ECS: Solução para o ECS quanto à vulnerabilidade da execução remota de código do Apache Log4j
Summary: Vulnerabilidade de segurança do Apache Log4j
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Identificador CVE CVE-2021-44228
Identificador CVE CVE_2021-45046
Publicação da Apache: Execução remota de código do Apache Log4j
Cause
Vulnerabilidade de segurança do Apache Log4j
Resolution
Quem deve executar este procedimento?
A Dell solicita que os clientes realizem esse procedimento de upgrade do xDoctor e instalação do patch. Esse é o método mais rápido e seguro, pois evita a exposição prolongada a essa vulnerabilidade do Apache. Todas as etapas estão detalhadas neste artigo da KB. Há também um guia de vídeo que pode ser seguido para acompanhar este artigo da KB, que reside no link abaixo.
Vídeo: Apache-Log4j
Impacto do procedimento:
Espera-se possíveis tempos de espera excedido de E/S enquanto os serviços são reiniciados. Os aplicativos que acessam o cluster devem conseguir lidar com o tempo de espera excedido de E/S. É aconselhável uma janela de manutenção ao executar este procedimento.
Tempo necessário para a atividade (aproximadamente):
Por padrão, um atraso de aproximadamente 7 minutos é definido por nó entre as reinicializações do serviço. O número de nós em um Data Center Virtual (VDC) multiplicado por 7 minutos + 60 minutos para preparação, estabilização de DT e verificações posteriores necessárias.
Exemplos:
Um sistema VDC de 48 nós pode levar aproximadamente 6,5 horas:
7,5 minutos x 48 (número de nós VDC) + 30 minutos (preparação) = 6,5 horas ou 390 minutos
Um sistema VDC de oito nós pode levar aproximadamente 1,5 hora:
7,5 minutos X 8 (número de nós VDC) + 30 minutos (preparação) = 1,5 hora ou 90 minutos
Perguntas Frequentes (FAQs):
P: O patch faz parte da versão do xDoctor?
Um: O script de instalação do patch faz parte do xDoctor versão 4.8-79.1 e posterior. As instruções para o download do xDoctor e a execução da instalação do patch estão nas etapas de resolução.
P: Posso atualizar vários VDCs em paralelo?
Um: Não. Patch 1 VDC de cada vez.
P: Posso aplicar esse patch no ECS executando a versão de código 3.2.x ou anterior?
R: Não, esse patch é aplicável somente às versões 3.3.x–3.6.x do ECS. Abra um chamado a fim de agendar um upgrade para versões anteriores.
P: Se eu fizer upgrade do ECS depois de executar este procedimento, eu o executarei novamente após o upgrade?
Um: Não, se estiver fazendo upgrade para uma versão de código especificada no DSA-2021-273 que tem a correção permanente. Sim, se estiver fazendo upgrade para uma versão de código não especificada no mesmo DSA.
P: O patch requer reaplicação em um sistema no qual ele foi instalado anteriormente após uma substituição, recriação de imagem ou expansão de nó?
Um: Não, se o VDC estiver na versão de código especificada no DSA-2021-273. Sim, se estiver executando qualquer uma dessas ações em um VDC executando uma versão de código não especificada nesse mesmo DSA. Quando um patch for necessário para esses cenários, o engenheiro da Dell em questão entrará em contato com você para informar que uma atualização é necessária.
P: Qual usuário você deve estar conectado para executar todos os comandos desta KB?
Um: Admin
P: O svc_patch precisa ser executado em todos os racks ou com um arquivo MACHINES especializado em que há vários racks em um VDC?
Um: Não, ele detecta automaticamente se existem vários racks e atualiza todos os nós em todos os racks desse VDC.
P: Percebo que a versão de destino do xDoctor agora é 4.8-79.1 e não 4.8-79.0. Por que?
