ECS: ECS-oplossing voor beveiligingslek in Apache Log4j met betrekking tot uitvoering van externe code
Summary: Beveiligingslek in Apache Log4j
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
CVE-identifier CVE-2021-44228
CVE-identifier CVE_2021-45046
Apache-publicatie: Apache Log4j Remote Code Execution
Cause
Beveiligingslek in Apache Log4j
Resolution
Wie moet deze procedure uitvoeren?
Dell verzoekt klanten deze procedure voor het upgraden van xDoctor en het installeren van de patch uit te voeren. Dit is de snelste en veiligste methode omdat langdurige blootstelling aan deze Apache-kwetsbaarheid wordt voorkomen. Alle stappen worden in deze KB beschreven. Er is ook een videogids die kan worden gevolgd om deze KB te begeleiden, die zich op de onderstaande link bevindt.
Video: Apache-log4j
Gevolgen van de procedure:
Houd rekening met mogelijke I/O-time-outs terwijl de services opnieuw worden gestart. Applicaties die toegang hebben tot het cluster moeten de I/O-time-out kunnen verwerken. Er wordt geadviseerd om bij het uitvoeren van deze procedure een onderhoudsvenster in te stellen.
Tijdsbesteding voor de activiteit (ongeveer):
Er wordt standaard een vertraging van ongeveer 7 minuten per knooppunt ingesteld tussen het opnieuw opstarten van de service. Het aantal knooppunten in een Virtual Data Center (VDC) vermenigvuldigd met 7 minuten + 60 minuten voor voorbereiding, DT-stabilisatie en controles achteraf.
Voorbeelden:
Een VDC-systeem met 48 knooppunten kan ongeveer 6,5 uur duren:
7,5 minuten x 48 (aantal VDC-knooppunten) + 30 minuten (voorbereiding) = 6,5 uur of 390 minuten
Een VDC-systeem met acht knooppunten kan ongeveer 1,5 uur duren:
7,5 minuten X 8 (aantal VDC-knooppunten) + 30 minuten (voorbereiding) = 1,5 uur of 90 minuten
Veelgestelde vragen (FAQ):
V: Maakt de patch deel uit van de xDoctor-release?
Een: Het installatiescript voor de patch maakt deel uit van xDoctor release 4.8-79.1 en hoger. Instructies voor het downloaden van xDoctor en het uitvoeren van de patch-installatie vindt u in de oplossingsstappen.
Vraag: Kan ik meerdere VDC's parallel bijwerken?
Een: Nee. Patch 1 VDC per keer.
V: Kan ik deze patch toepassen op ECS met codeversie 3.2.x of eerder?
Een: Nee, deze patch is alleen van toepassing op ECS versies 3.3.x - 3.6.x. Open een serviceaanvraag om een upgrade voor eerdere versies te plannen.
V: Als ik ECS upgrade nadat ik deze procedure heb uitgevoerd, moet ik de procedure dan na de upgrade opnieuw uitvoeren?
Een: Nee, als u een upgrade uitvoert naar een codeversie die is gespecificeerd in DSA-2021-273 en die de permanente oplossing heeft. Ja, als u een upgrade uitvoert naar een codeversie die niet is gespecificeerd in dezelfde DSA.
V: Moet de patch opnieuw worden aangebracht op een systeem waarop de patch eerder is geïnstalleerd na het vervangen, opnieuw installeren van een image of uitbreiding van een knooppunt?
Een: Nee, als VDC de codeversie heeft die is opgegeven in DSA-2021-273. Ja, als u een van deze acties uitvoert tegen een VDC waarop een codeversie wordt uitgevoerd die niet in dezelfde DSA is gespecificeerd. Wanneer een patch voor deze scenario's vereist is, neemt de betreffende Dell technicus contact met u op om te melden dat een update vereist is.
V: Voor welke gebruiker moet u zijn aangemeld om alle opdrachten in deze KB uit te voeren?
Een: Admin
V: Moet svc_patch op alle racks worden uitgevoerd of met een gespecialiseerd MACHINES-bestand waar meerdere racks in een VDC staan?
Een: Nee, het detecteert automatisch of er meerdere racks bestaan en werkt alle knooppunten op alle racks op die VDC bij.
