ECS: Soluzione ECS per la vulnerabilità Apache Log4j Remote Code Execution
Summary: Vulnerabilità di sicurezza di Apache Log4j
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Identificatore CVE CVE-2021-44228
Identificatore CVE CVE_2021-45046
Pubblicazione Apache: Apache Log4j Remote Code Execution
Cause
Vulnerabilità di sicurezza di Apache Log4j
Resolution
Chi deve eseguire questa procedura?
Dell richiede ai clienti di eseguire questa procedura di aggiornamento di xDoctor e installazione della patch. Questo è il metodo più rapido e sicuro in quanto evita l'esposizione prolungata a questa vulnerabilità Apache. Tutti i passaggi sono descritti in dettaglio in questo articolo della Knowledge Base. C'è anche una guida video che può essere seguita per accompagnare questo KB che si trova al link sottostante.
Video: Apache-Log4j
Effetti della procedura:
È possibile che durante il riavvio dei servizi vengano visualizzati timeout di I/O. Le applicazioni che accedono al cluster devono essere in grado di gestire il timeout di I/O. Quando si esegue questa procedura, si consiglia di tenere in considerazione una finestra di manutenzione.
Tempo richiesto dall'operazione (circa):
7 minuti circa è il ritardo predefinito tra i riavvii del servizio impostato per ciascun nodo. Il numero di nodi in un Virtual Data Center (VDC) moltiplicato per 7 minuti + 60 minuti per la preparazione, la stabilizzazione delle DT e i controlli successivi necessari.
Esempi:
Un sistema VDC a 48 nodi può richiedere circa 6,5 ore:
7,5 minuti x 48 (numero di nodi VDC) + 30 minuti (preparazione) = 6,5 ore o 390 minuti
Un sistema VDC a otto nodi può richiedere circa 1,5 ore:
7,5 minuti x 8 (numero di nodi VDC) + 30 minuti (preparazione) = 1,5 ore o 90 minuti
Domande frequenti:
D. La patch fa parte della versione di xDoctor?
Un: Lo script di installazione delle patch fa parte di xDoctor 4.8-79.1 e versioni successive. Le istruzioni per il download di xDoctor e l'esecuzione dell'installazione delle patch si trovano nella procedura di risoluzione.
D: È possibile aggiornare più VDC in parallelo?
Un: No. Applicare una patch a 1 VDC alla volta.
D. È possibile applicare questa patch su un ECS che esegue la versione del codice 3.2.x o una versione precedente?
R: No, questa patch è applicabile solo alle versioni ECS 3.3.x - 3.6.x. Aprire una Service Request per pianificare un aggiornamento alle versioni precedenti.
D. Se si aggiorna ECS dopo l'esecuzione di questa procedura, è necessario eseguire nuovamente la procedura dopo l'aggiornamento?
Un: No, se si esegue l'aggiornamento a una versione del codice specificata in DSA-2021-273 con correzione permanente. Sì, se si esegue l'aggiornamento a una versione del codice non specificata nello stesso DSA.
D. La patch richiede di riapplicarla su un sistema in cui è stata installata in precedenza dopo la sostituzione di un nodo, la ricreazione dell'immagine o l'espansione?
Un: No, se VDC ha la versione del codice specificata in DSA-2021-273. Sì, se si esegue una di queste azioni su un VDC che esegue una versione del codice non specificata nello stesso DSA. Se è necessaria una patch per questi scenari, l'ingegnere Dell in questione contatta l'utente per informarlo che è necessario un aggiornamento.
D. Quale utente deve essere connesso per eseguire tutti i comandi di questo articolo della KB?
Un: Admin
D. È svc_patch necessario eseguire su tutti i rack o con un file MACHINES specializzato in cui più rack si trovano in un VDC?
Un: No, rileva automaticamente se sono presenti più rack e aggiorna tutti i nodi su tutti i rack su tale VDC.