R: As versões do xDoctor ocorrem com frequência, portanto, é sempre recomendável atualizar para a versão mais alta. Se, no entanto, você tiver executado anteriormente a correção do Apache usando 4.8-79.0, o sistema estará totalmente protegido contra a vulnerabilidade e não precisará ser executado novamente.
Resumo da resolução:
- Faça upgrade do software ECS xDoctor para a versão 4.8.-79.1 ou posterior
- Execute pré-verificações.
- Aplique o patch do sistema com a ferramenta svc_patch incluída no xDoctor.
- Confirme se a correção foi aplicada.
- Solução de problemas.
Procedimentos de resolução:
1. Faça upgrade do software ECS xDoctor para a versão mais recente disponível.
-
Verifique a versão do xDoctor em execução no sistema. Se a versão for 4.8-79.1 ou posterior, vá para a etapa 2 "Executar pré-verificações". Caso contrário, prossiga com as etapas abaixo.
Comando:
# sudo xdoctor --version
Exemplo:
admin@node1:~> sudo xdoctor --version 4.8-79.1
- Faça log-in no site de suporte, conecte-se diretamente ao link de download, pesquise o xDoctor usando a pesquisa por palavra-chave e clique no link xDoctor RPM para fazer download. Para visualizar as Notas da versão, siga as Notas da versão, selecione Manuais e documentos na barra lateral de onde eles devem estar disponíveis para download.
- Depois que o RPM for baixado, use qualquer programa SCP remoto para carregar o arquivo no diretório /home/admin no primeiro nó do ECS.
- Quando o carregamento estiver concluído, ative o SSH para o primeiro nó do sistema ECS usando admin.
-
Faça upgrade do xDoctor em todos os nós com a versão recém-distribuída.
Comando:
# sudo xdoctor --upgrade --local=/home/admin/xDoctor4ECS-4.8-79.1.noarch.rpm
Exemplo:
admin@node1:~> sudo xdoctor --upgrade --local=/home/admin/xDoctor4ECS-4.8-79.1.noarch.rpm 2021-12-20 12:06:11,358: xDoctor_4.8-78.2 - INFO : xDoctor Upgrader Instance (2:FTP_SFTP) 2021-12-20 12:06:11,358: xDoctor_4.8-78.2 - INFO : Local Upgrade (/home/admin/xDoctor4ECS-4.8-79.1.noarch.rpm) 2021-12-20 12:06:11,392: xDoctor_4.8-78.2 - INFO : Current Installed xDoctor version is 4.8-78.2 2021-12-20 12:06:11,429: xDoctor_4.8-78.2 - INFO : Requested package version is 4.8-79.1 2021-12-20 12:06:11,430: xDoctor_4.8-78.2 - INFO : Updating xDoctor RPM Package (RPM) 2021-12-20 12:06:11,482: xDoctor_4.8-78.2 - INFO : - Distribute package 2021-12-20 12:06:12,099: xDoctor_4.8-78.2 - INFO : - Install new rpm package 2021-12-20 12:06:37,829: xDoctor_4.8-78.2 - INFO : xDoctor successfully updated to version 4.8-79.1
-
Se o ambiente for um VDC de vários racks, o novo pacote do xDoctor deverá ser instalado no primeiro nó de cada rack. Para identificar essas rack primários, execute o comando abaixo. Neste caso, há quatro racks e quatro racks primários destacados.