V: Ik zie dat de beoogde xDoctor-release nu 4.8-79.1 is en niet 4.8-79.0. Waarom?
A: xDoctor-releases komen regelmatig voor, dus het wordt altijd aanbevolen om te upgraden naar de hoogst uitgebrachte versie. Als u echter eerder Apache fix hebt uitgevoerd met 4.8-79.0, dan is het systeem volledig beschermd tegen het beveiligingslek en hoeft het niet opnieuw te worden uitgevoerd.
Samenvatting van de oplossing:
- Upgrade uw ECS xDoctor-software naar versie 4.8.-79.1 of hoger
- Voer voorcontroles uit.
- Breng de systeempatch aan met de svc_patch tool die bij xDoctor wordt geleverd.
- Controleer of de oplossing is toegepast.
- Probleemoplossing.
Oplossingsstappen:
1. Upgrade uw ECS xDoctor-software naar de nieuwste versie die beschikbaar is.
-
Controleer de xDoctor-versie die op uw systeem wordt uitgevoerd. Als de versie 4.8-79.1 of hoger is, gaat u naar stap 2 "Voorcontroles uitvoeren". Als dit niet het geval is, gaat u verder met de onderstaande stappen.
Opdracht:
# sudo xdoctor --version
Voorbeeld:
admin@node1:~> sudo xdoctor --version 4.8-79.1
- Meld u aan bij de supportwebsite, maak rechtstreeks verbinding met de downloadlink, zoek naar xDoctor met behulp van het trefwoord en klik op de xDoctor RPM-link om deze te downloaden. Als u de releaseopmerkingen wilt bekijken, volgt u Releaseopmerkingen en selecteert u Handleidingen en documenten in de zijbalk van waaruit ze beschikbaar moeten zijn om te downloaden.
- Nadat de RPM is gedownload, gebruikt u een extern SCP-programma om het bestand te uploaden naar de map /home/admin op het eerste ECS knooppunt.
- Zodra het uploaden is voltooid, SSH naar het eerste knooppunt van het ECS systeem met behulp van admin.
-
Voer een upgrade uit van xDoctor op alle knooppunten met de nieuw gedistribueerde versie.
Opdracht:
# sudo xdoctor --upgrade --local=/home/admin/xDoctor4ECS-4.8-79.1.noarch.rpm
Voorbeeld:
admin@node1:~> sudo xdoctor --upgrade --local=/home/admin/xDoctor4ECS-4.8-79.1.noarch.rpm 2021-12-20 12:06:11,358: xDoctor_4.8-78.2 - INFO : xDoctor Upgrader Instance (2:FTP_SFTP) 2021-12-20 12:06:11,358: xDoctor_4.8-78.2 - INFO : Local Upgrade (/home/admin/xDoctor4ECS-4.8-79.1.noarch.rpm) 2021-12-20 12:06:11,392: xDoctor_4.8-78.2 - INFO : Current Installed xDoctor version is 4.8-78.2 2021-12-20 12:06:11,429: xDoctor_4.8-78.2 - INFO : Requested package version is 4.8-79.1 2021-12-20 12:06:11,430: xDoctor_4.8-78.2 - INFO : Updating xDoctor RPM Package (RPM) 2021-12-20 12:06:11,482: xDoctor_4.8-78.2 - INFO : - Distribute package 2021-12-20 12:06:12,099: xDoctor_4.8-78.2 - INFO : - Install new rpm package 2021-12-20 12:06:37,829: xDoctor_4.8-78.2 - INFO : xDoctor successfully updated to version 4.8-79.1
-
Als de omgeving een multiracks VDC is, moet het nieuwe xDoctor-pakket op het eerste knooppunt van elk rack worden geïnstalleerd. Voer de onderstaande opdracht uit om deze primaire racks te identificeren. In dit geval zijn er vier rekken en vier rek voorverkiezingen gemarkeerd.