D. Ho notato che la versione di destinazione di xDoctor è ora la 4.8-79.1 e non la 4.8-79.0. Perché?
R: I rilasci di xDoctor si verificano frequentemente, pertanto si consiglia sempre di eseguire l'aggiornamento alla versione più recente rilasciata. Tuttavia, se in precedenza è stata eseguita la correzione Apache utilizzando la versione 4.8-79.0, il sistema è completamente protetto dalla vulnerabilità e non deve essere eseguito nuovamente.
Riepilogo della soluzione:
- Aggiornare il software ECS xDoctor alla versione 4.8.-79.1 o successiva
- Eseguire i controlli preliminari.
- Applicare la patch di sistema con lo strumento svc_patch incluso in xDoctor.
- Verificare che la correzione sia stata applicata.
- Risoluzione dei problemi.
Procedura di risoluzione:
1. Aggiornare il software ECS xDoctor alla versione più recente disponibile.
-
Controllare la versione di xDoctor in esecuzione sul sistema. Se la versione è 4.8-79.1 o successiva, andare al passaggio 2 "Esegui controlli preliminari". In caso contrario, procedere come indicato di seguito.
Comando:
# sudo xdoctor --version
Esempio:
admin@node1:~> sudo xdoctor --version 4.8-79.1
- Accedere al sito di supporto, connettersi direttamente al link per il download, cercare xDoctor utilizzando la ricerca per parola chiave e cliccare sul link RPM di xDoctor per il download. Per visualizzare le note di rilascio, seguire Note di rilascio, selezionare Manuali e documenti dalla barra laterale da cui dovrebbero essere disponibili per il download.
- Una volta scaricato l RPM, utilizzare qualsiasi programma SCP remoto per caricare il file nella directory /home/admin sul primo nodo ECS.
- Al termine dell'upload, accedere tramite SSH al primo nodo del sistema ECS come utente admin.
-
Aggiornare xDoctor su tutti i nodi con la nuova versione.
Comando:
# sudo xdoctor --upgrade --local=/home/admin/xDoctor4ECS-4.8-79.1.noarch.rpm
Esempio:
admin@node1:~> sudo xdoctor --upgrade --local=/home/admin/xDoctor4ECS-4.8-79.1.noarch.rpm 2021-12-20 12:06:11,358: xDoctor_4.8-78.2 - INFO : xDoctor Upgrader Instance (2:FTP_SFTP) 2021-12-20 12:06:11,358: xDoctor_4.8-78.2 - INFO : Local Upgrade (/home/admin/xDoctor4ECS-4.8-79.1.noarch.rpm) 2021-12-20 12:06:11,392: xDoctor_4.8-78.2 - INFO : Current Installed xDoctor version is 4.8-78.2 2021-12-20 12:06:11,429: xDoctor_4.8-78.2 - INFO : Requested package version is 4.8-79.1 2021-12-20 12:06:11,430: xDoctor_4.8-78.2 - INFO : Updating xDoctor RPM Package (RPM) 2021-12-20 12:06:11,482: xDoctor_4.8-78.2 - INFO : - Distribute package 2021-12-20 12:06:12,099: xDoctor_4.8-78.2 - INFO : - Install new rpm package 2021-12-20 12:06:37,829: xDoctor_4.8-78.2 - INFO : xDoctor successfully updated to version 4.8-79.1
-
Se l'ambiente è di tipo VDC multirack, il nuovo pacchetto xDoctor deve essere installato sul primo nodo di ciascun rack. Per identificare i rack principali, eseguire il comando riportato di seguito. In questo caso, sono evidenziati quattro rack e quattro rack primari.