-
Comando:
# svc_exec -m "ip address show private.4 |grep -w inet"
Exemplo:
admin@ecsnode1~> svc_exec -m "ip address show private.4 |grep -w inet" svc_exec v1.0.2 (svc_tools v2.1.0) Started 2021-12-20 14:03:33 Output from node: r1n1 retval: 0 inet 169.254.1.1/16 brd 169.254.255.255 scope global private.4 Output from node: r2n1 retval: 0 inet 169.254.2.1/16 brd 169.254.255.255 scope global private.4 Output from node: r3n1 retval: 0 inet 169.254.3.1/16 brd 169.254.255.255 scope global private.4 Output from node: r4n1 retval: 0 inet 169.254.4.1/16 brd 169.254.255.255 scope global private.4 -
Copie o pacote do primeiro nó do sistema (R1N1) para os outros racks primários conforme abaixo:
Exemplo:
admin@ecsnode1~> scp xDoctor4ECS-4.8-79.1.noarch.rpm 169.254.2.1:/home/admin/ xDoctor4ECS-4.8-79.1.noarch.rpm 100% 32MB 31.9MB/s 00:00 admin@ecsnode1~> scp xDoctor4ECS-4.8-79.1.noarch.rpm 169.254.3.1:/home/admin/ xDoctor4ECS-4.8-79.1.noarch.rpm 100% 32MB 31.9MB/s 00:00 admin@ecsnode1~> scp xDoctor4ECS-4.8-79.1.noarch.rpm 169.254.4.1:/home/admin/ xDoctor4ECS-4.8-79.1.noarch.rpm 100% 32MB 31.9MB/s 00:00 admin@ecsnode1~>
-
De acordo com a etapa acima, execute o mesmo comando de instalação do xDoctor em cada um dos racks primários acima identificados anteriormente.
Comando:
# sudo xdoctor --upgrade --local=/home/admin/xDoctor4ECS-4.8-79.1.noarch.rpm
-
2. Execute pré-verificações.
-
Use o comando svc_dt para verificar se os DTs estão estáveis. Os DTs são estáveis se a coluna "Unready #" mostrar 0. Em caso afirmativo, vá para a próxima verificação. Se não, aguarde 15 minutos e verifique novamente. Se os DTs não estiverem estabilizados, abra um chamado com a equipe de suporte do ECS.
Comando:
# svc_dt check -b
Exemplo:
admin@node1:~> svc_dt check -b svc_dt v1.0.25 (svc_tools v2.0.2) Started 2021-12-16 16:44:51 Date Total DT Unknown # Unready # RIS Fail # Dump Fail # Check type Time since check Check successful 2021-12-16 16:43:44 2432 0 0 0 0 AutoCheck 1m 7s True 2021-12-16 16:42:33 2432 0 0 0 0 AutoCheck 2m 18s True 2021-12-16 16:41:23 2432 0 0 0 0 AutoCheck 3m 28s True 2021-12-16 16:40:13 2432 0 0 0 0 AutoCheck 4m 38s True 2021-12-16 16:39:02 2432 0 0 0 0 AutoCheck 5m 49s True 2021-12-16 16:37:52 2432 0 0 0 0 AutoCheck 6m 59s True 2021-12-16 16:36:42 2432 0 0 0 0 AutoCheck 8m 9s True 2021-12-16 16:35:31 2432 0 0 0 0 AutoCheck 9m 20s True 2021-12-16 16:34:21 2432 0 0 0 0 AutoCheck 10m 30s True 2021-12-16 16:33:11 2432 0 0 0 0 AutoCheck 11m 40s True
-
Use o comando svc_patch para confirmar se todos os nós estão on-line. Em caso afirmativo, vá para a próxima etapa. Se não estiver, investigue o motivo, coloque-o novamente on-line e execute a verificação novamente. Se não for possível colocar um nó on-line, abra um chamado com a equipe de suporte do ECS para investigar.
Comando:
# /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/svc_patch status
Exemplo:
admin@node1:~> /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/svc_patch status svc_patch Version 2.9.1 Verifying patch bundle consistency DONE Detecting nodes in current VDC DONE Reading in patch details (1 of 2) DONE Reading in patch details (2 of 2) DONE Validating nodes are online DONE Checking Installed Patches and Dependencies DONE Patches/releases currently installed: [ None detected ] Patches that need to be installed: CVE-2021-44228_log4j-fix_3.3.x-3.6.2 (PatchID: 3298) Files that need to be installed: /opt/storageos/lib/log4j-core-2.5.jar (from CVE-2021-44228_log4j-fix_3.3.x-3.6.2) The following services need to be restarted: ALL
3. Aplique o patch do sistema com a ferramenta svc_patch incluída no xDoctor.
-
Execute o svc_patch comando, digite "y" e pressione a tecla Enter quando solicitado a instalar o patch. O comando pode ser executado em qualquer nó do ECS.
