ECS : solution ECS à la faille de sécurité relative à l’exécution du code distant Apache Log4j
Summary: Faille de sécurité Apache Log4j
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Identifiant CVE CVE-2021-44228
Identifiant CVE CVE_2021-45046
Publication Apache : Exécution du code distant Apache Log4j
Cause
Faille de sécurité Apache Log4j
Resolution
Qui doit exécuter cette procédure ?
Dell demande aux clients d’effectuer cette procédure de mise à niveau de xDoctor et d’installation du correctif. Il s’agit de la méthode la plus rapide et la plus sûre, car elle évite une exposition prolongée à cette vulnérabilité Apache. Toutes les étapes sont détaillées dans cet article de la base de connaissances. Il existe également un guide vidéo qui accompagne cette base de connaissances et qui se trouve sur le lien ci-dessous.
Vidéo : Apache-Log4j
Impact de la procédure :
Attendez-vous à des délais d’expiration des E/S possibles pendant le redémarrage des services. Les applications qui accèdent au cluster doivent être en mesure de gérer le délai d’expiration des E/S. Une fenêtre de maintenance est conseillée lors de l’exécution de cette procédure.
Temps nécessaire à l’activité (environ) :
Un délai d’environ 7 minutes est défini par défaut par nœud entre les redémarrages de service. Le nombre de nœuds dans un datacenter virtuel (VDC) est multiplié par 7 minutes + 60 minutes pour la préparation, la stabilisation de DT et les vérifications postérieures nécessaires.
Exemples:
Un système VDC à 48 nœuds peut prendre environ 6,5 heures :
7,5 minutes x 48 (nombre de nœuds VDC) + 30 minutes (préparation) = 6,5 heures ou 390 minutes
Un système VDC à huit nœuds peut prendre environ 1,5 heure :
7,5 minutes x 8 (nombre de nœuds VDC) + 30 minutes (préparation) = 1,5 heure ou 90 minutes
Questions fréquentes (FAQ) :
Q : Le correctif fait-il partie de la version xDoctor ?
Un: Le script d’installation du correctif fait partie de xDoctor version 4.8-79.1 et versions ultérieures. Les instructions relatives au téléchargement de xDoctor et à l’exécution de l’installation du correctif se trouvent dans les étapes de résolution.
Q : Puis-je mettre à jour plusieurs VDC en parallèle ?
Un: Non. Corrigez 1 VDC à la fois.
Q : Puis-je appliquer ce correctif à ECS exécutant le code version 3.2.x ou une version antérieure ?
R : Non, ce problème s’applique uniquement aux versions 3.3.x - 3.6.x. d’ECS. Ouvrez une demande de service pour planifier une mise à niveau pour les versions antérieures.
Q : Si je mets à niveau ECS après avoir exécuté cette procédure, dois-je exécuter de nouveau la procédure après la mise à niveau ?
Un: Non, si vous effectuez une mise à niveau vers une version de code spécifiée dans DSA-2021-273 qui contient le correctif permanent. Oui, en cas de mise à niveau vers une version de code non spécifiée dans ce même DSA.
Q : Le correctif doit-il être réappliqué sur un système où il a été précédemment installé après le remplacement d’un nœud, une nouvelle image ou une extension ?
Un: Non, si la version de code du VDC est spécifiée dans DSA-2021-273. Oui, si vous effectuez l’une de ces actions sur un VDC exécutant une version de code non spécifiée dans ce même DSA. Lorsqu’un correctif est nécessaire dans ces scénarios, l’ingénieur Dell en question vous contacte pour vous informer qu’une mise à jour est nécessaire.
Q : Sur quel utilisateur devez-vous être connecté pour exécuter toutes les commandes de cet article de la base de connaissances ?
Un: Administrateur
Q : Devez-svc_patch doit être exécuté sur tous les racks ou avec un fichier MACHINES spécialisé où plusieurs racks se trouvent dans un VDC ?
Un: Non, il détecte automatiquement s’il existe plusieurs racks et met à jour tous les nœuds de tous les racks de ce VDC.
