ECS: ECS-løsning på sikkerhetsproblem med ekstern kodekjøring i Apache Log4j
Summary: Sikkerhetsproblem med Apache Log4j
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
CVE-identifikator CVE-2021-44228
CVE-identifikator CVE_2021-45046
Apache-publikasjon: Ekstern kjøring av Apache Log4j-kode
Cause
Sikkerhetsproblem med Apache Log4j
Resolution
Hvem skal kjøre denne prosedyren?
Dell ber om at kundene utfører denne prosedyren for å oppgradere xDoctor og installere oppdateringen. Dette er den raskeste og sikreste metoden, da den unngår langvarig eksponering for dette Apache-sikkerhetsproblemet. Alle trinnene er beskrevet i denne KB-en. Det er også en videoguide som kan følges for å følge denne KB som ligger på lenken nedenfor.
Skjerm: Apache-Log4j
Virkningen av prosedyren:
Forvent mulige I/O-tidsavbrudd når tjenestene startes på nytt. Applikasjoner som får tilgang til klyngen, må kunne håndtere I/O-tidsavbruddet. Det anbefales å bruke et vedlikeholdsvindu når du utfører denne prosedyren.
Tid tatt for aktiviteten (ca.)
En forsinkelse på ca. 7 minutter angis som standard per node mellom omstart av tjenesten. Antall noder i et virtuelt datasenter (VDC) multiplisert med 7 minutter + 60 minutter for klargjøring, DT-stabilisering og etterkontroller som trengs.
Eksempler:
Et 48-noders VDC-system kan ta omtrent 6,5 timer:
7,5 minutter x 48 (antall VDC-noder) + 30 minutter (klargjøring) = 6,5 timer eller 390 minutter
Et åtte noder VDC-system kan ta omtrent 1,5 timer:
7,5 minutter X 8 (antall VDC-noder) + 30 minutter (forberedelse) = 1,5 timer eller 90 minutter
Ofte stilte spørsmål (FAQ):
Spm.: Er en del av xDoctor-utgivelsen?
En: Oppdateringen installere skriptet er en del av xDoctor release 4.8-79.1 og høyere. Instruksjoner for nedlasting av xDoctor og utførelse av installasjon av oppdateringen er i løsningstrinnene.
Spørsmål: Kan jeg oppdatere flere VDC-er parallelt?
En: Nei. Patch 1 VDC om gangen.
Spm.: Kan jeg bruke denne oppdateringen på ECS-kode versjon 3.2.x eller eldre?
En: Nei, denne oppdateringen gjelder bare for ECS-versjon 3.3.x – 3.6.x. Åpne en serviceforespørsel for å planlegge en oppgradering for tidligere versjoner.
Spm.: Hvis jeg oppgraderer ECS etter å ha kjørt denne prosedyren, kjører jeg prosedyren på nytt etter oppgraderingen?
En: Nei, hvis du oppgraderer til en kodeversjon spesifisert i DSA-2021-273 som har permanent reparasjon. Ja, hvis du oppgraderer til en kodeversjon som ikke er angitt i samme DSA.
Spm.: Krever oppdateringen ny bruk på et system der den tidligere ble installert etter en nodeutskifting, ny avbildning eller utvidelse?
En: Nei, hvis VDC er på kodeversjonen som er angitt i DSA-2021-273. Ja, hvis du utfører noen av disse handlingene mot en VDC som kjører en kodeversjon som ikke er angitt i den samme dynamiske DSA-en. Når det kreves en oppdatering for disse scenariene, kontakter den aktuelle Dell-teknikeren deg for å informere deg om at en oppdatering er nødvendig.
Spm.: Hvilken bruker bør du være logget på for å kjøre alle kommandoer i denne KB-en?
En: Admin
Spm.: Må svc_patch kjøres på alle stativer eller med en spesialisert MACHINES-fil der flere racker i en VDC?
En: Nei, den oppdager automatisk om det finnes flere racker, og oppdaterer alle noder på alle racker på VDC-en.