Comandos:
# screen -S patchinstall
# unset TMOUT
# /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/svc_patch install
Exemplo:
Nota: Há um prompt para prosseguir na saída abaixo.admin@node1:~> screen -S patchinstall admin@node1:~> unset TMOUT admin@node1:~> /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/svc_patch install svc_patch Version 2.9.1 Verifying patch bundle consistency DONE Detecting nodes in current VDC DONE Reading in patch details (1 of 2) DONE Reading in patch details (2 of 2) DONE Validating nodes are online DONE Checking Installed Patches and Dependencies DONE Patches/releases currently installed: [ None detected ] Patches that will be installed: CVE-2021-44228_log4j-fix_3.3.x-3.6.2 (PatchID: 3298) Files that will be installed: /opt/storageos/lib/log4j-core-2.5.jar (from CVE-2021-44228_log4j-fix_3.3.x-3.6.2) The following services will be restarted: ALL Patch Type: Standalone Number of nodes: 8 Number of seconds to wait between restarting node services: 450 Check DT status between node service restarts: true Do you wish to continue (y/n)?y [...Truncated Output of each node Distributing files and restarting services...] Distributing files to node 1xx.xxx.xx.xx Distributing patch installer to node '1xx.xxx.xx.xx' Restarting services on 1xx.xxx.xx.xx Restarting all services Waiting 180 seconds for services to stabilize... [...Truncated Output of each node Distributing files and restarting services...] Stopping ViPR services..done Services status 3: stat georeceiver eventsvc blobsvc dataheadsvc blobsvc-perf blobsvc-fi resourcesvc resourcesvc-perf resourcesvc-fi rm cm ssm objcontrolsvc metering sr storageserver nvmeengine nvmetargetviewer dtquery dtsm vnest coordinatorsvc ecsportalsvc transformsvc Setting up SSL certificates ...done Starting ViPR services..done Waiting 300 seconds for services to stabilize...DONE Patching complete. admin@node1:~>
-
Sair da sessão Tela quando a atualização for concluída, de acordo com o resultado acima.
Exemplo:
admin@node1:/> exit logout [screen is terminating] admin@node1:/>
Nota: Se você fechar acidentalmente a sessão do PuTTY enquanto a execução estiver em andamento, reconecte-a fazendo login novamente no mesmo nó e execute o comando abaixo:Comando:
# screen -ls
admin@node 1:~> screen -ls There is a screen on: 114475.pts-0.ecs-n3 (Detached) 1 Socket in /var/run/uscreens/S-admin.Reconecte a sessão desconectada da saída anterior.
admin@node1:~> screen -r 114475.pts-0.ecs-n3
4. Confirme se a correção foi aplicada.
-
A saída abaixo é de um sistema em que a correção foi aplicada.
Comando:
# /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/svc_patch status
Exemplo:
admin@node1:/> /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/svc_patch status svc_patch Version 2.9.1 Verifying patch bundle consistency DONE Detecting nodes in current VDC DONE Reading in patch details (1 of 2) DONE Reading in patch details (2 of 2) DONE Validating nodes are online DONE Checking Installed Patches and Dependencies DONE Patches/releases currently installed: CVE-2021-44228_log4j-fix_3.3.x-3.6.2 (PatchID: 3298) Fixes for Log4j vulnerabilities CVE-2021-44228 and CVE-2021-45046 Patches that need to be installed: No files need to be installed. The following services need to be restarted: No services need to be restarted. -
O resultado abaixo é de um sistema em que a correção não foi aplicada.