Q : Je remarque que la version cible de xDoctor est maintenant 4.8-79.1 et non 4.8-79.0. Pourquoi?
R : Les versions de xDoctor sont fréquentes. Il est donc toujours recommandé d’effectuer une mise à niveau vers la version la plus récente. Toutefois, si vous avez déjà exécuté le correctif Apache à l’aide de la version 4.8-79.0, le système est entièrement protégé contre la vulnérabilité et n’a pas besoin d’être réexécuté.
Résumé de la résolution :
- Mettez à niveau le logiciel ECS xDoctor vers la version 4.8-79.1 ou une version ultérieure
- Exécutez les vérifications préalables.
- Appliquez le correctif système à l’aide de l’outil svc_patch inclus avec xDoctor.
- Assurez-vous que la correction a bien été effectuée.
- Dépannage
Procédure de résolution :
1. Mettez à niveau le logiciel ECS xDoctor vers la dernière version disponible.
-
Vérifiez la version de xDoctor en cours d’exécution sur votre système. Si la version est 4.8-79.1 ou ultérieure, passez à l’étape 2 « Exécuter les vérifications préalables ». Dans le cas contraire, suivez les étapes ci-dessous.
Commande :
# sudo xdoctor --version
Exemple :
admin@node1:~> sudo xdoctor --version 4.8-79.1
- Connectez-vous au site de support, connectez-vous directement au lien de téléchargement, recherchez xDoctor à l’aide de la recherche par mot-clé, puis cliquez sur le lien RPM xDoctor pour télécharger. Pour afficher les notes de mise à jour, suivez les notes de mise à jour, sélectionnez Manuels et documents dans la barre latérale à partir de laquelle ils doivent être disponibles au téléchargement.
- Une fois le RPM téléchargé, utilisez n’importe quel programme SCP distant pour charger le fichier dans le répertoire /home/admin du premier nœud ECS.
- Une fois le téléchargement terminé, envoyez la commande SSH au premier nœud du système ECS à l’aide d’admin.
-
Mettez à niveau xDoctor sur tous les nœuds avec la nouvelle version distribuée.
Commande :
# sudo xdoctor --upgrade --local=/home/admin/xDoctor4ECS-4.8-79.1.noarch.rpm
Exemple :
admin@node1:~> sudo xdoctor --upgrade --local=/home/admin/xDoctor4ECS-4.8-79.1.noarch.rpm 2021-12-20 12:06:11,358: xDoctor_4.8-78.2 - INFO : xDoctor Upgrader Instance (2:FTP_SFTP) 2021-12-20 12:06:11,358: xDoctor_4.8-78.2 - INFO : Local Upgrade (/home/admin/xDoctor4ECS-4.8-79.1.noarch.rpm) 2021-12-20 12:06:11,392: xDoctor_4.8-78.2 - INFO : Current Installed xDoctor version is 4.8-78.2 2021-12-20 12:06:11,429: xDoctor_4.8-78.2 - INFO : Requested package version is 4.8-79.1 2021-12-20 12:06:11,430: xDoctor_4.8-78.2 - INFO : Updating xDoctor RPM Package (RPM) 2021-12-20 12:06:11,482: xDoctor_4.8-78.2 - INFO : - Distribute package 2021-12-20 12:06:12,099: xDoctor_4.8-78.2 - INFO : - Install new rpm package 2021-12-20 12:06:37,829: xDoctor_4.8-78.2 - INFO : xDoctor successfully updated to version 4.8-79.1
-
Si l’environnement est un VDC multirack, le nouveau package xDoctor doit être installé sur le premier nœud de chaque rack. Pour identifier ces composants primaires du rack, exécutez la commande ci-dessous. Dans ce cas, quatre racks et quatre racks principaux sont mis en surbrillance.