Spm.: Jeg merker at målet xDoctor utgivelsen er nå 4.8-79.1 og ikke 4.8-79.0. Hvorfor?
A: xDoctor utgivelser forekommer ofte, så det anbefales alltid å oppgradere til den høyeste utgitte versjonen. Hvis du imidlertid tidligere har kjørt Apache fix ved hjelp av 4.8-79.0, er systemet fullstendig beskyttet mot sårbarheten, og trenger ikke kjøres på nytt.
Oppløsningssammendrag:
- Oppgrader ECS xDoctor-programvaren til versjon 4.8.-79.1 eller nyere
- Kjør forhåndskontroller.
- Påfør systemoppdateringen med det svc_patch verktøyet som følger med xDoctor.
- Bekreft at reparasjonen er tatt i bruk.
- Feilsøking.
Løsningstrinn:
1. Oppgrader ECS xDoctor-programvaren til den nyeste tilgjengelige versjonen.
-
Sjekk xDoctor-versjonen som kjører på systemet ditt. Hvis versjonen er 4.8-79.1 eller nyere, går du til trinn 2 "Kjør forhåndskontroller." Hvis ikke, fortsett med trinnene nedenfor.
Kommando:
# sudo xdoctor --version
Eksempel:
admin@node1:~> sudo xdoctor --version 4.8-79.1
- Logg inn på støttesiden, koble direkte til nedlastingslenken, søk etter xDoctor ved hjelp av søkeordsøket, og klikk på xDoctor RPM-lenken for å laste ned. Hvis du vil se produktmerknadene, følger du Produktmerknader, velger Håndbøker og dokumenter fra sidepanelet der de skal være tilgjengelige for nedlasting.
- Når RPM er lastet ned, kan du bruke et eksternt SCP-program til å laste opp filen til /home/admin-katalogen på den første ECS-noden.
- Når opplastingen er fullført, bruker du SSH til den første noden i ECS-systemet ved hjelp av admin.
-
Oppgrader xDoctor på alle noder med den nylig distribuerte versjonen.
Kommando:
# sudo xdoctor --upgrade --local=/home/admin/xDoctor4ECS-4.8-79.1.noarch.rpm
Eksempel:
admin@node1:~> sudo xdoctor --upgrade --local=/home/admin/xDoctor4ECS-4.8-79.1.noarch.rpm 2021-12-20 12:06:11,358: xDoctor_4.8-78.2 - INFO : xDoctor Upgrader Instance (2:FTP_SFTP) 2021-12-20 12:06:11,358: xDoctor_4.8-78.2 - INFO : Local Upgrade (/home/admin/xDoctor4ECS-4.8-79.1.noarch.rpm) 2021-12-20 12:06:11,392: xDoctor_4.8-78.2 - INFO : Current Installed xDoctor version is 4.8-78.2 2021-12-20 12:06:11,429: xDoctor_4.8-78.2 - INFO : Requested package version is 4.8-79.1 2021-12-20 12:06:11,430: xDoctor_4.8-78.2 - INFO : Updating xDoctor RPM Package (RPM) 2021-12-20 12:06:11,482: xDoctor_4.8-78.2 - INFO : - Distribute package 2021-12-20 12:06:12,099: xDoctor_4.8-78.2 - INFO : - Install new rpm package 2021-12-20 12:06:37,829: xDoctor_4.8-78.2 - INFO : xDoctor successfully updated to version 4.8-79.1
-
Hvis miljøet er en multirack VDC, må den nye xDoctor-pakken installeres på den første noden til hvert rack. Kjør kommandoen nedenfor for å identifisere disse rackprimærene. I dette tilfellet er fire stativer og fire primærracker uthevet.
