ECS: Apache log4j 원격 코드 실행 취약성에 대한 ECS 해결 방법
Summary: Apache Log4j 보안 취약성
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
CVE 식별자 CVE-2021-44228
CVE 식별자 CVE_2021-45046
Apache 게시글: Apache Log4j 원격 코드 실행
Cause
Apache Log4j 보안 취약성
Resolution
누가 이 절차를 실행해야 합니까?
Dell은 고객이 xDoctor를 업그레이드하고 패치를 설치하는 이 절차를 수행하도록 요청합니다. 이것은 이 Apache 취약점에 장기간 노출되는 것을 방지하기 때문에 가장 빠르고 안전한 방법입니다. 모든 단계는 이 KB에 자세히 설명되어 있습니다. 아래 링크에 있는 이 KB와 함께 제공되는 비디오 가이드도 있습니다.
비디오: Apache-Log4j
절차의 영향:
서비스를 재시작하는 동안 I/O 시간 초과가 발생할 수 있습니다. 클러스터에 액세스하는 애플리케이션은 I/O 시간 초과를 처리할 수 있어야 합니다. 이 절차를 수행할 때 유지 보수 기간을 사용하는 것이 좋습니다.
활동에 소요된 대략적인 시간:
서비스 재시작 사이에 노드별로 약 7분의 지연 시간이 기본적으로 설정됩니다. VDC(Virtual Data Center)의 노드 수에 7분을 곱한 값에 필요한 준비, DT 안정화 및 사후 검사를 위한 60분을 더한 값입니다.
예제:
48노드 VDC 시스템은 약 6.5시간이 소요될 수 있습니다.
7.5분 X 48(VDC 노드 수) + 30분(준비) = 6.5시간 또는 390분
8노드 VDC 시스템은 약 1.5시간이 소요될 수 있습니다.
7.5분 X 8(VDC 노드 수) + 30분(준비) = 1.5시간 또는 90분
FAQ(자주 묻는 질문):
Q: 패치는 xDoctor 릴리스의 일부입니까?
ᅡ: 패치 설치 스크립트는 xDoctor 릴리스 4.8-79.1 이상에 포함되어 있습니다. xDoctor 다운로드 및 패치 설치 실행에 대한 지침은 해결 단계에 있습니다.
큐: 여러 VDC를 동시에 업데이트할 수 있습니까?
ᅡ: 아니요. 패치 1 VDC를 한 번에 수행합니다.
Q: 코드 버전 3.2.x 이하를 실행하는 ECS에 이 패치를 적용할 수 있습니까?
A: 아니요. 이 패치는 ECS 버전 3.3.x-3.6.x에만 적용됩니다. 서비스 요청을 열어 이전 버전에 대한 업그레이드를 예약합니다.
Q: 이 절차를 실행한 후 ECS를 업그레이드하는 경우 업그레이드 후 절차를 다시 실행합니까?
ᅡ: 아니요, 영구 수정이 포함된 DSA-2021-273에 지정된 코드 버전으로 업그레이드하는 경우 가능합니다. 예 . 동일한 DSA에 지정 되지 않은 코드 버전으로 업그레이드하는 경우 가능합니다.
Q: 노드 교체, 이미지 재작성 또는 확장 후 패치가 이전에 설치된 시스템에 패치를 다시 적용해야 합니까?
ᅡ: 아니요, VDC가 DSA-2021-273에 지정된 코드 버전인 경우 예 , 동일한 DSA에 지정 되지 않은 코드 버전을 실행하는 VDC에 대해 이러한 작업을 수행하는 경우 가능합니다. 이러한 시나리오에 패치가 필요한 경우 Dell 엔지니어가 연락하여 업데이트가 필요하다고 안내합니다.
Q: 이 KB의 모든 명령을 실행하려면 어떤 사용자로 로그인해야 합니까?
ᅡ: Admin
Q: svc_patch 모든 랙에서 실행해야 합니까, 아니면 VDC에 여러 랙이 있는 특수 MACHINES 파일로 실행해야 합니까?
ᅡ: 아니요. 여러 랙이 있는 경우 자동으로 감지하여 해당 VDC의 모든 랙에 있는 모든 노드를 업데이트합니다.