-
Comando:
# svc_exec -m "ip address show private.4 |grep -w inet"
Esempio:
admin@ecsnode1~> svc_exec -m "ip address show private.4 |grep -w inet" svc_exec v1.0.2 (svc_tools v2.1.0) Started 2021-12-20 14:03:33 Output from node: r1n1 retval: 0 inet 169.254.1.1/16 brd 169.254.255.255 scope global private.4 Output from node: r2n1 retval: 0 inet 169.254.2.1/16 brd 169.254.255.255 scope global private.4 Output from node: r3n1 retval: 0 inet 169.254.3.1/16 brd 169.254.255.255 scope global private.4 Output from node: r4n1 retval: 0 inet 169.254.4.1/16 brd 169.254.255.255 scope global private.4 -
Copiare il pacchetto dal primo nodo del sistema (R1N1) negli altri rack principali come indicato di seguito:
Esempio:
admin@ecsnode1~> scp xDoctor4ECS-4.8-79.1.noarch.rpm 169.254.2.1:/home/admin/ xDoctor4ECS-4.8-79.1.noarch.rpm 100% 32MB 31.9MB/s 00:00 admin@ecsnode1~> scp xDoctor4ECS-4.8-79.1.noarch.rpm 169.254.3.1:/home/admin/ xDoctor4ECS-4.8-79.1.noarch.rpm 100% 32MB 31.9MB/s 00:00 admin@ecsnode1~> scp xDoctor4ECS-4.8-79.1.noarch.rpm 169.254.4.1:/home/admin/ xDoctor4ECS-4.8-79.1.noarch.rpm 100% 32MB 31.9MB/s 00:00 admin@ecsnode1~>
-
Come indicato al passaggio e precedente, eseguire lo stesso comando di installazione di xDoctor su ciascuno dei rack primari identificati in precedenza.
Comando:
# sudo xdoctor --upgrade --local=/home/admin/xDoctor4ECS-4.8-79.1.noarch.rpm
-
2. Eseguire i controlli preliminari.
-
Utilizzare il comando svc_dt per verificare se le SEF sono stabili. Le DT sono stabili se la colonna "Unready #" mostra 0. In caso affermativo, passare al controllo successivo. In caso contrario, attendere 15 minuti e controllare nuovamente. Se i DT non si sono stabilizzati, aprire una Service Request con il team di supporto ECS.
Comando:
# svc_dt check -b
Esempio:
admin@node1:~> svc_dt check -b svc_dt v1.0.25 (svc_tools v2.0.2) Started 2021-12-16 16:44:51 Date Total DT Unknown # Unready # RIS Fail # Dump Fail # Check type Time since check Check successful 2021-12-16 16:43:44 2432 0 0 0 0 AutoCheck 1m 7s True 2021-12-16 16:42:33 2432 0 0 0 0 AutoCheck 2m 18s True 2021-12-16 16:41:23 2432 0 0 0 0 AutoCheck 3m 28s True 2021-12-16 16:40:13 2432 0 0 0 0 AutoCheck 4m 38s True 2021-12-16 16:39:02 2432 0 0 0 0 AutoCheck 5m 49s True 2021-12-16 16:37:52 2432 0 0 0 0 AutoCheck 6m 59s True 2021-12-16 16:36:42 2432 0 0 0 0 AutoCheck 8m 9s True 2021-12-16 16:35:31 2432 0 0 0 0 AutoCheck 9m 20s True 2021-12-16 16:34:21 2432 0 0 0 0 AutoCheck 10m 30s True 2021-12-16 16:33:11 2432 0 0 0 0 AutoCheck 11m 40s True
-
Utilizzare il comando svc_patch per verificare che tutti i nodi siano online. In caso affermativo, procedere con il passaggio successivo. In caso contrario, esaminare il motivo, riportarlo online ed eseguire nuovamente il controllo. Se un nodo non può essere portato online, aprire una Service Request con il team di supporto ECS per indagare.
Comando:
# /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/svc_patch status
Esempio:
admin@node1:~> /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/svc_patch status svc_patch Version 2.9.1 Verifying patch bundle consistency DONE Detecting nodes in current VDC DONE Reading in patch details (1 of 2) DONE Reading in patch details (2 of 2) DONE Validating nodes are online DONE Checking Installed Patches and Dependencies DONE Patches/releases currently installed: [ None detected ] Patches that need to be installed: CVE-2021-44228_log4j-fix_3.3.x-3.6.2 (PatchID: 3298) Files that need to be installed: /opt/storageos/lib/log4j-core-2.5.jar (from CVE-2021-44228_log4j-fix_3.3.x-3.6.2) The following services need to be restarted: ALL
3. Applicare la patch di sistema con lo strumento svc_patch incluso in xDoctor.
-
Eseguire il comando svc_patch, digitare "y" e premere il tasto Invio quando viene richiesto di installare la patch. Il comando può essere eseguito su qualsiasi nodo ECS.