-
Commande :
# svc_exec -m "ip address show private.4 |grep -w inet"
Exemple :
admin@ecsnode1~> svc_exec -m "ip address show private.4 |grep -w inet" svc_exec v1.0.2 (svc_tools v2.1.0) Started 2021-12-20 14:03:33 Output from node: r1n1 retval: 0 inet 169.254.1.1/16 brd 169.254.255.255 scope global private.4 Output from node: r2n1 retval: 0 inet 169.254.2.1/16 brd 169.254.255.255 scope global private.4 Output from node: r3n1 retval: 0 inet 169.254.3.1/16 brd 169.254.255.255 scope global private.4 Output from node: r4n1 retval: 0 inet 169.254.4.1/16 brd 169.254.255.255 scope global private.4 -
Copiez le package à partir du premier nœud du système (R1N1) vers les autres racks primaires ci-dessous :
Exemple :
admin@ecsnode1~> scp xDoctor4ECS-4.8-79.1.noarch.rpm 169.254.2.1:/home/admin/ xDoctor4ECS-4.8-79.1.noarch.rpm 100% 32MB 31.9MB/s 00:00 admin@ecsnode1~> scp xDoctor4ECS-4.8-79.1.noarch.rpm 169.254.3.1:/home/admin/ xDoctor4ECS-4.8-79.1.noarch.rpm 100% 32MB 31.9MB/s 00:00 admin@ecsnode1~> scp xDoctor4ECS-4.8-79.1.noarch.rpm 169.254.4.1:/home/admin/ xDoctor4ECS-4.8-79.1.noarch.rpm 100% 32MB 31.9MB/s 00:00 admin@ecsnode1~>
-
À l’étape e ci-dessus, exécutez la même commande d’installation xDoctor sur chacun des principaux racks identifiés précédemment.
Commande :
# sudo xdoctor --upgrade --local=/home/admin/xDoctor4ECS-4.8-79.1.noarch.rpm
-
2. Exécutez les vérifications préalables.
-
Utilisez la commande svc_dt pour vérifier si les DT sont stables. Les DT sont stables si la colonne « Unready # » affiche 0. Si cela est le cas, passez à la vérification suivante. Si ce n’est pas le cas, patientez 15 minutes et vérifiez à nouveau. Si les DT ne se sont pas stabilisés, ouvrez une demande de service auprès de l’équipe de support ECS.
Commande :
# svc_dt check -b
Exemple :
admin@node1:~> svc_dt check -b svc_dt v1.0.25 (svc_tools v2.0.2) Started 2021-12-16 16:44:51 Date Total DT Unknown # Unready # RIS Fail # Dump Fail # Check type Time since check Check successful 2021-12-16 16:43:44 2432 0 0 0 0 AutoCheck 1m 7s True 2021-12-16 16:42:33 2432 0 0 0 0 AutoCheck 2m 18s True 2021-12-16 16:41:23 2432 0 0 0 0 AutoCheck 3m 28s True 2021-12-16 16:40:13 2432 0 0 0 0 AutoCheck 4m 38s True 2021-12-16 16:39:02 2432 0 0 0 0 AutoCheck 5m 49s True 2021-12-16 16:37:52 2432 0 0 0 0 AutoCheck 6m 59s True 2021-12-16 16:36:42 2432 0 0 0 0 AutoCheck 8m 9s True 2021-12-16 16:35:31 2432 0 0 0 0 AutoCheck 9m 20s True 2021-12-16 16:34:21 2432 0 0 0 0 AutoCheck 10m 30s True 2021-12-16 16:33:11 2432 0 0 0 0 AutoCheck 11m 40s True
-
Utilisez la commande svc_patch pour vérifier que tous les nœuds sont en ligne. Si cela est le cas, passez à l’étape suivante. Si ce n’est pas le cas, recherchez le motif, remettez-le en ligne et exécutez à nouveau la vérification. Si un nœud ne peut pas être mis en ligne, ouvrez une demande de service auprès de l’équipe de support ECS pour enquêter.