Q: 대상 xDoctor 릴리스는 이제 4.8-79.0이 아니라 4.8-79.1입니다. 왜?
답변: xDoctor 릴리스는 자주 발생하므로 항상 가장 높은 릴리스 버전으로 업그레이드하는 것이 좋습니다. 그러나 이전에 4.8-79.0을 사용하여 Apache 수정을 실행한 경우 시스템이 취약성으로부터 완전히 보호 되므로 다시 실행할 필요가 없습니다.
해결 요약:
- ECS xDoctor 소프트웨어를 버전 4.8.-79.1 이상으로 업그레이드합니다.
- 사전 검사를 실행합니다.
- xDoctor에 포함된 svc_patch 도구를 사용하여 시스템 패치를 적용합니다.
- 수정 사항이 적용되었는지 확인합니다.
- 문제 해결.
해결 단계:
1. ECS xDoctor 소프트웨어를 사용 가능한 최신 버전으로 업그레이드합니다.
-
시스템에서 실행 중인 xDoctor 버전을 확인합니다. 버전이 4.8-79.1 이상인 경우 2단계 "사전 검사 실행"으로 이동합니다. 그렇지 않은 경우 아래 단계를 진행합니다.
명령:
# sudo xdoctor --version
예:
admin@node1:~> sudo xdoctor --version 4.8-79.1
- 지원 사이트에 로그인하고 다운로드 링크에 직접 연결한 다음 키워드 검색을 사용하여 xDoctor를 검색하고 xDoctor RPM 링크를 클릭하여 다운로드합니다. 릴리스 노트를 보려면 릴리스 노트를 따르고 사이드바에서 매뉴얼 및 문서를 선택하여 다운로드할 수 있습니다.
- RPM이 다운로드되면 원격 SCP 프로그램을 사용하여 첫 번째 ECS 노드의 /home/admin 디렉토리에 파일을 업로드합니다.
- 업로드가 완료되면 admin을 사용하여 SSH를 통해 ECS 시스템의 첫 번째 노드로 연결합니다.
-
새로 배포된 버전으로 모든 노드에서 xDoctor를 업그레이드합니다.
명령:
# sudo xdoctor --upgrade --local=/home/admin/xDoctor4ECS-4.8-79.1.noarch.rpm
예:
admin@node1:~> sudo xdoctor --upgrade --local=/home/admin/xDoctor4ECS-4.8-79.1.noarch.rpm 2021-12-20 12:06:11,358: xDoctor_4.8-78.2 - INFO : xDoctor Upgrader Instance (2:FTP_SFTP) 2021-12-20 12:06:11,358: xDoctor_4.8-78.2 - INFO : Local Upgrade (/home/admin/xDoctor4ECS-4.8-79.1.noarch.rpm) 2021-12-20 12:06:11,392: xDoctor_4.8-78.2 - INFO : Current Installed xDoctor version is 4.8-78.2 2021-12-20 12:06:11,429: xDoctor_4.8-78.2 - INFO : Requested package version is 4.8-79.1 2021-12-20 12:06:11,430: xDoctor_4.8-78.2 - INFO : Updating xDoctor RPM Package (RPM) 2021-12-20 12:06:11,482: xDoctor_4.8-78.2 - INFO : - Distribute package 2021-12-20 12:06:12,099: xDoctor_4.8-78.2 - INFO : - Install new rpm package 2021-12-20 12:06:37,829: xDoctor_4.8-78.2 - INFO : xDoctor successfully updated to version 4.8-79.1
-
환경이 멀티랙 VDC인 경우 각 랙의 첫 번째 노드에 새 xDoctor 패키지를 설치해야 합니다. 이러한 기본 랙을 식별하려면 아래 명령을 실행합니다. 이 예에서는 4개의 랙과 4개의 랙 프라이머리가 강조 표시되어 있습니다.