-
Opdracht:
# svc_exec -m "ip address show private.4 |grep -w inet"
Voorbeeld:
admin@ecsnode1~> svc_exec -m "ip address show private.4 |grep -w inet" svc_exec v1.0.2 (svc_tools v2.1.0) Started 2021-12-20 14:03:33 Output from node: r1n1 retval: 0 inet 169.254.1.1/16 brd 169.254.255.255 scope global private.4 Output from node: r2n1 retval: 0 inet 169.254.2.1/16 brd 169.254.255.255 scope global private.4 Output from node: r3n1 retval: 0 inet 169.254.3.1/16 brd 169.254.255.255 scope global private.4 Output from node: r4n1 retval: 0 inet 169.254.4.1/16 brd 169.254.255.255 scope global private.4 -
Kopieer het pakket van het eerste knooppunt van het systeem (R1N1) naar de andere primaire racks zoals hieronder:
Voorbeeld:
admin@ecsnode1~> scp xDoctor4ECS-4.8-79.1.noarch.rpm 169.254.2.1:/home/admin/ xDoctor4ECS-4.8-79.1.noarch.rpm 100% 32MB 31.9MB/s 00:00 admin@ecsnode1~> scp xDoctor4ECS-4.8-79.1.noarch.rpm 169.254.3.1:/home/admin/ xDoctor4ECS-4.8-79.1.noarch.rpm 100% 32MB 31.9MB/s 00:00 admin@ecsnode1~> scp xDoctor4ECS-4.8-79.1.noarch.rpm 169.254.4.1:/home/admin/ xDoctor4ECS-4.8-79.1.noarch.rpm 100% 32MB 31.9MB/s 00:00 admin@ecsnode1~>
-
Voer volgens stap e hierboven dezelfde xDoctor-installatieopdracht uit op elk van de bovengenoemde primaire racks die eerder zijn geïdentificeerd.
Opdracht:
# sudo xdoctor --upgrade --local=/home/admin/xDoctor4ECS-4.8-79.1.noarch.rpm
-
2. Voer voorcontroles uit.
-
Gebruik de opdracht svc_dt om te controleren of DT's stabiel zijn. DT's zijn stabiel als de kolom "Unready #" 0 toont. Zo ja, ga dan naar de volgende controle. Zo nee, wacht dan 15 minuten en probeer het opnieuw. Als de DT's niet zijn gestabiliseerd, opent u een serviceaanvraag bij het ECS-supportteam.
Opdracht:
# svc_dt check -b
Voorbeeld:
admin@node1:~> svc_dt check -b svc_dt v1.0.25 (svc_tools v2.0.2) Started 2021-12-16 16:44:51 Date Total DT Unknown # Unready # RIS Fail # Dump Fail # Check type Time since check Check successful 2021-12-16 16:43:44 2432 0 0 0 0 AutoCheck 1m 7s True 2021-12-16 16:42:33 2432 0 0 0 0 AutoCheck 2m 18s True 2021-12-16 16:41:23 2432 0 0 0 0 AutoCheck 3m 28s True 2021-12-16 16:40:13 2432 0 0 0 0 AutoCheck 4m 38s True 2021-12-16 16:39:02 2432 0 0 0 0 AutoCheck 5m 49s True 2021-12-16 16:37:52 2432 0 0 0 0 AutoCheck 6m 59s True 2021-12-16 16:36:42 2432 0 0 0 0 AutoCheck 8m 9s True 2021-12-16 16:35:31 2432 0 0 0 0 AutoCheck 9m 20s True 2021-12-16 16:34:21 2432 0 0 0 0 AutoCheck 10m 30s True 2021-12-16 16:33:11 2432 0 0 0 0 AutoCheck 11m 40s True
-
Gebruik de opdracht svc_patch om te controleren of alle knooppunten online zijn. Zo ja, ga dan naar de volgende stap. Zo nee, onderzoek dan de reden, breng het weer online en voer de controle opnieuw uit. Als een knooppunt niet online kan worden gebracht, opent u een serviceaanvraag bij het ECS supportteam om dit te onderzoeken.
