ECS. Решение ECS для уязвимости Apache Log4j, делающей возможным удаленное выполнение кода
Summary: Уязвимость безопасности Apache Log4j
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Идентификатор CVE-2021-44228
Идентификатор CVE CVE_2021-45046
Публикация Apache: уязвимость Apache Log4j, делающая возможным удаленное выполнение кода
Cause
Уязвимость безопасности Apache Log4j
Resolution
Кто должен выполнять эту процедуру?
Dell просит заказчиков выполнить эту процедуру обновления xDoctor и установки исправления. Это самый быстрый и безопасный метод, поскольку он позволяет избежать длительного воздействия этой уязвимости Apache. Все шаги подробно описаны в данной статье базы знаний. Кроме того, к этой статье базы знаний можно следовать видеоруководству, доступному по ссылке ниже.
Видео. Apache-Log4j
Влияние процедуры.
Предполагается истечение времени ожидания ввода-вывода при перезапуске служб. Приложения, получающие доступ к кластеру, должны иметь возможность обрабатывать истечение времени ожидания ввода-вывода. Для выполнения этой процедуры рекомендуется использовать окно технического обслуживания.
Время, затраченное на выполнение (приблизительно).
По умолчанию для каждого узла между перезапусками службы устанавливается задержка приблизительно в 7 минут. Количество узлов в виртуальном центре обработки данных (VDC), умноженное на 7 минут + 60 минут для подготовки, стабилизации DT и необходимых проверок после выполнения.
Примеры:
Система VDC с 48 узлами может занять приблизительно 6,5 часа:
7,5 минут x 48 (количество узлов VDC) + 30 минут (подготовка) = 6,5 часов или 390 минут
Система из восьми узлов VDC может занять приблизительно 1,5 часа:
7,5 минут x 8 (количество узлов VDC) + 30 минут (подготовка) = 1,5 часа или 90 минут
Часто задаваемые вопросы (FAQ).
В. Является ли исправление частью выпуска xDoctor?
A: Сценарий установки исправления является частью xDoctor версии 4.8-79.1 и более поздних. Инструкции по скачиванию xDoctor и установке исправлений приведены в шагах по решению.
Вопрос: Можно ли одновременно обновлять несколько виртуальных ЦОД?
A: Нет. Патчируйте по 1 VDC за раз.
В. Можно ли применить это исправление к ECS с кодом версии 3.2.x или более ранней?
О. Нет, это исправление применимо только к ECS версий 3.3.x–3.6.x. Откройте сервисную заявку, чтобы запланировать модернизацию для более ранних версий.
В. Если я модернизирую ECS после выполнения этой процедуры, нужно ли повторно выполнять процедуру после обновления?
A: Нет, при обновлении до версии кода, указанной в DSA-2021-273 с постоянным исправлением. Да, при модернизации до версии кода, не указанной в этом же DSA.
В. Требуется ли повторное применение исправления в системе, где оно было установлено ранее, после замены узла, восстановления образа или расширения?
A: Нет, если VDC имеет версию кода, указанную в DSA-2021-273. Да, при выполнении любого из этих действий в виртуальном ЦОД с версией кода, не указанной в этом же DSA. Если в этих сценариях требуется исправление, инженер Dell свяжется с вами и сообщит о необходимости обновления.
В. Какой пользователь должен войти в систему, чтобы выполнять все команды из этой статьи базы знаний?
A: Admin
В. Обязательно ли svc_patch запускать на всех стойках или с помощью специализированного файла MACHINES, где несколько стоек в виртуальном ЦОД?
A: Нет, она автоматически определяет, существует ли несколько стоек, и обновляет данные всех узлов во всех стойках этого виртуального ЦОД.
В. Я заметил, что целевой выпуск xDoctor теперь 4.8-79.1, а не 4.8-79.0. Почему?
О. Выпуски xDoctor выходят часто, поэтому рекомендуется всегда обновлять программу до самой новой версии. Однако, если вы ранее запускали исправление Apache с помощью 4.8-79.0, то система полностью защищена от уязвимости, и ее не нужно запускать повторно.
Сводка решения.
- Обновите ПО ECS xDoctor до версии 4.8.-79.1 или более поздней
- Выполните предварительные проверки.
- Примените системное исправление с помощью инструмента svc_patch, входящего в комплект поставки xDoctor.