-
명령:
# svc_exec -m "ip address show private.4 |grep -w inet"
예:
admin@ecsnode1~> svc_exec -m "ip address show private.4 |grep -w inet" svc_exec v1.0.2 (svc_tools v2.1.0) Started 2021-12-20 14:03:33 Output from node: r1n1 retval: 0 inet 169.254.1.1/16 brd 169.254.255.255 scope global private.4 Output from node: r2n1 retval: 0 inet 169.254.2.1/16 brd 169.254.255.255 scope global private.4 Output from node: r3n1 retval: 0 inet 169.254.3.1/16 brd 169.254.255.255 scope global private.4 Output from node: r4n1 retval: 0 inet 169.254.4.1/16 brd 169.254.255.255 scope global private.4 -
아래와 같이 시스템의 첫 번째 노드(R1N1)에서 다른 기본 랙에 패키지를 복사합니다.
예:
admin@ecsnode1~> scp xDoctor4ECS-4.8-79.1.noarch.rpm 169.254.2.1:/home/admin/ xDoctor4ECS-4.8-79.1.noarch.rpm 100% 32MB 31.9MB/s 00:00 admin@ecsnode1~> scp xDoctor4ECS-4.8-79.1.noarch.rpm 169.254.3.1:/home/admin/ xDoctor4ECS-4.8-79.1.noarch.rpm 100% 32MB 31.9MB/s 00:00 admin@ecsnode1~> scp xDoctor4ECS-4.8-79.1.noarch.rpm 169.254.4.1:/home/admin/ xDoctor4ECS-4.8-79.1.noarch.rpm 100% 32MB 31.9MB/s 00:00 admin@ecsnode1~>
-
위의 e 단계에 따라 이전에 식별된 위의 각 랙 기본 장치에서 동일한 xDoctor 설치 명령을 실행합니다.
명령:
# sudo xdoctor --upgrade --local=/home/admin/xDoctor4ECS-4.8-79.1.noarch.rpm
-
2. 사전 검사를 실행합니다.
-
svc_dt 명령을 사용하여 DT가 안정적인지 확인합니다. "Unready #" 열에 0이 표시되면 DT는 안정적인 것입니다. 0이 표시된 경우 다음 검사를 진행합니다. 그렇지 않은 경우 15분 정도 기다린 후 다시 검사하십시오. DT가 안정화되지 않은 경우 ECS 지원 팀에 서비스 요청을 개설합니다.
명령:
# svc_dt check -b
예:
admin@node1:~> svc_dt check -b svc_dt v1.0.25 (svc_tools v2.0.2) Started 2021-12-16 16:44:51 Date Total DT Unknown # Unready # RIS Fail # Dump Fail # Check type Time since check Check successful 2021-12-16 16:43:44 2432 0 0 0 0 AutoCheck 1m 7s True 2021-12-16 16:42:33 2432 0 0 0 0 AutoCheck 2m 18s True 2021-12-16 16:41:23 2432 0 0 0 0 AutoCheck 3m 28s True 2021-12-16 16:40:13 2432 0 0 0 0 AutoCheck 4m 38s True 2021-12-16 16:39:02 2432 0 0 0 0 AutoCheck 5m 49s True 2021-12-16 16:37:52 2432 0 0 0 0 AutoCheck 6m 59s True 2021-12-16 16:36:42 2432 0 0 0 0 AutoCheck 8m 9s True 2021-12-16 16:35:31 2432 0 0 0 0 AutoCheck 9m 20s True 2021-12-16 16:34:21 2432 0 0 0 0 AutoCheck 10m 30s True 2021-12-16 16:33:11 2432 0 0 0 0 AutoCheck 11m 40s True
-
svc_patch 명령을 사용하여 모든 노드가 온라인 상태인지 확인합니다. 온라인 상태 경우 다음 단계를 진행합니다. 그렇지 않은 경우 이유를 조사하고 다시 온라인 상태로 전환한 다음 검사를 다시 실행합니다. 노드를 온라인으로 전환할 수 없는 경우 ECS 지원 팀에 서비스 요청을 개설하여 조사합니다.