Exemplo:
admin@node1:/> /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/svc_patch status svc_patch Version 2.9.1 Verifying patch bundle consistency DONE Detecting nodes in current VDC DONE Reading in patch details (1 of 2) DONE Reading in patch details (2 of 2) DONE Validating nodes are online DONE Checking Installed Patches and Dependencies DONE Patches/releases currently installed: [ None detected ] Patches that need to be installed: CVE-2021-44228_log4j-fix_3.3.x-3.6.2 (PatchID: 3298) Files that need to be installed: /opt/storageos/lib/log4j-core-2.5.jar (from CVE-2021-44228_log4j-fix_3.3.x-3.6.2) The following services need to be restarted: ALL
Solução de problemas:
-
A Estabilização da DT está demorando muito
-
Se a estabilização de DT estiver demorando mais do que o padrão de 7,5 minutos, svc_patch aplicativo solicitará a continuação ou descontinuação do processo de patch.
Exemplo:
admin@node1:~> /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/svc_patch install [...Truncated Output of each node Distributing files and restarting services...] Restarting services on 1xx.xx.xx.xx Restarting all services Waiting 180 seconds for services to stabilize...DONE Waiting for DTs to come online ERROR: DT Check failed. DTs did not come ready or could not be checked after several passes. Do you wish to continue anyway (y/n)?
-
Abra uma sessão PuTTY em outro nó e execute svc_dt comando para verificar os DTs na coluna "Unready #". Se não houver valores "0", aguarde 15 minutos e execute a verificação novamente. Retorne à sessão com svc_patch quando não houver DTs não prontos. Responda "y" e continue. Se svc_dt continuar listando valores nos DTs "Unready #", abra um chamado com a equipe de suporte do ECS.
Comando:
# svc_dt check -b
Exemplo:
admin@node1:~> svc_dt check -b svc_dt v1.0.25 (svc_tools v2.0.2) Started 2021-12-15 17:18:52 Date Total DT Unknown # Unready # RIS Fail # Dump Fail # Check type Time since check Check successful 2021-12-15 17:17:54 1920 0 0 0 0 AutoCheck 0m 58s True 2021-12-15 17:16:44 1920 0 0 0 0 AutoCheck 2m 8s True 2021-12-15 17:16:10 1920 0 0 0 0 Manual Check 2m 42s True 2021-12-15 17:15:34 1920 0 0 0 0 AutoCheck 3m 18s True 2021-12-15 17:14:24 1920 0 0 0 0 AutoCheck 4m 28s True 2021-12-15 17:13:13 1920 0 0 0 0 AutoCheck 5m 39s True 2021-12-15 17:12:03 1920 0 0 0 0 AutoCheck 6m 49s True 2021-12-15 17:10:53 1920 0 0 0 0 AutoCheck 7m 59s True 2021-12-15 17:09:43 1920 0 0 0 0 AutoCheck 9m 9s True 2021-12-15 17:08:32 1920 0 0 0 0 AutoCheck 10m 20s True
-
-
Todos os serviços não são reiniciados em todos os nós porque não são executados na tela e a sessão do PuTTY termina prematuramente.
Exemplo: Serviços reiniciados em quatro dos seis nós após o login novamente. Consulte os nós 5 e 6 destacados abaixo.