Comandi:
# screen -S patchinstall
# unset TMOUT
# /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/svc_patch install
Esempio:
Nota: Nell'output seguente viene richiesto di continuare.admin@node1:~> screen -S patchinstall admin@node1:~> unset TMOUT admin@node1:~> /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/svc_patch install svc_patch Version 2.9.1 Verifying patch bundle consistency DONE Detecting nodes in current VDC DONE Reading in patch details (1 of 2) DONE Reading in patch details (2 of 2) DONE Validating nodes are online DONE Checking Installed Patches and Dependencies DONE Patches/releases currently installed: [ None detected ] Patches that will be installed: CVE-2021-44228_log4j-fix_3.3.x-3.6.2 (PatchID: 3298) Files that will be installed: /opt/storageos/lib/log4j-core-2.5.jar (from CVE-2021-44228_log4j-fix_3.3.x-3.6.2) The following services will be restarted: ALL Patch Type: Standalone Number of nodes: 8 Number of seconds to wait between restarting node services: 450 Check DT status between node service restarts: true Do you wish to continue (y/n)?y [...Truncated Output of each node Distributing files and restarting services...] Distributing files to node 1xx.xxx.xx.xx Distributing patch installer to node '1xx.xxx.xx.xx' Restarting services on 1xx.xxx.xx.xx Restarting all services Waiting 180 seconds for services to stabilize... [...Truncated Output of each node Distributing files and restarting services...] Stopping ViPR services..done Services status 3: stat georeceiver eventsvc blobsvc dataheadsvc blobsvc-perf blobsvc-fi resourcesvc resourcesvc-perf resourcesvc-fi rm cm ssm objcontrolsvc metering sr storageserver nvmeengine nvmetargetviewer dtquery dtsm vnest coordinatorsvc ecsportalsvc transformsvc Setting up SSL certificates ...done Starting ViPR services..done Waiting 300 seconds for services to stabilize...DONE Patching complete. admin@node1:~>
-
Schermata Exit session al termine dell'aggiornamento in base all'output precedente.
Esempio:
admin@node1:/> exit logout [screen is terminating] admin@node1:/>
Nota: Se si chiude accidentalmente la sessione PuTTY mentre è in corso l'esecuzione, ricollegarla accedendo nuovamente allo stesso nodo ed eseguire il comando riportato di seguito:Comando:
# screen -ls
admin@node 1:~> screen -ls There is a screen on: 114475.pts-0.ecs-n3 (Detached) 1 Socket in /var/run/uscreens/S-admin.Ricollegare la sessione dissociata dall'output precedente.
admin@node1:~> screen -r 114475.pts-0.ecs-n3
4. Verificare che la correzione sia stata applicata.
-
L'output seguente viene visualizzato su un sistema in cui la correzione è stata applicata.
Comando:
# /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/svc_patch status
Esempio:
admin@node1:/> /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/svc_patch status svc_patch Version 2.9.1 Verifying patch bundle consistency DONE Detecting nodes in current VDC DONE Reading in patch details (1 of 2) DONE Reading in patch details (2 of 2) DONE Validating nodes are online DONE Checking Installed Patches and Dependencies DONE Patches/releases currently installed: CVE-2021-44228_log4j-fix_3.3.x-3.6.2 (PatchID: 3298) Fixes for Log4j vulnerabilities CVE-2021-44228 and CVE-2021-45046 Patches that need to be installed: No files need to be installed. The following services need to be restarted: No services need to be restarted. -
L'output riportato di seguito proviene da un sistema in cui la correzione non è stata applicata.