명령:
# /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/svc_patch status
예:
admin@node1:~> /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/svc_patch status svc_patch Version 2.9.1 Verifying patch bundle consistency DONE Detecting nodes in current VDC DONE Reading in patch details (1 of 2) DONE Reading in patch details (2 of 2) DONE Validating nodes are online DONE Checking Installed Patches and Dependencies DONE Patches/releases currently installed: [ None detected ] Patches that need to be installed: CVE-2021-44228_log4j-fix_3.3.x-3.6.2 (PatchID: 3298) Files that need to be installed: /opt/storageos/lib/log4j-core-2.5.jar (from CVE-2021-44228_log4j-fix_3.3.x-3.6.2) The following services need to be restarted: ALL
3. xDoctor에 포함된 svc_patch 도구를 사용하여 시스템 패치를 적용합니다.
-
svc_patch 명령을 실행하고 패치를 설치하라는 메시지가 표시되면 "y"를 입력한 다음 Enter 키를 누릅니다. 이 명령은 모든 ECS 노드에서 실행할 수 있습니다.
명령:
# screen -S patchinstall
# unset TMOUT
# /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/svc_patch install
예:
참고: 아래 출력에 진행하라는 프롬프트가 있습니다.admin@node1:~> screen -S patchinstall admin@node1:~> unset TMOUT admin@node1:~> /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/svc_patch install svc_patch Version 2.9.1 Verifying patch bundle consistency DONE Detecting nodes in current VDC DONE Reading in patch details (1 of 2) DONE Reading in patch details (2 of 2) DONE Validating nodes are online DONE Checking Installed Patches and Dependencies DONE Patches/releases currently installed: [ None detected ] Patches that will be installed: CVE-2021-44228_log4j-fix_3.3.x-3.6.2 (PatchID: 3298) Files that will be installed: /opt/storageos/lib/log4j-core-2.5.jar (from CVE-2021-44228_log4j-fix_3.3.x-3.6.2) The following services will be restarted: ALL Patch Type: Standalone Number of nodes: 8 Number of seconds to wait between restarting node services: 450 Check DT status between node service restarts: true Do you wish to continue (y/n)?y [...Truncated Output of each node Distributing files and restarting services...] Distributing files to node 1xx.xxx.xx.xx Distributing patch installer to node '1xx.xxx.xx.xx' Restarting services on 1xx.xxx.xx.xx Restarting all services Waiting 180 seconds for services to stabilize... [...Truncated Output of each node Distributing files and restarting services...] Stopping ViPR services..done Services status 3: stat georeceiver eventsvc blobsvc dataheadsvc blobsvc-perf blobsvc-fi resourcesvc resourcesvc-perf resourcesvc-fi rm cm ssm objcontrolsvc metering sr storageserver nvmeengine nvmetargetviewer dtquery dtsm vnest coordinatorsvc ecsportalsvc transformsvc Setting up SSL certificates ...done Starting ViPR services..done Waiting 300 seconds for services to stabilize...DONE Patching complete. admin@node1:~>
-
위의 출력에 따라 업데이트가 완료되면 세션 종료 화면이 표시됩니다.
예:
admin@node1:/> exit logout [screen is terminating] admin@node1:/>
참고: 실행이 진행 중인 동안 실수로 PuTTY 세션을 닫은 경우 동일한 노드에 다시 로그인하고 아래 명령을 실행하여 다시 연결합니다.명령:
# screen -ls
admin@node 1:~> screen -ls There is a screen on: 114475.pts-0.ecs-n3 (Detached) 1 Socket in /var/run/uscreens/S-admin.이전 출력에서 분리된 세션에 다시 연결합니다.
admin@node1:~> screen -r 114475.pts-0.ecs-n3
4. 수정 사항이 적용되었는지 확인합니다.
-
아래 출력은 수정 사항이 적용된 시스템의 출력입니다.
명령:
# /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/svc_patch status
예:
admin@node1:/> /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/svc_patch status svc_patch Version 2.9.1 Verifying patch bundle consistency DONE Detecting nodes in current VDC DONE Reading in patch details (1 of 2) DONE Reading in patch details (2 of 2) DONE Validating nodes are online DONE Checking Installed Patches and Dependencies DONE Patches/releases currently installed: CVE-2021-44228_log4j-fix_3.3.x-3.6.2 (PatchID: 3298) Fixes for Log4j vulnerabilities CVE-2021-44228 and CVE-2021-45046 Patches that need to be installed: No files need to be installed. The following services need to be restarted: No services need to be restarted. -
아래 출력은 수정 사항이 적용되지 않은 시스템의 출력입니다.