-
Kommando:
# svc_exec -m "ip address show private.4 |grep -w inet"
Eksempel:
admin@ecsnode1~> svc_exec -m "ip address show private.4 |grep -w inet" svc_exec v1.0.2 (svc_tools v2.1.0) Started 2021-12-20 14:03:33 Output from node: r1n1 retval: 0 inet 169.254.1.1/16 brd 169.254.255.255 scope global private.4 Output from node: r2n1 retval: 0 inet 169.254.2.1/16 brd 169.254.255.255 scope global private.4 Output from node: r3n1 retval: 0 inet 169.254.3.1/16 brd 169.254.255.255 scope global private.4 Output from node: r4n1 retval: 0 inet 169.254.4.1/16 brd 169.254.255.255 scope global private.4 -
Kopier pakken fra den første noden i systemet (R1N1) til de andre rack-primærvalgene nedenfor:
Eksempel:
admin@ecsnode1~> scp xDoctor4ECS-4.8-79.1.noarch.rpm 169.254.2.1:/home/admin/ xDoctor4ECS-4.8-79.1.noarch.rpm 100% 32MB 31.9MB/s 00:00 admin@ecsnode1~> scp xDoctor4ECS-4.8-79.1.noarch.rpm 169.254.3.1:/home/admin/ xDoctor4ECS-4.8-79.1.noarch.rpm 100% 32MB 31.9MB/s 00:00 admin@ecsnode1~> scp xDoctor4ECS-4.8-79.1.noarch.rpm 169.254.4.1:/home/admin/ xDoctor4ECS-4.8-79.1.noarch.rpm 100% 32MB 31.9MB/s 00:00 admin@ecsnode1~>
-
Per trinn e ovenfor, kjør den samme xDoctor installere kommandoen på hver av de ovennevnte rack primærfarger som er identifisert tidligere.
Kommando:
# sudo xdoctor --upgrade --local=/home/admin/xDoctor4ECS-4.8-79.1.noarch.rpm
-
2. Kjør forhåndskontroller.
-
Bruk kommandoen svc_dt til å kontrollere om DT-er er stabile. DT-er er stabile hvis kolonnen "Unready #" viser 0. Hvis ja, gå til neste sjekk. Hvis nei, vent 15 minutter og sjekk igjen. Hvis DT-ene ikke er stabilisert, åpner du en serviceforespørsel med ECS-støtteteamet.
Kommando:
# svc_dt check -b
Eksempel:
admin@node1:~> svc_dt check -b svc_dt v1.0.25 (svc_tools v2.0.2) Started 2021-12-16 16:44:51 Date Total DT Unknown # Unready # RIS Fail # Dump Fail # Check type Time since check Check successful 2021-12-16 16:43:44 2432 0 0 0 0 AutoCheck 1m 7s True 2021-12-16 16:42:33 2432 0 0 0 0 AutoCheck 2m 18s True 2021-12-16 16:41:23 2432 0 0 0 0 AutoCheck 3m 28s True 2021-12-16 16:40:13 2432 0 0 0 0 AutoCheck 4m 38s True 2021-12-16 16:39:02 2432 0 0 0 0 AutoCheck 5m 49s True 2021-12-16 16:37:52 2432 0 0 0 0 AutoCheck 6m 59s True 2021-12-16 16:36:42 2432 0 0 0 0 AutoCheck 8m 9s True 2021-12-16 16:35:31 2432 0 0 0 0 AutoCheck 9m 20s True 2021-12-16 16:34:21 2432 0 0 0 0 AutoCheck 10m 30s True 2021-12-16 16:33:11 2432 0 0 0 0 AutoCheck 11m 40s True
-
Bruk kommandoen svc_patch til å bekrefte at alle noder er tilkoblet. Hvis ja, går du til neste trinn. Hvis nei, undersøk årsaken, koble den til igjen og kjør sjekken på nytt. Hvis en node ikke kan kobles til, åpner du en serviceforespørsel med ECS-støtteteamet for å undersøke dette.