Opdracht:
# /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/svc_patch status
Voorbeeld:
admin@node1:~> /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/svc_patch status svc_patch Version 2.9.1 Verifying patch bundle consistency DONE Detecting nodes in current VDC DONE Reading in patch details (1 of 2) DONE Reading in patch details (2 of 2) DONE Validating nodes are online DONE Checking Installed Patches and Dependencies DONE Patches/releases currently installed: [ None detected ] Patches that need to be installed: CVE-2021-44228_log4j-fix_3.3.x-3.6.2 (PatchID: 3298) Files that need to be installed: /opt/storageos/lib/log4j-core-2.5.jar (from CVE-2021-44228_log4j-fix_3.3.x-3.6.2) The following services need to be restarted: ALL
3. Breng de systeempatch aan met de svc_patch tool die bij xDoctor wordt geleverd.
-
Voer de svc_patch-opdracht uit, typ "y" en druk op Enter wanneer u wordt gevraagd om de patch te installeren. De opdracht kan op elk ECS knooppunt worden uitgevoerd.
Opdrachten:
# screen -S patchinstall
# unset TMOUT
# /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/svc_patch install
Voorbeeld:
Opmerking: Er is een prompt om verder te gaan in de onderstaande uitvoer.admin@node1:~> screen -S patchinstall admin@node1:~> unset TMOUT admin@node1:~> /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/svc_patch install svc_patch Version 2.9.1 Verifying patch bundle consistency DONE Detecting nodes in current VDC DONE Reading in patch details (1 of 2) DONE Reading in patch details (2 of 2) DONE Validating nodes are online DONE Checking Installed Patches and Dependencies DONE Patches/releases currently installed: [ None detected ] Patches that will be installed: CVE-2021-44228_log4j-fix_3.3.x-3.6.2 (PatchID: 3298) Files that will be installed: /opt/storageos/lib/log4j-core-2.5.jar (from CVE-2021-44228_log4j-fix_3.3.x-3.6.2) The following services will be restarted: ALL Patch Type: Standalone Number of nodes: 8 Number of seconds to wait between restarting node services: 450 Check DT status between node service restarts: true Do you wish to continue (y/n)?y [...Truncated Output of each node Distributing files and restarting services...] Distributing files to node 1xx.xxx.xx.xx Distributing patch installer to node '1xx.xxx.xx.xx' Restarting services on 1xx.xxx.xx.xx Restarting all services Waiting 180 seconds for services to stabilize... [...Truncated Output of each node Distributing files and restarting services...] Stopping ViPR services..done Services status 3: stat georeceiver eventsvc blobsvc dataheadsvc blobsvc-perf blobsvc-fi resourcesvc resourcesvc-perf resourcesvc-fi rm cm ssm objcontrolsvc metering sr storageserver nvmeengine nvmetargetviewer dtquery dtsm vnest coordinatorsvc ecsportalsvc transformsvc Setting up SSL certificates ...done Starting ViPR services..done Waiting 300 seconds for services to stabilize...DONE Patching complete. admin@node1:~>
-
Het sessiescherm afsluiten wanneer het bijwerken is voltooid volgens de bovenstaande uitvoer.
Voorbeeld:
admin@node1:/> exit logout [screen is terminating] admin@node1:/>
Opmerking: Als u per ongeluk de PuTTY-sessie sluit terwijl de uitvoering bezig is, maakt u opnieuw verbinding door u opnieuw aan te melden bij hetzelfde knooppunt en de onderstaande opdracht uit te voeren:Opdracht:
# screen -ls
admin@node 1:~> screen -ls There is a screen on: 114475.pts-0.ecs-n3 (Detached) 1 Socket in /var/run/uscreens/S-admin.Opnieuw koppelen aan Losgekoppelde sessie uit vorige uitvoer.
admin@node1:~> screen -r 114475.pts-0.ecs-n3
4. Controleer of de oplossing is toegepast.
-
De onderstaande uitvoer is van een systeem waarop de oplossing is toegepast.
Opdracht:
# /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/svc_patch status
Voorbeeld:
admin@node1:/> /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/svc_patch status svc_patch Version 2.9.1 Verifying patch bundle consistency DONE Detecting nodes in current VDC DONE Reading in patch details (1 of 2) DONE Reading in patch details (2 of 2) DONE Validating nodes are online DONE Checking Installed Patches and Dependencies DONE Patches/releases currently installed: CVE-2021-44228_log4j-fix_3.3.x-3.6.2 (PatchID: 3298) Fixes for Log4j vulnerabilities CVE-2021-44228 and CVE-2021-45046 Patches that need to be installed: No files need to be installed. The following services need to be restarted: No services need to be restarted. -
De onderstaande uitvoer is van een systeem waarop de oplossing niet is toegepast.