Esempio:
admin@node1:/> /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/svc_patch status svc_patch Version 2.9.1 Verifying patch bundle consistency DONE Detecting nodes in current VDC DONE Reading in patch details (1 of 2) DONE Reading in patch details (2 of 2) DONE Validating nodes are online DONE Checking Installed Patches and Dependencies DONE Patches/releases currently installed: [ None detected ] Patches that need to be installed: CVE-2021-44228_log4j-fix_3.3.x-3.6.2 (PatchID: 3298) Files that need to be installed: /opt/storageos/lib/log4j-core-2.5.jar (from CVE-2021-44228_log4j-fix_3.3.x-3.6.2) The following services need to be restarted: ALL
Risoluzione dei problemi:
-
La stabilizzazione delle DT richiede troppo tempo
-
Se la stabilizzazione di DT richiede più tempo rispetto ai 7,5 minuti predefiniti, svc_patch'applicazione richiede di continuare o interrompere il processo di patch.
Esempio:
admin@node1:~> /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/svc_patch install [...Truncated Output of each node Distributing files and restarting services...] Restarting services on 1xx.xx.xx.xx Restarting all services Waiting 180 seconds for services to stabilize...DONE Waiting for DTs to come online ERROR: DT Check failed. DTs did not come ready or could not be checked after several passes. Do you wish to continue anyway (y/n)?
-
Aprire una sessione PuTTY su un altro nodo ed eseguire svc_dt comando per controllare i DT nella colonna "Unready #". Se non sono presenti valori "0", attendere 15 minuti ed eseguire nuovamente il controllo. Tornare alla sessione con svc_patch quando nessuna DT è indicata come non pronta. Rispondere "y" e continuare. Se svc_dt continua a elencare valori in DT "Unready #", aprire una Service Request con il team di supporto ECS.
Comando:
# svc_dt check -b
Esempio:
admin@node1:~> svc_dt check -b svc_dt v1.0.25 (svc_tools v2.0.2) Started 2021-12-15 17:18:52 Date Total DT Unknown # Unready # RIS Fail # Dump Fail # Check type Time since check Check successful 2021-12-15 17:17:54 1920 0 0 0 0 AutoCheck 0m 58s True 2021-12-15 17:16:44 1920 0 0 0 0 AutoCheck 2m 8s True 2021-12-15 17:16:10 1920 0 0 0 0 Manual Check 2m 42s True 2021-12-15 17:15:34 1920 0 0 0 0 AutoCheck 3m 18s True 2021-12-15 17:14:24 1920 0 0 0 0 AutoCheck 4m 28s True 2021-12-15 17:13:13 1920 0 0 0 0 AutoCheck 5m 39s True 2021-12-15 17:12:03 1920 0 0 0 0 AutoCheck 6m 49s True 2021-12-15 17:10:53 1920 0 0 0 0 AutoCheck 7m 59s True 2021-12-15 17:09:43 1920 0 0 0 0 AutoCheck 9m 9s True 2021-12-15 17:08:32 1920 0 0 0 0 AutoCheck 10m 20s True
-
-
Tutti i servizi non vengono riavviati in tutti i nodi perché non vengono eseguiti nella schermata e la sessione PuTTY termina in modo anomalo.
Esempio: I servizi sono stati riavviati su quattro dei sei nodi dopo aver eseguito nuovamente l'accesso. Vedere i nodi 5 e 6 evidenziati di seguito.