- Убедитесь, что исправление применено.
- Поиск и устранение неисправностей.
Действия по решению.
1. Обновите программное обеспечение ECS xDoctor до последней доступной версии.
-
Проверьте версию xDoctor, установленную в вашей системе. Если версия 4.8-79.1 или более поздняя, перейдите к шагу 2 «Run Prechecks». В противном случае выполните следующие действия.
Команда.
# sudo xdoctor --version
Пример:
admin@node1:~> sudo xdoctor --version 4.8-79.1
- Войдите на сайт поддержки, перейдите непосредственно по ссылке для скачивания, найдите xDoctor с помощью поиска по ключевому слову и нажмите ссылку xDoctor RPM, чтобы скачать. Чтобы просмотреть примечания к выпуску, следуйте инструкциям в разделе Примечания к выпуску, выберите Руководства и документы на боковой панели, где они должны быть доступны для скачивания.
- После скачивания RPM-пакета используйте любую удаленную программу SCP для загрузки файла в каталог /home/admin на первом узле ECS.
- После завершения загрузки подключитесь по SSH к первому узлу системы ECS с помощью учетной записи администратора.
-
Модернизируйте xDoctor на всех узлах с помощью новой распределенной версии.
Команда.
# sudo xdoctor --upgrade --local=/home/admin/xDoctor4ECS-4.8-79.1.noarch.rpm
Пример:
admin@node1:~> sudo xdoctor --upgrade --local=/home/admin/xDoctor4ECS-4.8-79.1.noarch.rpm 2021-12-20 12:06:11,358: xDoctor_4.8-78.2 - INFO : xDoctor Upgrader Instance (2:FTP_SFTP) 2021-12-20 12:06:11,358: xDoctor_4.8-78.2 - INFO : Local Upgrade (/home/admin/xDoctor4ECS-4.8-79.1.noarch.rpm) 2021-12-20 12:06:11,392: xDoctor_4.8-78.2 - INFO : Current Installed xDoctor version is 4.8-78.2 2021-12-20 12:06:11,429: xDoctor_4.8-78.2 - INFO : Requested package version is 4.8-79.1 2021-12-20 12:06:11,430: xDoctor_4.8-78.2 - INFO : Updating xDoctor RPM Package (RPM) 2021-12-20 12:06:11,482: xDoctor_4.8-78.2 - INFO : - Distribute package 2021-12-20 12:06:12,099: xDoctor_4.8-78.2 - INFO : - Install new rpm package 2021-12-20 12:06:37,829: xDoctor_4.8-78.2 - INFO : xDoctor successfully updated to version 4.8-79.1
-
Если среда представляет собой многостоечный VDC, новый пакет xDoctor необходимо установить на первом узле каждой стойки. Чтобы определить основные узлы стоек, выполните следующую команду. В данном случае выделены четыре стойки и четыре основные стойки.
-
Команда.
# svc_exec -m "ip address show private.4 |grep -w inet"
Пример:
admin@ecsnode1~> svc_exec -m "ip address show private.4 |grep -w inet" svc_exec v1.0.2 (svc_tools v2.1.0) Started 2021-12-20 14:03:33 Output from node: r1n1 retval: 0 inet 169.254.1.1/16 brd 169.254.255.255 scope global private.4 Output from node: r2n1 retval: 0 inet 169.254.2.1/16 brd 169.254.255.255 scope global private.4 Output from node: r3n1 retval: 0 inet 169.254.3.1/16 brd 169.254.255.255 scope global private.4 Output from node: r4n1 retval: 0 inet 169.254.4.1/16 brd 169.254.255.255 scope global private.4 -
Скопируйте пакет из первого узла системы (R1N1) в другие основные узлы стойки, как описано ниже:
Пример:
admin@ecsnode1~> scp xDoctor4ECS-4.8-79.1.noarch.rpm 169.254.2.1:/home/admin/ xDoctor4ECS-4.8-79.1.noarch.rpm 100% 32MB 31.9MB/s 00:00 admin@ecsnode1~> scp xDoctor4ECS-4.8-79.1.noarch.rpm 169.254.3.1:/home/admin/ xDoctor4ECS-4.8-79.1.noarch.rpm 100% 32MB 31.9MB/s 00:00 admin@ecsnode1~> scp xDoctor4ECS-4.8-79.1.noarch.rpm 169.254.4.1:/home/admin/ xDoctor4ECS-4.8-79.1.noarch.rpm 100% 32MB 31.9MB/s 00:00 admin@ecsnode1~>
-
Выполнив шаг e, описанный выше, выполните ту же команду установки xDoctor на каждом из указанных выше основных стоек, которые были определены ранее.