Kommando:
# /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/svc_patch status
Eksempel:
admin@node1:~> /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/svc_patch status svc_patch Version 2.9.1 Verifying patch bundle consistency DONE Detecting nodes in current VDC DONE Reading in patch details (1 of 2) DONE Reading in patch details (2 of 2) DONE Validating nodes are online DONE Checking Installed Patches and Dependencies DONE Patches/releases currently installed: [ None detected ] Patches that need to be installed: CVE-2021-44228_log4j-fix_3.3.x-3.6.2 (PatchID: 3298) Files that need to be installed: /opt/storageos/lib/log4j-core-2.5.jar (from CVE-2021-44228_log4j-fix_3.3.x-3.6.2) The following services need to be restarted: ALL
3. Påfør systemoppdateringen med det svc_patch verktøyet som følger med xDoctor.
-
Kjør svc_patch-kommandoen, skriv "y" og trykk Enter-tasten når du blir bedt om å installere oppdateringen. Kommandoen kan kjøres på en hvilken som helst ECS-node.
Kommandoer:
# screen -S patchinstall
# unset TMOUT
# /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/svc_patch install
Eksempel:
Merk: Det er en melding om å fortsette i utdataene nedenfor.admin@node1:~> screen -S patchinstall admin@node1:~> unset TMOUT admin@node1:~> /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/svc_patch install svc_patch Version 2.9.1 Verifying patch bundle consistency DONE Detecting nodes in current VDC DONE Reading in patch details (1 of 2) DONE Reading in patch details (2 of 2) DONE Validating nodes are online DONE Checking Installed Patches and Dependencies DONE Patches/releases currently installed: [ None detected ] Patches that will be installed: CVE-2021-44228_log4j-fix_3.3.x-3.6.2 (PatchID: 3298) Files that will be installed: /opt/storageos/lib/log4j-core-2.5.jar (from CVE-2021-44228_log4j-fix_3.3.x-3.6.2) The following services will be restarted: ALL Patch Type: Standalone Number of nodes: 8 Number of seconds to wait between restarting node services: 450 Check DT status between node service restarts: true Do you wish to continue (y/n)?y [...Truncated Output of each node Distributing files and restarting services...] Distributing files to node 1xx.xxx.xx.xx Distributing patch installer to node '1xx.xxx.xx.xx' Restarting services on 1xx.xxx.xx.xx Restarting all services Waiting 180 seconds for services to stabilize... [...Truncated Output of each node Distributing files and restarting services...] Stopping ViPR services..done Services status 3: stat georeceiver eventsvc blobsvc dataheadsvc blobsvc-perf blobsvc-fi resourcesvc resourcesvc-perf resourcesvc-fi rm cm ssm objcontrolsvc metering sr storageserver nvmeengine nvmetargetviewer dtquery dtsm vnest coordinatorsvc ecsportalsvc transformsvc Setting up SSL certificates ...done Starting ViPR services..done Waiting 300 seconds for services to stabilize...DONE Patching complete. admin@node1:~>
-
Avslutt øktskjermbildet når oppdateringen er fullført i henhold til utdataene ovenfor.
Eksempel:
admin@node1:/> exit logout [screen is terminating] admin@node1:/>
Merk: Hvis du ved et uhell lukker PuTTY-økten mens kjøringen pågår, kobler du til igjen ved å logge tilbake på samme node og kjøre kommandoen nedenfor:Kommando:
# screen -ls
admin@node 1:~> screen -ls There is a screen on: 114475.pts-0.ecs-n3 (Detached) 1 Socket in /var/run/uscreens/S-admin.Koble til den frakoblede økten fra forrige utdata på nytt.
admin@node1:~> screen -r 114475.pts-0.ecs-n3
4. Bekreft at reparasjonen er tatt i bruk.
-
Utdataene nedenfor er fra et system der reparasjonen er brukt.
Kommando:
# /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/svc_patch status
Eksempel:
admin@node1:/> /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/svc_patch status svc_patch Version 2.9.1 Verifying patch bundle consistency DONE Detecting nodes in current VDC DONE Reading in patch details (1 of 2) DONE Reading in patch details (2 of 2) DONE Validating nodes are online DONE Checking Installed Patches and Dependencies DONE Patches/releases currently installed: CVE-2021-44228_log4j-fix_3.3.x-3.6.2 (PatchID: 3298) Fixes for Log4j vulnerabilities CVE-2021-44228 and CVE-2021-45046 Patches that need to be installed: No files need to be installed. The following services need to be restarted: No services need to be restarted. -
Utdataene nedenfor er fra et system der reparasjonen ikke er brukt.