admin@node1:~> /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/svc_patch status svc_patch Version 2.9.1 Verifying patch bundle consistency DONE Detecting nodes in current VDC DONE Reading in patch details (1 of 2) DONE Reading in patch details (2 of 2) DONE Validating nodes are online DONE Checking Installed Patches and Dependencies DONE All nodes currently do not have the same patches installed. Patches/releases currently installed: 169.254.1.1: CVE-2021-44228_45046_log4j-fix 169.254.1.2: CVE-2021-44228_45046_log4j-fix 169.254.1.3: CVE-2021-44228_45046_log4j-fix 169.254.1.4: CVE-2021-44228_45046_log4j-fix 169.254.1.5: CVE-2021-44228_45046_log4j-fix 169.254.1.6: CVE-2021-44228_45046_log4j-fix Patches that need to be installed: 169.254.1.1: <None> 169.254.1.2: <None> 169.254.1.3: <None> 169.254.1.4: <None> 169.254.1.5: <None> 169.254.1.6: <None> Files that need to be installed: 169.254.1.1: <None> 169.254.1.2: <None> 169.254.1.3: <None> 169.254.1.4: <None> 169.254.1.5: <None> 169.254.1.6: <None> Services that need to be restarted: 169.254.1.1: <None> 169.254.1.2: <None> 169.254.1.3: <None> 169.254.1.4: <None> 169.254.1.5: ALL 169.254.1.6: ALL admin@ecsnode1:~>Risoluzione:
Eseguire nuovamente la procedura e riavviare i servizi per i nodi rimanenti originariamente mancanti. I nodi su cui i servizi erano stati già riavviati non vengono interessati dalla procedura.admin@node1:~> /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/svc_patch install svc_patch Version 2.9.1 Verifying patch bundle consistency DONE Detecting nodes in current VDC DONE Reading in patch details (1 of 2) DONE Reading in patch details (2 of 2) DONE Validating nodes are online DONE Checking Installed Patches and Dependencies DONE All nodes currently do not have the same patches installed. Patches/releases currently installed: 169.254.1.1: CVE-2021-44228_45046_log4j-fix 169.254.1.2: CVE-2021-44228_45046_log4j-fix 169.254.1.3: CVE-2021-44228_45046_log4j-fix 169.254.1.4: CVE-2021-44228_45046_log4j-fix 169.254.1.5: CVE-2021-44228_45046_log4j-fix 169.254.1.6: CVE-2021-44228_45046_log4j-fix Patches that will be installed: 169.254.1.1: <None> 169.254.1.2: <None> 169.254.1.3: <None> 169.254.1.4: <None> 169.254.1.5: <None> 169.254.1.6: <None> Files that will be installed: 169.254.1.1: <None> 169.254.1.2: <None> 169.254.1.3: <None> 169.254.1.4: <None> 169.254.1.5: <None> 169.254.1.6: <None> Services that will be restarted: 169.254.1.1: <None> 169.254.1.2: <None> 169.254.1.3: <None> 169.254.1.4: <None> 169.254.1.5: ALL 169.254.1.6: ALL Patch Type: Standalone Number of nodes: 8 Number of seconds to wait between restarting node services: 450 Check DT status between node service restarts: true Do you wish to continue (y/n)?y No files to install on 169.254.1.1 Distributing patch installer to node '169.254.1.1' No files to install on 169.254.1.2 Distributing patch installer to node '169.254.1.2' No files to install on 169.254.1.3 Distributing patch installer to node '169.254.1.3' No files to install on 169.254.1.4 Distributing patch installer to node '169.254.1.4' No files to install on 169.254.1.5 Distributing patch installer to node '169.254.1.5' No files to install on 169.254.1.6 Distributing patch installer to node '169.254.1.6' No services to restart on 169.254.1.1 No services to restart on 169.254.1.2 No services to restart on 169.254.1.3 No services to restart on 169.254.1.4 Restarting services on 169.254.1.5 Restarting all services Waiting 450 seconds for services to stabilize...DONE Waiting for DTs to come online Restarting services on 169.254.1.6 Restarting all services Waiting 450 seconds for services to stabilize...DONE Waiting for DTs to come online Patching complete. admin@ecsnode1:~> -
Impossibile aggiungere l'host all'elenco degli host noti durante l'applicazione della patch.