Voorbeeld:
admin@node1:/> /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/svc_patch status svc_patch Version 2.9.1 Verifying patch bundle consistency DONE Detecting nodes in current VDC DONE Reading in patch details (1 of 2) DONE Reading in patch details (2 of 2) DONE Validating nodes are online DONE Checking Installed Patches and Dependencies DONE Patches/releases currently installed: [ None detected ] Patches that need to be installed: CVE-2021-44228_log4j-fix_3.3.x-3.6.2 (PatchID: 3298) Files that need to be installed: /opt/storageos/lib/log4j-core-2.5.jar (from CVE-2021-44228_log4j-fix_3.3.x-3.6.2) The following services need to be restarted: ALL
Probleemoplossing:
-
DT-stabilisatie duurt te lang
-
Als DT-stabilisatie meer tijd in beslag neemt dan de standaard 7,5 minuten, vraagt svc_patch applicatie om door te gaan of te stoppen met het patchproces.
Voorbeeld:
admin@node1:~> /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/svc_patch install [...Truncated Output of each node Distributing files and restarting services...] Restarting services on 1xx.xx.xx.xx Restarting all services Waiting 180 seconds for services to stabilize...DONE Waiting for DTs to come online ERROR: DT Check failed. DTs did not come ready or could not be checked after several passes. Do you wish to continue anyway (y/n)?
-
Open een PuTTY-sessie op een ander knooppunt en voer svc_dt opdracht uit om DT's te controleren in de kolom "Unready #". Als er geen "0"-waarden zijn, wacht u 15 minuten en voert u de controle opnieuw uit. Keer terug naar de sessie met svc_patch wanneer er geen onvoorbereide DT's zijn. Antwoord "y" en ga verder. Als svc_dt waarden blijft weergeven in "Unready #" DT's, opent u een serviceaanvraag bij het ECS supportteam.
Opdracht:
# svc_dt check -b
Voorbeeld:
admin@node1:~> svc_dt check -b svc_dt v1.0.25 (svc_tools v2.0.2) Started 2021-12-15 17:18:52 Date Total DT Unknown # Unready # RIS Fail # Dump Fail # Check type Time since check Check successful 2021-12-15 17:17:54 1920 0 0 0 0 AutoCheck 0m 58s True 2021-12-15 17:16:44 1920 0 0 0 0 AutoCheck 2m 8s True 2021-12-15 17:16:10 1920 0 0 0 0 Manual Check 2m 42s True 2021-12-15 17:15:34 1920 0 0 0 0 AutoCheck 3m 18s True 2021-12-15 17:14:24 1920 0 0 0 0 AutoCheck 4m 28s True 2021-12-15 17:13:13 1920 0 0 0 0 AutoCheck 5m 39s True 2021-12-15 17:12:03 1920 0 0 0 0 AutoCheck 6m 49s True 2021-12-15 17:10:53 1920 0 0 0 0 AutoCheck 7m 59s True 2021-12-15 17:09:43 1920 0 0 0 0 AutoCheck 9m 9s True 2021-12-15 17:08:32 1920 0 0 0 0 AutoCheck 10m 20s True
-
-
Alle services worden niet opnieuw gestart op alle knooppunten omdat ze niet op het scherm worden uitgevoerd en de PuTTY-sessie voortijdig wordt beëindigd.