Eksempel:
admin@node1:/> /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/svc_patch status svc_patch Version 2.9.1 Verifying patch bundle consistency DONE Detecting nodes in current VDC DONE Reading in patch details (1 of 2) DONE Reading in patch details (2 of 2) DONE Validating nodes are online DONE Checking Installed Patches and Dependencies DONE Patches/releases currently installed: [ None detected ] Patches that need to be installed: CVE-2021-44228_log4j-fix_3.3.x-3.6.2 (PatchID: 3298) Files that need to be installed: /opt/storageos/lib/log4j-core-2.5.jar (from CVE-2021-44228_log4j-fix_3.3.x-3.6.2) The following services need to be restarted: ALL
Feilsøking:
-
DT-stabilisering tar for lang tid
-
Hvis DT-stabilisering tar mer tid enn standard 7,5 minutter, blir svc_patch applikasjonen bedt om å fortsette eller avslutte oppdateringsprosessen.
Eksempel:
admin@node1:~> /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/svc_patch install [...Truncated Output of each node Distributing files and restarting services...] Restarting services on 1xx.xx.xx.xx Restarting all services Waiting 180 seconds for services to stabilize...DONE Waiting for DTs to come online ERROR: DT Check failed. DTs did not come ready or could not be checked after several passes. Do you wish to continue anyway (y/n)?
-
Åpne en PuTTY-økt på en annen node, og kjør svc_dt kommando for å sjekke DT-er i «Unready #»-kolonnen. Hvis det ikke er noen "0"-verdier, venter du i 15 minutter og kjører kontrollen på nytt. Gå tilbake til økten med svc_patch når det ikke finnes noen uklare DT-er. Svar "y" og fortsett. Hvis svc_dt fortsatt viser verdier i "Unready #" DT-er, åpner du en serviceforespørsel med ECS-støtteteamet.
Kommando:
# svc_dt check -b
Eksempel:
admin@node1:~> svc_dt check -b svc_dt v1.0.25 (svc_tools v2.0.2) Started 2021-12-15 17:18:52 Date Total DT Unknown # Unready # RIS Fail # Dump Fail # Check type Time since check Check successful 2021-12-15 17:17:54 1920 0 0 0 0 AutoCheck 0m 58s True 2021-12-15 17:16:44 1920 0 0 0 0 AutoCheck 2m 8s True 2021-12-15 17:16:10 1920 0 0 0 0 Manual Check 2m 42s True 2021-12-15 17:15:34 1920 0 0 0 0 AutoCheck 3m 18s True 2021-12-15 17:14:24 1920 0 0 0 0 AutoCheck 4m 28s True 2021-12-15 17:13:13 1920 0 0 0 0 AutoCheck 5m 39s True 2021-12-15 17:12:03 1920 0 0 0 0 AutoCheck 6m 49s True 2021-12-15 17:10:53 1920 0 0 0 0 AutoCheck 7m 59s True 2021-12-15 17:09:43 1920 0 0 0 0 AutoCheck 9m 9s True 2021-12-15 17:08:32 1920 0 0 0 0 AutoCheck 10m 20s True
-
-
Alle tjenester startes ikke på nytt på alle noder fordi de ikke kjøres i skjermen, og PuTTY-økten avsluttes for tidlig.
Eksempel: Tjenestene startet på nytt på fire av seks noder etter innlogging igjen. Se node 5 og 6 uthevet nedenfor.
