000194467
Article Type: Solution
Last Modified: 02 Dec 2025
Version: 28
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.