Esempio:
svc_patch Version 2.9.1 Verifying patch bundle consistency DONE Detecting nodes in current VDC DONE Reading in patch details (1 of 2) DONE Reading in patch details (2 of 2) DONE Validating nodes are online FAILED ERROR: Could not execute commands on the object-main container on 169.254.x.x Output was 'Failed to add the host to the list of known hosts (/home/admin/.ssh/known_hosts). :patchtest:' Patching is unable to continue with unreachable nodes. To proceed: - Resolve problems accessing node(s) from this one. - Manually pass a MACHINES file containing the list of working nodes to patch (not recommended). - Contact your next level of support for other options or assistance.
Risoluzione:
Il motivo potrebbe essere che l'utente del file /home/admin/.ssh/known_hosts era root, che dovrebbe essere admin per impostazione predefinita.Esempio:
admin@node1:~> ls -l /home/admin/.ssh/known_hosts -rw------- 1 root root 1802 Jul 23 2019 /home/admin/.ssh/known_hosts admin@ecs:~>
Per risolvere il problema da un'altra sessione PuTTY, accedere al nodo o ai nodi segnalati e modificare l'utente in amministratore sui nodi in cui è presente come utente root utilizzando il comando seguente su tutti i nodi segnalati:
Comando:
# sudo chown admin:users /home/admin/.ssh/known_hosts
Esempio:
admin@node1:~> sudo chown admin:users /home/admin/.ssh/known_hosts
Ora esegui di nuovo il comando svc_patch e dovrebbe passare.
admin@node1:~> /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/svc_patch install
-
Impossibile eseguire i comandi sul container object-main su 169.254.x.x a causa di una chiave host errata in /home/admin/.ssh/known_hosts.
Esempio:
svc_patch Version 2.9.1 Verifying patch bundle consistency DONE Detecting nodes in current VDC DONE Reading in patch details (1 of 2) DONE Reading in patch details (2 of 2) DONE Validating nodes are online FAILED ERROR: Could not execute commands on the object-main container on 169.254.x.x Output was '@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ @ WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED! @ @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY! Someone could be eavesdropping on you right now (man-in-the-middle attack)! It is also possible that a host key has just been changed. The fingerprint for the ECDSA key sent by the remote host is SHA256:RcwOsFj7zPA5p5kSeYovF4UlZTm125nLVeCL1zCqOzc. Please contact your system administrator. Add correct host key in /home/admin/.ssh/known_hosts to get rid of this message. Offending ECDSA key in /home/admin/.ssh/known_hosts:14 You can use following command to remove the offending key: ssh-keygen -R 169.254.x.x -f /home/admin/.ssh/known_hosts Password authentication is disabled to avoid man-in-the-middle attacks. Keyboard-interactive authentication is disabled to avoid man-in-the-middle attacks. :patchtest:' Patching is unable to continue with unreachable nodes. To proceed: - Resolve problems accessing node(s) from this one. - Manually pass a MACHINES file containing the list of working nodes to patch (not recommended). - Contact your next level of support for other options or assistance.
Risoluzione:
Contattare il supporto ECS per risolvere il problema. -
Quando si utilizza la versione 4.8-85.0 di xDoctor per applicare questa patch, è possibile che venga visualizzato un avviso che indica che md5sum non corrisponde per svc_base.py:
# /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/svc_patch status svc_patch Version 2.9.1 Verifying patch bundle consistency FAILED Patch bundle onsistency check failed - md5sums for one or more files in the patch bundle were invalid, or files were not found. svc_patch will attempt to validate files in the patch using MD5SUMS.bundle, which is bundled with the patch. Output from md5sum was: ./lib/libs/svc_base.py: FAILED md5sum: WARNING: 1 computed checksum did NOT match
Risoluzione:
Eseguire i seguenti comandi prima di applicare la patch per aggiornare md5sum:# sudo sed -i '/svc_base.py/d' /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/MD5SUMS.bundle # sudo sed -i '/MD5SUMS.bundle/d' /opt/emc/xdoctor/.xdr_chksum
Affected Products
Elastic Cloud StorageProducts
ECS, ECS ApplianceArticle Properties
Article Number: 000194467
Article Type: Solution
Last Modified: 02 Dec 2025
Version: 28
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.