Commande :
# /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/svc_patch status
Exemple :
admin@node1:~> /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/svc_patch status svc_patch Version 2.9.1 Verifying patch bundle consistency DONE Detecting nodes in current VDC DONE Reading in patch details (1 of 2) DONE Reading in patch details (2 of 2) DONE Validating nodes are online DONE Checking Installed Patches and Dependencies DONE Patches/releases currently installed: [ None detected ] Patches that need to be installed: CVE-2021-44228_log4j-fix_3.3.x-3.6.2 (PatchID: 3298) Files that need to be installed: /opt/storageos/lib/log4j-core-2.5.jar (from CVE-2021-44228_log4j-fix_3.3.x-3.6.2) The following services need to be restarted: ALL
3. Appliquez le correctif système à l’aide de l’outil svc_patch inclus avec xDoctor.
-
Exécutez la commande svc_patch, saisissez « y » et appuyez sur la touche Entrée lorsque vous êtes invité à installer le correctif. La commande peut s’exécuter sur n’importe quel nœud ECS.
Commandes :
# screen -S patchinstall
# unset TMOUT
# /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/svc_patch install
Exemple :
Remarque : Vous êtes invité à poursuivre dans la sortie ci-dessous.admin@node1:~> screen -S patchinstall admin@node1:~> unset TMOUT admin@node1:~> /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/svc_patch install svc_patch Version 2.9.1 Verifying patch bundle consistency DONE Detecting nodes in current VDC DONE Reading in patch details (1 of 2) DONE Reading in patch details (2 of 2) DONE Validating nodes are online DONE Checking Installed Patches and Dependencies DONE Patches/releases currently installed: [ None detected ] Patches that will be installed: CVE-2021-44228_log4j-fix_3.3.x-3.6.2 (PatchID: 3298) Files that will be installed: /opt/storageos/lib/log4j-core-2.5.jar (from CVE-2021-44228_log4j-fix_3.3.x-3.6.2) The following services will be restarted: ALL Patch Type: Standalone Number of nodes: 8 Number of seconds to wait between restarting node services: 450 Check DT status between node service restarts: true Do you wish to continue (y/n)?y [...Truncated Output of each node Distributing files and restarting services...] Distributing files to node 1xx.xxx.xx.xx Distributing patch installer to node '1xx.xxx.xx.xx' Restarting services on 1xx.xxx.xx.xx Restarting all services Waiting 180 seconds for services to stabilize... [...Truncated Output of each node Distributing files and restarting services...] Stopping ViPR services..done Services status 3: stat georeceiver eventsvc blobsvc dataheadsvc blobsvc-perf blobsvc-fi resourcesvc resourcesvc-perf resourcesvc-fi rm cm ssm objcontrolsvc metering sr storageserver nvmeengine nvmetargetviewer dtquery dtsm vnest coordinatorsvc ecsportalsvc transformsvc Setting up SSL certificates ...done Starting ViPR services..done Waiting 300 seconds for services to stabilize...DONE Patching complete. admin@node1:~>
-
Quittez l’écran de la session lorsque la mise à jour est terminée conformément à la sortie ci-dessus.
Exemple :
admin@node1:/> exit logout [screen is terminating] admin@node1:/>
Remarque : Si vous fermez accidentellement la session PuTTY alors que l’exécution est en cours, rattachez-la en vous reconnectant au même nœud et exécutez la commande ci-dessous :Commande :
# screen -ls
admin@node 1:~> screen -ls There is a screen on: 114475.pts-0.ecs-n3 (Detached) 1 Socket in /var/run/uscreens/S-admin.Rattachez-les à la session détachée à partir de la sortie précédente.
admin@node1:~> screen -r 114475.pts-0.ecs-n3
4. Assurez-vous que la correction a bien été effectuée.
-
La sortie ci-dessous provient d’un système sur lequel le correctif a été appliqué.
Commande :
# /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/svc_patch status
Exemple :
admin@node1:/> /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/svc_patch status svc_patch Version 2.9.1 Verifying patch bundle consistency DONE Detecting nodes in current VDC DONE Reading in patch details (1 of 2) DONE Reading in patch details (2 of 2) DONE Validating nodes are online DONE Checking Installed Patches and Dependencies DONE Patches/releases currently installed: CVE-2021-44228_log4j-fix_3.3.x-3.6.2 (PatchID: 3298) Fixes for Log4j vulnerabilities CVE-2021-44228 and CVE-2021-45046 Patches that need to be installed: No files need to be installed. The following services need to be restarted: No services need to be restarted. -
Le résultat ci-dessous provient d’un système sur lequel le correctif n’a pas été appliqué.