Команда.
# sudo xdoctor --upgrade --local=/home/admin/xDoctor4ECS-4.8-79.1.noarch.rpm
-
2. Выполните предварительные проверки.
-
Используйте команду svc_dt, чтобы проверить, стабильны ли DT. DT работают стабильно, если в столбце «Unready #» отображается значение 0. Если это так, перейдите к следующей проверке. Если нет, подождите 15 минут и повторите проверку. Если DT не стабилизировались, отправьте сервисную заявку в службу поддержки ECS.
Команда.
# svc_dt check -b
Пример:
admin@node1:~> svc_dt check -b svc_dt v1.0.25 (svc_tools v2.0.2) Started 2021-12-16 16:44:51 Date Total DT Unknown # Unready # RIS Fail # Dump Fail # Check type Time since check Check successful 2021-12-16 16:43:44 2432 0 0 0 0 AutoCheck 1m 7s True 2021-12-16 16:42:33 2432 0 0 0 0 AutoCheck 2m 18s True 2021-12-16 16:41:23 2432 0 0 0 0 AutoCheck 3m 28s True 2021-12-16 16:40:13 2432 0 0 0 0 AutoCheck 4m 38s True 2021-12-16 16:39:02 2432 0 0 0 0 AutoCheck 5m 49s True 2021-12-16 16:37:52 2432 0 0 0 0 AutoCheck 6m 59s True 2021-12-16 16:36:42 2432 0 0 0 0 AutoCheck 8m 9s True 2021-12-16 16:35:31 2432 0 0 0 0 AutoCheck 9m 20s True 2021-12-16 16:34:21 2432 0 0 0 0 AutoCheck 10m 30s True 2021-12-16 16:33:11 2432 0 0 0 0 AutoCheck 11m 40s True
-
Используйте команду svc_patch, чтобы убедиться, что все узлы находятся в режиме онлайн. Если это так, перейдите к следующему шагу. Если нет, выясните причину, верните его в режим онлайн и запустите проверку повторно. Если узел не удается перевести в режим онлайн, отправьте сервисную заявку в службу поддержки ECS для изучения.
Команда.
# /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/svc_patch status
Пример:
admin@node1:~> /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/svc_patch status svc_patch Version 2.9.1 Verifying patch bundle consistency DONE Detecting nodes in current VDC DONE Reading in patch details (1 of 2) DONE Reading in patch details (2 of 2) DONE Validating nodes are online DONE Checking Installed Patches and Dependencies DONE Patches/releases currently installed: [ None detected ] Patches that need to be installed: CVE-2021-44228_log4j-fix_3.3.x-3.6.2 (PatchID: 3298) Files that need to be installed: /opt/storageos/lib/log4j-core-2.5.jar (from CVE-2021-44228_log4j-fix_3.3.x-3.6.2) The following services need to be restarted: ALL
3. Примените системное исправление с помощью инструмента svc_patch, входящего в комплект поставки xDoctor.
-
Выполните команду svc_patch, введите «y» и нажмите клавишу Enter при появлении запроса на установку исправления. Эта команда может выполняться на любом узле ECS.