Voorbeeld: Services zijn opnieuw gestart op vier van de zes knooppunten nadat u zich opnieuw had aangemeld. Zie de punten 5 en 6 hieronder gemarkeerd.
admin@node1:~> /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/svc_patch status svc_patch Version 2.9.1 Verifying patch bundle consistency DONE Detecting nodes in current VDC DONE Reading in patch details (1 of 2) DONE Reading in patch details (2 of 2) DONE Validating nodes are online DONE Checking Installed Patches and Dependencies DONE All nodes currently do not have the same patches installed. Patches/releases currently installed: 169.254.1.1: CVE-2021-44228_45046_log4j-fix 169.254.1.2: CVE-2021-44228_45046_log4j-fix 169.254.1.3: CVE-2021-44228_45046_log4j-fix 169.254.1.4: CVE-2021-44228_45046_log4j-fix 169.254.1.5: CVE-2021-44228_45046_log4j-fix 169.254.1.6: CVE-2021-44228_45046_log4j-fix Patches that need to be installed: 169.254.1.1: <None> 169.254.1.2: <None> 169.254.1.3: <None> 169.254.1.4: <None> 169.254.1.5: <None> 169.254.1.6: <None> Files that need to be installed: 169.254.1.1: <None> 169.254.1.2: <None> 169.254.1.3: <None> 169.254.1.4: <None> 169.254.1.5: <None> 169.254.1.6: <None> Services that need to be restarted: 169.254.1.1: <None> 169.254.1.2: <None> 169.254.1.3: <None> 169.254.1.4: <None> 169.254.1.5: ALL 169.254.1.6: ALL admin@ecsnode1:~>Oplossing:
Voer de procedure opnieuw uit en de resterende knooppunten die oorspronkelijk werden gemist, worden opnieuw gestart. De oorspronkelijke knooppunten waarop de services opnieuw waren opgestart, zijn onaangeroerd.admin@node1:~> /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/svc_patch install svc_patch Version 2.9.1 Verifying patch bundle consistency DONE Detecting nodes in current VDC DONE Reading in patch details (1 of 2) DONE Reading in patch details (2 of 2) DONE Validating nodes are online DONE Checking Installed Patches and Dependencies DONE All nodes currently do not have the same patches installed. Patches/releases currently installed: 169.254.1.1: CVE-2021-44228_45046_log4j-fix 169.254.1.2: CVE-2021-44228_45046_log4j-fix 169.254.1.3: CVE-2021-44228_45046_log4j-fix 169.254.1.4: CVE-2021-44228_45046_log4j-fix 169.254.1.5: CVE-2021-44228_45046_log4j-fix 169.254.1.6: CVE-2021-44228_45046_log4j-fix Patches that will be installed: 169.254.1.1: <None> 169.254.1.2: <None> 169.254.1.3: <None> 169.254.1.4: <None> 169.254.1.5: <None> 169.254.1.6: <None> Files that will be installed: 169.254.1.1: <None> 169.254.1.2: <None> 169.254.1.3: <None> 169.254.1.4: <None> 169.254.1.5: <None> 169.254.1.6: <None> Services that will be restarted: 169.254.1.1: <None> 169.254.1.2: <None> 169.254.1.3: <None> 169.254.1.4: <None> 169.254.1.5: ALL 169.254.1.6: ALL Patch Type: Standalone Number of nodes: 8 Number of seconds to wait between restarting node services: 450 Check DT status between node service restarts: true Do you wish to continue (y/n)?y No files to install on 169.254.1.1 Distributing patch installer to node '169.254.1.1' No files to install on 169.254.1.2 Distributing patch installer to node '169.254.1.2' No files to install on 169.254.1.3 Distributing patch installer to node '169.254.1.3' No files to install on 169.254.1.4 Distributing patch installer to node '169.254.1.4' No files to install on 169.254.1.5 Distributing patch installer to node '169.254.1.5' No files to install on 169.254.1.6 Distributing patch installer to node '169.254.1.6' No services to restart on 169.254.1.1 No services to restart on 169.254.1.2 No services to restart on 169.254.1.3 No services to restart on 169.254.1.4 Restarting services on 169.254.1.5 Restarting all services Waiting 450 seconds for services to stabilize...DONE Waiting for DTs to come online Restarting services on 169.254.1.6 Restarting all services Waiting 450 seconds for services to stabilize...DONE Waiting for DTs to come online Patching complete. admin@ecsnode1:~> -
Kan de host niet toevoegen aan de lijst met bekende hosts tijdens het toepassen van de patch.