Exemple :
admin@node1:/> /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/svc_patch status svc_patch Version 2.9.1 Verifying patch bundle consistency DONE Detecting nodes in current VDC DONE Reading in patch details (1 of 2) DONE Reading in patch details (2 of 2) DONE Validating nodes are online DONE Checking Installed Patches and Dependencies DONE Patches/releases currently installed: [ None detected ] Patches that need to be installed: CVE-2021-44228_log4j-fix_3.3.x-3.6.2 (PatchID: 3298) Files that need to be installed: /opt/storageos/lib/log4j-core-2.5.jar (from CVE-2021-44228_log4j-fix_3.3.x-3.6.2) The following services need to be restarted: ALL
Dépannage :
-
La stabilisation de DT prend trop de temps
-
Si la stabilisation DT prend plus de temps que la valeur par défaut de 7,5 minutes, svc_patch application vous invite à poursuivre ou à interrompre le processus de correction.
Exemple :
admin@node1:~> /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/svc_patch install [...Truncated Output of each node Distributing files and restarting services...] Restarting services on 1xx.xx.xx.xx Restarting all services Waiting 180 seconds for services to stabilize...DONE Waiting for DTs to come online ERROR: DT Check failed. DTs did not come ready or could not be checked after several passes. Do you wish to continue anyway (y/n)?
-
Ouvrez une session PuTTY sur un autre nœud et exécutez svc_dt commande pour vérifier les DT dans la colonne « Unready # ». S’il n’y a pas de valeur « 0 », patientez 15 minutes, puis exécutez à nouveau la vérification. Revenez à la session avec svc_patch lorsqu’il n’y a pas de DT « Unready ». Répondez « y » et continuez. Si svc_dt continue de répertorier les valeurs dans les DT « Unready # », ouvrez une demande de service auprès de l’équipe de support ECS.
Commande :
# svc_dt check -b
Exemple :
admin@node1:~> svc_dt check -b svc_dt v1.0.25 (svc_tools v2.0.2) Started 2021-12-15 17:18:52 Date Total DT Unknown # Unready # RIS Fail # Dump Fail # Check type Time since check Check successful 2021-12-15 17:17:54 1920 0 0 0 0 AutoCheck 0m 58s True 2021-12-15 17:16:44 1920 0 0 0 0 AutoCheck 2m 8s True 2021-12-15 17:16:10 1920 0 0 0 0 Manual Check 2m 42s True 2021-12-15 17:15:34 1920 0 0 0 0 AutoCheck 3m 18s True 2021-12-15 17:14:24 1920 0 0 0 0 AutoCheck 4m 28s True 2021-12-15 17:13:13 1920 0 0 0 0 AutoCheck 5m 39s True 2021-12-15 17:12:03 1920 0 0 0 0 AutoCheck 6m 49s True 2021-12-15 17:10:53 1920 0 0 0 0 AutoCheck 7m 59s True 2021-12-15 17:09:43 1920 0 0 0 0 AutoCheck 9m 9s True 2021-12-15 17:08:32 1920 0 0 0 0 AutoCheck 10m 20s True
-
-
Tous les services ne sont pas redémarrés sur tous les nœuds, car ils ne sont pas exécutés dans l’écran et la session PuTTY se termine prématurément.
Exemple : Les services ont redémarré sur quatre des six nœuds après la reconnexion. Voir les nœuds 5 et 6 mis en surbrillance ci-dessous.