Команды:
# screen -S patchinstall
# unset TMOUT
# /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/svc_patch install
Пример:
Примечание. В выходных данных ниже появится запрос на продолжение.admin@node1:~> screen -S patchinstall admin@node1:~> unset TMOUT admin@node1:~> /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/svc_patch install svc_patch Version 2.9.1 Verifying patch bundle consistency DONE Detecting nodes in current VDC DONE Reading in patch details (1 of 2) DONE Reading in patch details (2 of 2) DONE Validating nodes are online DONE Checking Installed Patches and Dependencies DONE Patches/releases currently installed: [ None detected ] Patches that will be installed: CVE-2021-44228_log4j-fix_3.3.x-3.6.2 (PatchID: 3298) Files that will be installed: /opt/storageos/lib/log4j-core-2.5.jar (from CVE-2021-44228_log4j-fix_3.3.x-3.6.2) The following services will be restarted: ALL Patch Type: Standalone Number of nodes: 8 Number of seconds to wait between restarting node services: 450 Check DT status between node service restarts: true Do you wish to continue (y/n)?y [...Truncated Output of each node Distributing files and restarting services...] Distributing files to node 1xx.xxx.xx.xx Distributing patch installer to node '1xx.xxx.xx.xx' Restarting services on 1xx.xxx.xx.xx Restarting all services Waiting 180 seconds for services to stabilize... [...Truncated Output of each node Distributing files and restarting services...] Stopping ViPR services..done Services status 3: stat georeceiver eventsvc blobsvc dataheadsvc blobsvc-perf blobsvc-fi resourcesvc resourcesvc-perf resourcesvc-fi rm cm ssm objcontrolsvc metering sr storageserver nvmeengine nvmetargetviewer dtquery dtsm vnest coordinatorsvc ecsportalsvc transformsvc Setting up SSL certificates ...done Starting ViPR services..done Waiting 300 seconds for services to stabilize...DONE Patching complete. admin@node1:~>
-
Экран выхода из сеанса после завершения обновления, как указано выше.
Пример:
admin@node1:/> exit logout [screen is terminating] admin@node1:/>
Примечание. Если вы случайно закрыли сеанс PuTTY во время его выполнения, повторно присоедините его, снова войдя в тот же узел, и выполните следующую команду:Команда.
# screen -ls
admin@node 1:~> screen -ls There is a screen on: 114475.pts-0.ecs-n3 (Detached) 1 Socket in /var/run/uscreens/S-admin.Повторно прикрепите к отсоединенной сессии из предыдущего вывода.
admin@node1:~> screen -r 114475.pts-0.ecs-n3
4. Убедитесь, что исправление применено.
-
Приведенный ниже вывод относится к системе, в которой применено исправление.
Команда.
# /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/svc_patch status
Пример:
admin@node1:/> /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/svc_patch status svc_patch Version 2.9.1 Verifying patch bundle consistency DONE Detecting nodes in current VDC DONE Reading in patch details (1 of 2) DONE Reading in patch details (2 of 2) DONE Validating nodes are online DONE Checking Installed Patches and Dependencies DONE Patches/releases currently installed: CVE-2021-44228_log4j-fix_3.3.x-3.6.2 (PatchID: 3298) Fixes for Log4j vulnerabilities CVE-2021-44228 and CVE-2021-45046 Patches that need to be installed: No files need to be installed. The following services need to be restarted: No services need to be restarted. -
Приведенные ниже выходные данные относятся к системе, в которой исправление не было применено.
Пример:
admin@node1:/> /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/svc_patch status svc_patch Version 2.9.1 Verifying patch bundle consistency DONE Detecting nodes in current VDC DONE Reading in patch details (1 of 2) DONE Reading in patch details (2 of 2) DONE Validating nodes are online DONE Checking Installed Patches and Dependencies DONE Patches/releases currently installed: [ None detected ] Patches that need to be installed: CVE-2021-44228_log4j-fix_3.3.x-3.6.2 (PatchID: 3298) Files that need to be installed: /opt/storageos/lib/log4j-core-2.5.jar (from CVE-2021-44228_log4j-fix_3.3.x-3.6.2) The following services need to be restarted: ALL
Поиск и устранение неполадок:
-
Стабилизация DT занимает слишком много времени
-
Если стабилизация DT занимает больше времени, чем по умолчанию 7,5 минут, svc_patch приложение предложит продолжить или остановить процесс исправления.
Пример:
admin@node1:~> /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/svc_patch install [...Truncated Output of each node Distributing files and restarting services...] Restarting services on 1xx.xx.xx.xx Restarting all services Waiting 180 seconds for services to stabilize...DONE Waiting for DTs to come online ERROR: DT Check failed. DTs did not come ready or could not be checked after several passes. Do you wish to continue anyway (y/n)?
-
Откройте сеанс PuTTY на другом узле и выполните команду svc_dt для проверки DT в столбце «Unready #». Если значений «0» нет, подождите 15 минут и снова запустите проверку. Вернитесь к сеансу с svc_patch, когда все DT готовы. Ответьте «y» и продолжите. Если svc_dt продолжает перечислять значения в DT «Unready #», откройте сервисную заявку в службу поддержки ECS.