예:
admin@node1:/> /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/svc_patch status svc_patch Version 2.9.1 Verifying patch bundle consistency DONE Detecting nodes in current VDC DONE Reading in patch details (1 of 2) DONE Reading in patch details (2 of 2) DONE Validating nodes are online DONE Checking Installed Patches and Dependencies DONE Patches/releases currently installed: [ None detected ] Patches that need to be installed: CVE-2021-44228_log4j-fix_3.3.x-3.6.2 (PatchID: 3298) Files that need to be installed: /opt/storageos/lib/log4j-core-2.5.jar (from CVE-2021-44228_log4j-fix_3.3.x-3.6.2) The following services need to be restarted: ALL
문제 해결:
-
DT 안정화 시간이 너무 오래 걸림
-
DT 안정화가 기본값인 7.5분보다 오래 걸리는 경우 애플리케이션svc_patch 패치 프로세스를 계속할지 중단할지 묻는 메시지를 표시합니다.
예:
admin@node1:~> /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/svc_patch install [...Truncated Output of each node Distributing files and restarting services...] Restarting services on 1xx.xx.xx.xx Restarting all services Waiting 180 seconds for services to stabilize...DONE Waiting for DTs to come online ERROR: DT Check failed. DTs did not come ready or could not be checked after several passes. Do you wish to continue anyway (y/n)?
-
다른 노드에서 PuTTY 세션을 열고 svc_dt 명령을 실행하여 "Unready #" 열에서 DT를 확인합니다. "0" 값이 없는 경우 15분 동안 기다린 후 검사를 다시 실행합니다. 준비되지 않은 DT가 없는 경우 svc_patch를 사용하여 세션으로 돌아갑니다. "y"로 대답하고 계속합니다. "Unready #" DT의 값이 계속 나열되는 경우 svc_dt ECS 지원 팀에 서비스 요청을 개설합니다.
명령:
# svc_dt check -b
예:
admin@node1:~> svc_dt check -b svc_dt v1.0.25 (svc_tools v2.0.2) Started 2021-12-15 17:18:52 Date Total DT Unknown # Unready # RIS Fail # Dump Fail # Check type Time since check Check successful 2021-12-15 17:17:54 1920 0 0 0 0 AutoCheck 0m 58s True 2021-12-15 17:16:44 1920 0 0 0 0 AutoCheck 2m 8s True 2021-12-15 17:16:10 1920 0 0 0 0 Manual Check 2m 42s True 2021-12-15 17:15:34 1920 0 0 0 0 AutoCheck 3m 18s True 2021-12-15 17:14:24 1920 0 0 0 0 AutoCheck 4m 28s True 2021-12-15 17:13:13 1920 0 0 0 0 AutoCheck 5m 39s True 2021-12-15 17:12:03 1920 0 0 0 0 AutoCheck 6m 49s True 2021-12-15 17:10:53 1920 0 0 0 0 AutoCheck 7m 59s True 2021-12-15 17:09:43 1920 0 0 0 0 AutoCheck 9m 9s True 2021-12-15 17:08:32 1920 0 0 0 0 AutoCheck 10m 20s True
-
-
화면에서 실행되지 않고 PuTTY 세션이 중간에 종료되기 때문에 모든 서비스가 모든 노드에서 재시작되지 않습니다.