admin@node1:~> /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/svc_patch status svc_patch Version 2.9.1 Verifying patch bundle consistency DONE Detecting nodes in current VDC DONE Reading in patch details (1 of 2) DONE Reading in patch details (2 of 2) DONE Validating nodes are online DONE Checking Installed Patches and Dependencies DONE All nodes currently do not have the same patches installed. Patches/releases currently installed: 169.254.1.1: CVE-2021-44228_45046_log4j-fix 169.254.1.2: CVE-2021-44228_45046_log4j-fix 169.254.1.3: CVE-2021-44228_45046_log4j-fix 169.254.1.4: CVE-2021-44228_45046_log4j-fix 169.254.1.5: CVE-2021-44228_45046_log4j-fix 169.254.1.6: CVE-2021-44228_45046_log4j-fix Patches that need to be installed: 169.254.1.1: <None> 169.254.1.2: <None> 169.254.1.3: <None> 169.254.1.4: <None> 169.254.1.5: <None> 169.254.1.6: <None> Files that need to be installed: 169.254.1.1: <None> 169.254.1.2: <None> 169.254.1.3: <None> 169.254.1.4: <None> 169.254.1.5: <None> 169.254.1.6: <None> Services that need to be restarted: 169.254.1.1: <None> 169.254.1.2: <None> 169.254.1.3: <None> 169.254.1.4: <None> 169.254.1.5: ALL 169.254.1.6: ALL admin@ecsnode1:~>Resolução:
Execute o procedimento novamente e os nós restantes que foram originalmente perdidos terão seus serviços reiniciados. Os nós originais em que os serviços foram reiniciados estão intactos.admin@node1:~> /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/svc_patch install svc_patch Version 2.9.1 Verifying patch bundle consistency DONE Detecting nodes in current VDC DONE Reading in patch details (1 of 2) DONE Reading in patch details (2 of 2) DONE Validating nodes are online DONE Checking Installed Patches and Dependencies DONE All nodes currently do not have the same patches installed. Patches/releases currently installed: 169.254.1.1: CVE-2021-44228_45046_log4j-fix 169.254.1.2: CVE-2021-44228_45046_log4j-fix 169.254.1.3: CVE-2021-44228_45046_log4j-fix 169.254.1.4: CVE-2021-44228_45046_log4j-fix 169.254.1.5: CVE-2021-44228_45046_log4j-fix 169.254.1.6: CVE-2021-44228_45046_log4j-fix Patches that will be installed: 169.254.1.1: <None> 169.254.1.2: <None> 169.254.1.3: <None> 169.254.1.4: <None> 169.254.1.5: <None> 169.254.1.6: <None> Files that will be installed: 169.254.1.1: <None> 169.254.1.2: <None> 169.254.1.3: <None> 169.254.1.4: <None> 169.254.1.5: <None> 169.254.1.6: <None> Services that will be restarted: 169.254.1.1: <None> 169.254.1.2: <None> 169.254.1.3: <None> 169.254.1.4: <None> 169.254.1.5: ALL 169.254.1.6: ALL Patch Type: Standalone Number of nodes: 8 Number of seconds to wait between restarting node services: 450 Check DT status between node service restarts: true Do you wish to continue (y/n)?y No files to install on 169.254.1.1 Distributing patch installer to node '169.254.1.1' No files to install on 169.254.1.2 Distributing patch installer to node '169.254.1.2' No files to install on 169.254.1.3 Distributing patch installer to node '169.254.1.3' No files to install on 169.254.1.4 Distributing patch installer to node '169.254.1.4' No files to install on 169.254.1.5 Distributing patch installer to node '169.254.1.5' No files to install on 169.254.1.6 Distributing patch installer to node '169.254.1.6' No services to restart on 169.254.1.1 No services to restart on 169.254.1.2 No services to restart on 169.254.1.3 No services to restart on 169.254.1.4 Restarting services on 169.254.1.5 Restarting all services Waiting 450 seconds for services to stabilize...DONE Waiting for DTs to come online Restarting services on 169.254.1.6 Restarting all services Waiting 450 seconds for services to stabilize...DONE Waiting for DTs to come online Patching complete. admin@ecsnode1:~> -
Falha ao adicionar o host à lista de hosts conhecidos durante a aplicação do patch.