Команда.
# svc_dt check -b
Пример:
admin@node1:~> svc_dt check -b svc_dt v1.0.25 (svc_tools v2.0.2) Started 2021-12-15 17:18:52 Date Total DT Unknown # Unready # RIS Fail # Dump Fail # Check type Time since check Check successful 2021-12-15 17:17:54 1920 0 0 0 0 AutoCheck 0m 58s True 2021-12-15 17:16:44 1920 0 0 0 0 AutoCheck 2m 8s True 2021-12-15 17:16:10 1920 0 0 0 0 Manual Check 2m 42s True 2021-12-15 17:15:34 1920 0 0 0 0 AutoCheck 3m 18s True 2021-12-15 17:14:24 1920 0 0 0 0 AutoCheck 4m 28s True 2021-12-15 17:13:13 1920 0 0 0 0 AutoCheck 5m 39s True 2021-12-15 17:12:03 1920 0 0 0 0 AutoCheck 6m 49s True 2021-12-15 17:10:53 1920 0 0 0 0 AutoCheck 7m 59s True 2021-12-15 17:09:43 1920 0 0 0 0 AutoCheck 9m 9s True 2021-12-15 17:08:32 1920 0 0 0 0 AutoCheck 10m 20s True
-
-
Все службы не перезапускаются на всех узлах, так как не запускаются на экране и сеанс PuTTY завершается преждевременно.
Пример: Службы перезапускались на четырех из шести узлов после повторного входа в систему. См. узлы 5 и 6, выделенные ниже.
admin@node1:~> /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/svc_patch status svc_patch Version 2.9.1 Verifying patch bundle consistency DONE Detecting nodes in current VDC DONE Reading in patch details (1 of 2) DONE Reading in patch details (2 of 2) DONE Validating nodes are online DONE Checking Installed Patches and Dependencies DONE All nodes currently do not have the same patches installed. Patches/releases currently installed: 169.254.1.1: CVE-2021-44228_45046_log4j-fix 169.254.1.2: CVE-2021-44228_45046_log4j-fix 169.254.1.3: CVE-2021-44228_45046_log4j-fix 169.254.1.4: CVE-2021-44228_45046_log4j-fix 169.254.1.5: CVE-2021-44228_45046_log4j-fix 169.254.1.6: CVE-2021-44228_45046_log4j-fix Patches that need to be installed: 169.254.1.1: <None> 169.254.1.2: <None> 169.254.1.3: <None> 169.254.1.4: <None> 169.254.1.5: <None> 169.254.1.6: <None> Files that need to be installed: 169.254.1.1: <None> 169.254.1.2: <None> 169.254.1.3: <None> 169.254.1.4: <None> 169.254.1.5: <None> 169.254.1.6: <None> Services that need to be restarted: 169.254.1.1: <None> 169.254.1.2: <None> 169.254.1.3: <None> 169.254.1.4: <None> 169.254.1.5: ALL 169.254.1.6: ALL admin@ecsnode1:~>Разрешение.