예: 다시 로그인한 후 6개 노드 중 4개에서 서비스가 다시 시작되었습니다. 아래에 강조 표시된 노드 5와 6을 참조하십시오.
admin@node1:~> /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/svc_patch status svc_patch Version 2.9.1 Verifying patch bundle consistency DONE Detecting nodes in current VDC DONE Reading in patch details (1 of 2) DONE Reading in patch details (2 of 2) DONE Validating nodes are online DONE Checking Installed Patches and Dependencies DONE All nodes currently do not have the same patches installed. Patches/releases currently installed: 169.254.1.1: CVE-2021-44228_45046_log4j-fix 169.254.1.2: CVE-2021-44228_45046_log4j-fix 169.254.1.3: CVE-2021-44228_45046_log4j-fix 169.254.1.4: CVE-2021-44228_45046_log4j-fix 169.254.1.5: CVE-2021-44228_45046_log4j-fix 169.254.1.6: CVE-2021-44228_45046_log4j-fix Patches that need to be installed: 169.254.1.1: <None> 169.254.1.2: <None> 169.254.1.3: <None> 169.254.1.4: <None> 169.254.1.5: <None> 169.254.1.6: <None> Files that need to be installed: 169.254.1.1: <None> 169.254.1.2: <None> 169.254.1.3: <None> 169.254.1.4: <None> 169.254.1.5: <None> 169.254.1.6: <None> Services that need to be restarted: 169.254.1.1: <None> 169.254.1.2: <None> 169.254.1.3: <None> 169.254.1.4: <None> 169.254.1.5: ALL 169.254.1.6: ALL admin@ecsnode1:~>해결 방법:
절차를 다시 실행하고 원래 누락된 나머지 노드에서 서비스를 다시 시작합니다. 서비스가 재시작된 원래 노드는 변경되지 않습니다.admin@node1:~> /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/svc_patch install svc_patch Version 2.9.1 Verifying patch bundle consistency DONE Detecting nodes in current VDC DONE Reading in patch details (1 of 2) DONE Reading in patch details (2 of 2) DONE Validating nodes are online DONE Checking Installed Patches and Dependencies DONE All nodes currently do not have the same patches installed. Patches/releases currently installed: 169.254.1.1: CVE-2021-44228_45046_log4j-fix 169.254.1.2: CVE-2021-44228_45046_log4j-fix 169.254.1.3: CVE-2021-44228_45046_log4j-fix 169.254.1.4: CVE-2021-44228_45046_log4j-fix 169.254.1.5: CVE-2021-44228_45046_log4j-fix 169.254.1.6: CVE-2021-44228_45046_log4j-fix Patches that will be installed: 169.254.1.1: <None> 169.254.1.2: <None> 169.254.1.3: <None> 169.254.1.4: <None> 169.254.1.5: <None> 169.254.1.6: <None> Files that will be installed: 169.254.1.1: <None> 169.254.1.2: <None> 169.254.1.3: <None> 169.254.1.4: <None> 169.254.1.5: <None> 169.254.1.6: <None> Services that will be restarted: 169.254.1.1: <None> 169.254.1.2: <None> 169.254.1.3: <None> 169.254.1.4: <None> 169.254.1.5: ALL 169.254.1.6: ALL Patch Type: Standalone Number of nodes: 8 Number of seconds to wait between restarting node services: 450 Check DT status between node service restarts: true Do you wish to continue (y/n)?y No files to install on 169.254.1.1 Distributing patch installer to node '169.254.1.1' No files to install on 169.254.1.2 Distributing patch installer to node '169.254.1.2' No files to install on 169.254.1.3 Distributing patch installer to node '169.254.1.3' No files to install on 169.254.1.4 Distributing patch installer to node '169.254.1.4' No files to install on 169.254.1.5 Distributing patch installer to node '169.254.1.5' No files to install on 169.254.1.6 Distributing patch installer to node '169.254.1.6' No services to restart on 169.254.1.1 No services to restart on 169.254.1.2 No services to restart on 169.254.1.3 No services to restart on 169.254.1.4 Restarting services on 169.254.1.5 Restarting all services Waiting 450 seconds for services to stabilize...DONE Waiting for DTs to come online Restarting services on 169.254.1.6 Restarting all services Waiting 450 seconds for services to stabilize...DONE Waiting for DTs to come online Patching complete. admin@ecsnode1:~> -
패치를 적용하는 동안 알려진 호스트 목록에 호스트를 추가하지 못했습니다.