Voorbeeld:
svc_patch Version 2.9.1 Verifying patch bundle consistency DONE Detecting nodes in current VDC DONE Reading in patch details (1 of 2) DONE Reading in patch details (2 of 2) DONE Validating nodes are online FAILED ERROR: Could not execute commands on the object-main container on 169.254.x.x Output was 'Failed to add the host to the list of known hosts (/home/admin/.ssh/known_hosts). :patchtest:' Patching is unable to continue with unreachable nodes. To proceed: - Resolve problems accessing node(s) from this one. - Manually pass a MACHINES file containing the list of working nodes to patch (not recommended). - Contact your next level of support for other options or assistance.
Oplossing:
De reden kan zijn dat de gebruiker van het bestand /home/admin/.ssh/known_hosts root was, wat standaard admin zou moeten zijn.Voorbeeld:
admin@node1:~> ls -l /home/admin/.ssh/known_hosts -rw------- 1 root root 1802 Jul 23 2019 /home/admin/.ssh/known_hosts admin@ecs:~>
Om het probleem van een andere PuTTY-sessie op te lossen, meldt u zich aan bij het gerapporteerde knooppunt of de knooppunten en wijzigt u de gebruiker in admin op de knooppunten waar deze aanwezig is als rootgebruiker met de onderstaande opdracht op alle gerapporteerde knooppunten:
Opdracht:
# sudo chown admin:users /home/admin/.ssh/known_hosts
Voorbeeld:
admin@node1:~> sudo chown admin:users /home/admin/.ssh/known_hosts
Voer nu de opdracht svc_patch opnieuw uit. Het zou moeten slagen.
admin@node1:~> /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/svc_patch install
-
Kan opdrachten niet uitvoeren op de object-main container op 169.254.x.x vanwege een onjuiste hostsleutel in /home/admin/.ssh/known_hosts.
Voorbeeld:
svc_patch Version 2.9.1 Verifying patch bundle consistency DONE Detecting nodes in current VDC DONE Reading in patch details (1 of 2) DONE Reading in patch details (2 of 2) DONE Validating nodes are online FAILED ERROR: Could not execute commands on the object-main container on 169.254.x.x Output was '@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ @ WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED! @ @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY! Someone could be eavesdropping on you right now (man-in-the-middle attack)! It is also possible that a host key has just been changed. The fingerprint for the ECDSA key sent by the remote host is SHA256:RcwOsFj7zPA5p5kSeYovF4UlZTm125nLVeCL1zCqOzc. Please contact your system administrator. Add correct host key in /home/admin/.ssh/known_hosts to get rid of this message. Offending ECDSA key in /home/admin/.ssh/known_hosts:14 You can use following command to remove the offending key: ssh-keygen -R 169.254.x.x -f /home/admin/.ssh/known_hosts Password authentication is disabled to avoid man-in-the-middle attacks. Keyboard-interactive authentication is disabled to avoid man-in-the-middle attacks. :patchtest:' Patching is unable to continue with unreachable nodes. To proceed: - Resolve problems accessing node(s) from this one. - Manually pass a MACHINES file containing the list of working nodes to patch (not recommended). - Contact your next level of support for other options or assistance.
Oplossing:
Neem contact op met ECS support voor een oplossing. -
Wanneer u xDoctor versie 4.8-85.0 release gebruikt om deze patch toe te passen, krijgt u mogelijk een waarschuwing dat de md5sum niet overeenkomt voor svc_base.py:
# /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/svc_patch status svc_patch Version 2.9.1 Verifying patch bundle consistency FAILED Patch bundle onsistency check failed - md5sums for one or more files in the patch bundle were invalid, or files were not found. svc_patch will attempt to validate files in the patch using MD5SUMS.bundle, which is bundled with the patch. Output from md5sum was: ./lib/libs/svc_base.py: FAILED md5sum: WARNING: 1 computed checksum did NOT match
Oplossing:
Voer de onderstaande opdrachten uit voordat u de patch toepast om de md5sum bij te werken:# sudo sed -i '/svc_base.py/d' /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/MD5SUMS.bundle # sudo sed -i '/MD5SUMS.bundle/d' /opt/emc/xdoctor/.xdr_chksum
Affected Products
Elastic Cloud StorageProducts
ECS, ECS ApplianceArticle Properties
Article Number: 000194467
Article Type: Solution
Last Modified: 02 Dec 2025
Version: 28
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.