Exemplo:
svc_patch Version 2.9.1 Verifying patch bundle consistency DONE Detecting nodes in current VDC DONE Reading in patch details (1 of 2) DONE Reading in patch details (2 of 2) DONE Validating nodes are online FAILED ERROR: Could not execute commands on the object-main container on 169.254.x.x Output was 'Failed to add the host to the list of known hosts (/home/admin/.ssh/known_hosts). :patchtest:' Patching is unable to continue with unreachable nodes. To proceed: - Resolve problems accessing node(s) from this one. - Manually pass a MACHINES file containing the list of working nodes to patch (not recommended). - Contact your next level of support for other options or assistance.
Resolução:
O motivo pode ser que o usuário do arquivo /home/admin/.ssh/known_hosts era root, o que deveria ser admin por padrão.Exemplo:
admin@node1:~> ls -l /home/admin/.ssh/known_hosts -rw------- 1 root root 1802 Jul 23 2019 /home/admin/.ssh/known_hosts admin@ecs:~>
Para corrigir o problema de outra sessão PuTTY, faça log-in no(s) relatado(s) e altere o usuário para admin nos nós em que ele está presente como usuário root usando o comando abaixo em todos os nós relatados:
Comando:
# sudo chown admin:users /home/admin/.ssh/known_hosts
Exemplo:
admin@node1:~> sudo chown admin:users /home/admin/.ssh/known_hosts
Agora execute novamente o comando svc_patch e ele deve passar.
admin@node1:~> /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/svc_patch install
-
Não foi possível executar comandos no contêiner object-main em 169.254.x.x devido a uma chave de host incorreta em /home/admin/.ssh/known_hosts.
Exemplo:
svc_patch Version 2.9.1 Verifying patch bundle consistency DONE Detecting nodes in current VDC DONE Reading in patch details (1 of 2) DONE Reading in patch details (2 of 2) DONE Validating nodes are online FAILED ERROR: Could not execute commands on the object-main container on 169.254.x.x Output was '@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ @ WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED! @ @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY! Someone could be eavesdropping on you right now (man-in-the-middle attack)! It is also possible that a host key has just been changed. The fingerprint for the ECDSA key sent by the remote host is SHA256:RcwOsFj7zPA5p5kSeYovF4UlZTm125nLVeCL1zCqOzc. Please contact your system administrator. Add correct host key in /home/admin/.ssh/known_hosts to get rid of this message. Offending ECDSA key in /home/admin/.ssh/known_hosts:14 You can use following command to remove the offending key: ssh-keygen -R 169.254.x.x -f /home/admin/.ssh/known_hosts Password authentication is disabled to avoid man-in-the-middle attacks. Keyboard-interactive authentication is disabled to avoid man-in-the-middle attacks. :patchtest:' Patching is unable to continue with unreachable nodes. To proceed: - Resolve problems accessing node(s) from this one. - Manually pass a MACHINES file containing the list of working nodes to patch (not recommended). - Contact your next level of support for other options or assistance.
Resolução:
Entre em contato com o suporte do ECS para obter uma resolução. -
Ao usar o xDoctor versão 4.8-85.0 para aplicar esse patch, você pode receber um alerta informando que a soma md5sum não corresponde ao svc_base.py:
# /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/svc_patch status svc_patch Version 2.9.1 Verifying patch bundle consistency FAILED Patch bundle onsistency check failed - md5sums for one or more files in the patch bundle were invalid, or files were not found. svc_patch will attempt to validate files in the patch using MD5SUMS.bundle, which is bundled with the patch. Output from md5sum was: ./lib/libs/svc_base.py: FAILED md5sum: WARNING: 1 computed checksum did NOT match
Resolução:
Execute os comandos abaixo antes de aplicar o patch para atualizar o md5sum:# sudo sed -i '/svc_base.py/d' /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/MD5SUMS.bundle # sudo sed -i '/MD5SUMS.bundle/d' /opt/emc/xdoctor/.xdr_chksum
Affected Products
Elastic Cloud StorageProducts
ECS, ECS ApplianceArticle Properties
Article Number: 000194467
Article Type: Solution
Last Modified: 02 Dec 2025
Version: 28
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.