admin@node1:~> /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/svc_patch status svc_patch Version 2.9.1 Verifying patch bundle consistency DONE Detecting nodes in current VDC DONE Reading in patch details (1 of 2) DONE Reading in patch details (2 of 2) DONE Validating nodes are online DONE Checking Installed Patches and Dependencies DONE All nodes currently do not have the same patches installed. Patches/releases currently installed: 169.254.1.1: CVE-2021-44228_45046_log4j-fix 169.254.1.2: CVE-2021-44228_45046_log4j-fix 169.254.1.3: CVE-2021-44228_45046_log4j-fix 169.254.1.4: CVE-2021-44228_45046_log4j-fix 169.254.1.5: CVE-2021-44228_45046_log4j-fix 169.254.1.6: CVE-2021-44228_45046_log4j-fix Patches that need to be installed: 169.254.1.1: <None> 169.254.1.2: <None> 169.254.1.3: <None> 169.254.1.4: <None> 169.254.1.5: <None> 169.254.1.6: <None> Files that need to be installed: 169.254.1.1: <None> 169.254.1.2: <None> 169.254.1.3: <None> 169.254.1.4: <None> 169.254.1.5: <None> 169.254.1.6: <None> Services that need to be restarted: 169.254.1.1: <None> 169.254.1.2: <None> 169.254.1.3: <None> 169.254.1.4: <None> 169.254.1.5: ALL 169.254.1.6: ALL admin@ecsnode1:~>Løsning:
Kjør prosedyren på nytt, og de gjenværende nodene som opprinnelig ble savnet, får tjenestene sine startet på nytt. De opprinnelige nodene der tjenestene startet på nytt, er urørte.admin@node1:~> /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/svc_patch install svc_patch Version 2.9.1 Verifying patch bundle consistency DONE Detecting nodes in current VDC DONE Reading in patch details (1 of 2) DONE Reading in patch details (2 of 2) DONE Validating nodes are online DONE Checking Installed Patches and Dependencies DONE All nodes currently do not have the same patches installed. Patches/releases currently installed: 169.254.1.1: CVE-2021-44228_45046_log4j-fix 169.254.1.2: CVE-2021-44228_45046_log4j-fix 169.254.1.3: CVE-2021-44228_45046_log4j-fix 169.254.1.4: CVE-2021-44228_45046_log4j-fix 169.254.1.5: CVE-2021-44228_45046_log4j-fix 169.254.1.6: CVE-2021-44228_45046_log4j-fix Patches that will be installed: 169.254.1.1: <None> 169.254.1.2: <None> 169.254.1.3: <None> 169.254.1.4: <None> 169.254.1.5: <None> 169.254.1.6: <None> Files that will be installed: 169.254.1.1: <None> 169.254.1.2: <None> 169.254.1.3: <None> 169.254.1.4: <None> 169.254.1.5: <None> 169.254.1.6: <None> Services that will be restarted: 169.254.1.1: <None> 169.254.1.2: <None> 169.254.1.3: <None> 169.254.1.4: <None> 169.254.1.5: ALL 169.254.1.6: ALL Patch Type: Standalone Number of nodes: 8 Number of seconds to wait between restarting node services: 450 Check DT status between node service restarts: true Do you wish to continue (y/n)?y No files to install on 169.254.1.1 Distributing patch installer to node '169.254.1.1' No files to install on 169.254.1.2 Distributing patch installer to node '169.254.1.2' No files to install on 169.254.1.3 Distributing patch installer to node '169.254.1.3' No files to install on 169.254.1.4 Distributing patch installer to node '169.254.1.4' No files to install on 169.254.1.5 Distributing patch installer to node '169.254.1.5' No files to install on 169.254.1.6 Distributing patch installer to node '169.254.1.6' No services to restart on 169.254.1.1 No services to restart on 169.254.1.2 No services to restart on 169.254.1.3 No services to restart on 169.254.1.4 Restarting services on 169.254.1.5 Restarting all services Waiting 450 seconds for services to stabilize...DONE Waiting for DTs to come online Restarting services on 169.254.1.6 Restarting all services Waiting 450 seconds for services to stabilize...DONE Waiting for DTs to come online Patching complete. admin@ecsnode1:~> -
Kan ikke legge til verten i listen over kjente verter under bruk av oppdateringen.