admin@node1:~> /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/svc_patch status svc_patch Version 2.9.1 Verifying patch bundle consistency DONE Detecting nodes in current VDC DONE Reading in patch details (1 of 2) DONE Reading in patch details (2 of 2) DONE Validating nodes are online DONE Checking Installed Patches and Dependencies DONE All nodes currently do not have the same patches installed. Patches/releases currently installed: 169.254.1.1: CVE-2021-44228_45046_log4j-fix 169.254.1.2: CVE-2021-44228_45046_log4j-fix 169.254.1.3: CVE-2021-44228_45046_log4j-fix 169.254.1.4: CVE-2021-44228_45046_log4j-fix 169.254.1.5: CVE-2021-44228_45046_log4j-fix 169.254.1.6: CVE-2021-44228_45046_log4j-fix Patches that need to be installed: 169.254.1.1: <None> 169.254.1.2: <None> 169.254.1.3: <None> 169.254.1.4: <None> 169.254.1.5: <None> 169.254.1.6: <None> Files that need to be installed: 169.254.1.1: <None> 169.254.1.2: <None> 169.254.1.3: <None> 169.254.1.4: <None> 169.254.1.5: <None> 169.254.1.6: <None> Services that need to be restarted: 169.254.1.1: <None> 169.254.1.2: <None> 169.254.1.3: <None> 169.254.1.4: <None> 169.254.1.5: ALL 169.254.1.6: ALL admin@ecsnode1:~>Résolution :
Exécutez à nouveau la procédure et les services des nœuds restants qui ont été initialement manqués sont redémarrés. Les nœuds d’origine où les services ont redémarré sont intacts.admin@node1:~> /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/svc_patch install svc_patch Version 2.9.1 Verifying patch bundle consistency DONE Detecting nodes in current VDC DONE Reading in patch details (1 of 2) DONE Reading in patch details (2 of 2) DONE Validating nodes are online DONE Checking Installed Patches and Dependencies DONE All nodes currently do not have the same patches installed. Patches/releases currently installed: 169.254.1.1: CVE-2021-44228_45046_log4j-fix 169.254.1.2: CVE-2021-44228_45046_log4j-fix 169.254.1.3: CVE-2021-44228_45046_log4j-fix 169.254.1.4: CVE-2021-44228_45046_log4j-fix 169.254.1.5: CVE-2021-44228_45046_log4j-fix 169.254.1.6: CVE-2021-44228_45046_log4j-fix Patches that will be installed: 169.254.1.1: <None> 169.254.1.2: <None> 169.254.1.3: <None> 169.254.1.4: <None> 169.254.1.5: <None> 169.254.1.6: <None> Files that will be installed: 169.254.1.1: <None> 169.254.1.2: <None> 169.254.1.3: <None> 169.254.1.4: <None> 169.254.1.5: <None> 169.254.1.6: <None> Services that will be restarted: 169.254.1.1: <None> 169.254.1.2: <None> 169.254.1.3: <None> 169.254.1.4: <None> 169.254.1.5: ALL 169.254.1.6: ALL Patch Type: Standalone Number of nodes: 8 Number of seconds to wait between restarting node services: 450 Check DT status between node service restarts: true Do you wish to continue (y/n)?y No files to install on 169.254.1.1 Distributing patch installer to node '169.254.1.1' No files to install on 169.254.1.2 Distributing patch installer to node '169.254.1.2' No files to install on 169.254.1.3 Distributing patch installer to node '169.254.1.3' No files to install on 169.254.1.4 Distributing patch installer to node '169.254.1.4' No files to install on 169.254.1.5 Distributing patch installer to node '169.254.1.5' No files to install on 169.254.1.6 Distributing patch installer to node '169.254.1.6' No services to restart on 169.254.1.1 No services to restart on 169.254.1.2 No services to restart on 169.254.1.3 No services to restart on 169.254.1.4 Restarting services on 169.254.1.5 Restarting all services Waiting 450 seconds for services to stabilize...DONE Waiting for DTs to come online Restarting services on 169.254.1.6 Restarting all services Waiting 450 seconds for services to stabilize...DONE Waiting for DTs to come online Patching complete. admin@ecsnode1:~> -
Échec de l’ajout de l’hôte à la liste des hôtes connus lors de l’application du correctif.