예:
svc_patch Version 2.9.1 Verifying patch bundle consistency DONE Detecting nodes in current VDC DONE Reading in patch details (1 of 2) DONE Reading in patch details (2 of 2) DONE Validating nodes are online FAILED ERROR: Could not execute commands on the object-main container on 169.254.x.x Output was 'Failed to add the host to the list of known hosts (/home/admin/.ssh/known_hosts). :patchtest:' Patching is unable to continue with unreachable nodes. To proceed: - Resolve problems accessing node(s) from this one. - Manually pass a MACHINES file containing the list of working nodes to patch (not recommended). - Contact your next level of support for other options or assistance.
해결 방법:
그 이유는 /home/admin/.ssh/known_hosts 파일의 사용자가 기본적으로 admin이어야 하는 루트였기 때문일 수 있습니다.예:
admin@node1:~> ls -l /home/admin/.ssh/known_hosts -rw------- 1 root root 1802 Jul 23 2019 /home/admin/.ssh/known_hosts admin@ecs:~>
다른 PuTTY 세션에서 문제를 해결하려면 보고된 노드에 로그인하고 보고된 모든 노드에서 아래 명령을 사용하여 루트 사용자로 존재하는 노드에서 사용자를 admin으로 변경합니다.
명령:
# sudo chown admin:users /home/admin/.ssh/known_hosts
예:
admin@node1:~> sudo chown admin:users /home/admin/.ssh/known_hosts
이제 svc_patch 명령을 다시 실행하면 통과해야 합니다.
admin@node1:~> /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/svc_patch install
-
/home/admin/.ssh/known_hosts의 잘못된 호스트 키로 인해 169.254.x.x의 오브젝트 기본 컨테이너에서 명령을 실행할 수 없습니다.
예:
svc_patch Version 2.9.1 Verifying patch bundle consistency DONE Detecting nodes in current VDC DONE Reading in patch details (1 of 2) DONE Reading in patch details (2 of 2) DONE Validating nodes are online FAILED ERROR: Could not execute commands on the object-main container on 169.254.x.x Output was '@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ @ WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED! @ @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY! Someone could be eavesdropping on you right now (man-in-the-middle attack)! It is also possible that a host key has just been changed. The fingerprint for the ECDSA key sent by the remote host is SHA256:RcwOsFj7zPA5p5kSeYovF4UlZTm125nLVeCL1zCqOzc. Please contact your system administrator. Add correct host key in /home/admin/.ssh/known_hosts to get rid of this message. Offending ECDSA key in /home/admin/.ssh/known_hosts:14 You can use following command to remove the offending key: ssh-keygen -R 169.254.x.x -f /home/admin/.ssh/known_hosts Password authentication is disabled to avoid man-in-the-middle attacks. Keyboard-interactive authentication is disabled to avoid man-in-the-middle attacks. :patchtest:' Patching is unable to continue with unreachable nodes. To proceed: - Resolve problems accessing node(s) from this one. - Manually pass a MACHINES file containing the list of working nodes to patch (not recommended). - Contact your next level of support for other options or assistance.
해결 방법:
해결 방법이 필요한 경우 ECS 지원에 문의하십시오. -
xDoctor 버전 4.8-85.0 릴리스를 사용하여 이 패치를 적용할 때 md5sum이 svc_base.py와 일치하지 않는다는 알림이 표시될 수 있습니다.
# /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/svc_patch status svc_patch Version 2.9.1 Verifying patch bundle consistency FAILED Patch bundle onsistency check failed - md5sums for one or more files in the patch bundle were invalid, or files were not found. svc_patch will attempt to validate files in the patch using MD5SUMS.bundle, which is bundled with the patch. Output from md5sum was: ./lib/libs/svc_base.py: FAILED md5sum: WARNING: 1 computed checksum did NOT match
해결 방법:
패치를 적용하기 전에 아래 명령을 실행하여 md5sum을 업데이트합니다.# sudo sed -i '/svc_base.py/d' /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/MD5SUMS.bundle # sudo sed -i '/MD5SUMS.bundle/d' /opt/emc/xdoctor/.xdr_chksum
Affected Products
Elastic Cloud StorageProducts
ECS, ECS ApplianceArticle Properties
Article Number: 000194467
Article Type: Solution
Last Modified: 02 Dec 2025
Version: 28
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.