Eksempel:
svc_patch Version 2.9.1 Verifying patch bundle consistency DONE Detecting nodes in current VDC DONE Reading in patch details (1 of 2) DONE Reading in patch details (2 of 2) DONE Validating nodes are online FAILED ERROR: Could not execute commands on the object-main container on 169.254.x.x Output was 'Failed to add the host to the list of known hosts (/home/admin/.ssh/known_hosts). :patchtest:' Patching is unable to continue with unreachable nodes. To proceed: - Resolve problems accessing node(s) from this one. - Manually pass a MACHINES file containing the list of working nodes to patch (not recommended). - Contact your next level of support for other options or assistance.
Løsning:
Årsaken kan være at brukeren av filen / home / admin / .ssh / known_hosts var rot som skal være admin som standard.Eksempel:
admin@node1:~> ls -l /home/admin/.ssh/known_hosts -rw------- 1 root root 1802 Jul 23 2019 /home/admin/.ssh/known_hosts admin@ecs:~>
For å løse problemet fra en annen PuTTY-økt, logg på den rapporterte noden eller nodene og endre brukeren til admin på nodene der den finnes som root-bruker ved hjelp av følgende kommando på alle rapporterte noder:
Kommando:
# sudo chown admin:users /home/admin/.ssh/known_hosts
Eksempel:
admin@node1:~> sudo chown admin:users /home/admin/.ssh/known_hosts
Kjør nå svc_patch-kommandoen på nytt, og den skal passere.
admin@node1:~> /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/svc_patch install
-
Kan ikke kjøre kommandoer på objekthovedbeholderen på 169.254.x.x på grunn av feil vertsnøkkel i /home/admin/.ssh/known_hosts.
Eksempel:
svc_patch Version 2.9.1 Verifying patch bundle consistency DONE Detecting nodes in current VDC DONE Reading in patch details (1 of 2) DONE Reading in patch details (2 of 2) DONE Validating nodes are online FAILED ERROR: Could not execute commands on the object-main container on 169.254.x.x Output was '@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ @ WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED! @ @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY! Someone could be eavesdropping on you right now (man-in-the-middle attack)! It is also possible that a host key has just been changed. The fingerprint for the ECDSA key sent by the remote host is SHA256:RcwOsFj7zPA5p5kSeYovF4UlZTm125nLVeCL1zCqOzc. Please contact your system administrator. Add correct host key in /home/admin/.ssh/known_hosts to get rid of this message. Offending ECDSA key in /home/admin/.ssh/known_hosts:14 You can use following command to remove the offending key: ssh-keygen -R 169.254.x.x -f /home/admin/.ssh/known_hosts Password authentication is disabled to avoid man-in-the-middle attacks. Keyboard-interactive authentication is disabled to avoid man-in-the-middle attacks. :patchtest:' Patching is unable to continue with unreachable nodes. To proceed: - Resolve problems accessing node(s) from this one. - Manually pass a MACHINES file containing the list of working nodes to patch (not recommended). - Contact your next level of support for other options or assistance.
Løsning:
Kontakt ECS-støtte for å finne en løsning. -
Når du bruker xDoctor versjon 4.8-85.0 til å bruke denne oppdateringen, kan du få et varsel om at md5sum ikke samsvarer med svc_base.py:
# /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/svc_patch status svc_patch Version 2.9.1 Verifying patch bundle consistency FAILED Patch bundle onsistency check failed - md5sums for one or more files in the patch bundle were invalid, or files were not found. svc_patch will attempt to validate files in the patch using MD5SUMS.bundle, which is bundled with the patch. Output from md5sum was: ./lib/libs/svc_base.py: FAILED md5sum: WARNING: 1 computed checksum did NOT match
Løsning:
Kjør kommandoene nedenfor før du bruker oppdateringen til å oppdatere md5sum:# sudo sed -i '/svc_base.py/d' /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/MD5SUMS.bundle # sudo sed -i '/MD5SUMS.bundle/d' /opt/emc/xdoctor/.xdr_chksum
Affected Products
Elastic Cloud StorageProducts
ECS, ECS ApplianceArticle Properties
Article Number: 000194467
Article Type: Solution
Last Modified: 02 Dec 2025
Version: 28
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.