Exemple :
svc_patch Version 2.9.1 Verifying patch bundle consistency DONE Detecting nodes in current VDC DONE Reading in patch details (1 of 2) DONE Reading in patch details (2 of 2) DONE Validating nodes are online FAILED ERROR: Could not execute commands on the object-main container on 169.254.x.x Output was 'Failed to add the host to the list of known hosts (/home/admin/.ssh/known_hosts). :patchtest:' Patching is unable to continue with unreachable nodes. To proceed: - Resolve problems accessing node(s) from this one. - Manually pass a MACHINES file containing the list of working nodes to patch (not recommended). - Contact your next level of support for other options or assistance.
Résolution :
Cela peut être dû au fait que l’utilisateur du fichier /home/admin/.ssh/known_hosts était root et qu’il doit être admin par défaut.Exemple :
admin@node1:~> ls -l /home/admin/.ssh/known_hosts -rw------- 1 root root 1802 Jul 23 2019 /home/admin/.ssh/known_hosts admin@ecs:~>
Pour résoudre le problème à partir d’une autre session PuTTY, connectez-vous au(x) nœud(s) signalé(s) et passez l’utilisateur au statut admin sur les nœuds où il est présent en tant qu’utilisateur root à l’aide de la commande ci-dessous sur tous les nœuds signalés :
Commande :
# sudo chown admin:users /home/admin/.ssh/known_hosts
Exemple :
admin@node1:~> sudo chown admin:users /home/admin/.ssh/known_hosts
Maintenant, exécutez à nouveau la commande svc_patch et cela devrait réussir.
admin@node1:~> /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/svc_patch install
-
Impossible d’exécuter des commandes sur le conteneur object-main sur 169.254.x.x en raison d’une clé d’hôte incorrecte dans /home/admin/.ssh/known_hosts.
Exemple :
svc_patch Version 2.9.1 Verifying patch bundle consistency DONE Detecting nodes in current VDC DONE Reading in patch details (1 of 2) DONE Reading in patch details (2 of 2) DONE Validating nodes are online FAILED ERROR: Could not execute commands on the object-main container on 169.254.x.x Output was '@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ @ WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED! @ @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY! Someone could be eavesdropping on you right now (man-in-the-middle attack)! It is also possible that a host key has just been changed. The fingerprint for the ECDSA key sent by the remote host is SHA256:RcwOsFj7zPA5p5kSeYovF4UlZTm125nLVeCL1zCqOzc. Please contact your system administrator. Add correct host key in /home/admin/.ssh/known_hosts to get rid of this message. Offending ECDSA key in /home/admin/.ssh/known_hosts:14 You can use following command to remove the offending key: ssh-keygen -R 169.254.x.x -f /home/admin/.ssh/known_hosts Password authentication is disabled to avoid man-in-the-middle attacks. Keyboard-interactive authentication is disabled to avoid man-in-the-middle attacks. :patchtest:' Patching is unable to continue with unreachable nodes. To proceed: - Resolve problems accessing node(s) from this one. - Manually pass a MACHINES file containing the list of working nodes to patch (not recommended). - Contact your next level of support for other options or assistance.
Résolution :
Contactez le support Dell pour obtenir de l’aide. -
Lorsque vous utilisez xDoctor version 4.8-85.0 pour appliquer ce correctif, vous pouvez recevoir une alerte indiquant que md5sum ne correspond pas à svc_base.py :
# /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/svc_patch status svc_patch Version 2.9.1 Verifying patch bundle consistency FAILED Patch bundle onsistency check failed - md5sums for one or more files in the patch bundle were invalid, or files were not found. svc_patch will attempt to validate files in the patch using MD5SUMS.bundle, which is bundled with the patch. Output from md5sum was: ./lib/libs/svc_base.py: FAILED md5sum: WARNING: 1 computed checksum did NOT match
Résolution :
Exécutez les commandes ci-dessous avant d’appliquer le correctif pour mettre à jour md5sum :# sudo sed -i '/svc_base.py/d' /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/MD5SUMS.bundle # sudo sed -i '/MD5SUMS.bundle/d' /opt/emc/xdoctor/.xdr_chksum
Affected Products
Elastic Cloud StorageProducts
ECS, ECS ApplianceArticle Properties
Article Number: 000194467
Article Type: Solution
Last Modified: 02 Dec 2025
Version: 28
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.