Выполните процедуру еще раз, и оставшиеся отсутствующие узлы перезапустят свои службы. Исходные узлы, на которых были перезапущены службы, не затрагиваются.admin@node1:~> /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/svc_patch install svc_patch Version 2.9.1 Verifying patch bundle consistency DONE Detecting nodes in current VDC DONE Reading in patch details (1 of 2) DONE Reading in patch details (2 of 2) DONE Validating nodes are online DONE Checking Installed Patches and Dependencies DONE All nodes currently do not have the same patches installed. Patches/releases currently installed: 169.254.1.1: CVE-2021-44228_45046_log4j-fix 169.254.1.2: CVE-2021-44228_45046_log4j-fix 169.254.1.3: CVE-2021-44228_45046_log4j-fix 169.254.1.4: CVE-2021-44228_45046_log4j-fix 169.254.1.5: CVE-2021-44228_45046_log4j-fix 169.254.1.6: CVE-2021-44228_45046_log4j-fix Patches that will be installed: 169.254.1.1: <None> 169.254.1.2: <None> 169.254.1.3: <None> 169.254.1.4: <None> 169.254.1.5: <None> 169.254.1.6: <None> Files that will be installed: 169.254.1.1: <None> 169.254.1.2: <None> 169.254.1.3: <None> 169.254.1.4: <None> 169.254.1.5: <None> 169.254.1.6: <None> Services that will be restarted: 169.254.1.1: <None> 169.254.1.2: <None> 169.254.1.3: <None> 169.254.1.4: <None> 169.254.1.5: ALL 169.254.1.6: ALL Patch Type: Standalone Number of nodes: 8 Number of seconds to wait between restarting node services: 450 Check DT status between node service restarts: true Do you wish to continue (y/n)?y No files to install on 169.254.1.1 Distributing patch installer to node '169.254.1.1' No files to install on 169.254.1.2 Distributing patch installer to node '169.254.1.2' No files to install on 169.254.1.3 Distributing patch installer to node '169.254.1.3' No files to install on 169.254.1.4 Distributing patch installer to node '169.254.1.4' No files to install on 169.254.1.5 Distributing patch installer to node '169.254.1.5' No files to install on 169.254.1.6 Distributing patch installer to node '169.254.1.6' No services to restart on 169.254.1.1 No services to restart on 169.254.1.2 No services to restart on 169.254.1.3 No services to restart on 169.254.1.4 Restarting services on 169.254.1.5 Restarting all services Waiting 450 seconds for services to stabilize...DONE Waiting for DTs to come online Restarting services on 169.254.1.6 Restarting all services Waiting 450 seconds for services to stabilize...DONE Waiting for DTs to come online Patching complete. admin@ecsnode1:~> -
Не удалось добавить хост в список известных хостов при применении исправления.
Пример:
svc_patch Version 2.9.1 Verifying patch bundle consistency DONE Detecting nodes in current VDC DONE Reading in patch details (1 of 2) DONE Reading in patch details (2 of 2) DONE Validating nodes are online FAILED ERROR: Could not execute commands on the object-main container on 169.254.x.x Output was 'Failed to add the host to the list of known hosts (/home/admin/.ssh/known_hosts). :patchtest:' Patching is unable to continue with unreachable nodes. To proceed: - Resolve problems accessing node(s) from this one. - Manually pass a MACHINES file containing the list of working nodes to patch (not recommended). - Contact your next level of support for other options or assistance.
Разрешение.
Причина может заключаться в том, что пользователем файла /home/admin/.ssh/known_hosts был пользователь root, который по умолчанию должен быть admin.Пример:
admin@node1:~> ls -l /home/admin/.ssh/known_hosts -rw------- 1 root root 1802 Jul 23 2019 /home/admin/.ssh/known_hosts admin@ecs:~>
Чтобы устранить проблему из другого сеанса PuTTY, выполните вход на один или несколько узлов в сообщении и измените пользователя на admin на узлах, где он присутствует в качестве пользователя root, используя следующую команду на всех зарегистрированных узлах:
Команда.
# sudo chown admin:users /home/admin/.ssh/known_hosts
Пример:
admin@node1:~> sudo chown admin:users /home/admin/.ssh/known_hosts
Теперь снова выполните команду svc_patch, и она должна быть пройдена.
admin@node1:~> /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/svc_patch install
-
Не удалось выполнить команды для контейнера object-main на 169.254.x.x из-за неверного ключа хоста в /home/admin/.ssh/known_hosts.
Пример:
svc_patch Version 2.9.1 Verifying patch bundle consistency DONE Detecting nodes in current VDC DONE Reading in patch details (1 of 2) DONE Reading in patch details (2 of 2) DONE Validating nodes are online FAILED ERROR: Could not execute commands on the object-main container on 169.254.x.x Output was '@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ @ WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED! @ @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY! Someone could be eavesdropping on you right now (man-in-the-middle attack)! It is also possible that a host key has just been changed. The fingerprint for the ECDSA key sent by the remote host is SHA256:RcwOsFj7zPA5p5kSeYovF4UlZTm125nLVeCL1zCqOzc. Please contact your system administrator. Add correct host key in /home/admin/.ssh/known_hosts to get rid of this message. Offending ECDSA key in /home/admin/.ssh/known_hosts:14 You can use following command to remove the offending key: ssh-keygen -R 169.254.x.x -f /home/admin/.ssh/known_hosts Password authentication is disabled to avoid man-in-the-middle attacks. Keyboard-interactive authentication is disabled to avoid man-in-the-middle attacks. :patchtest:' Patching is unable to continue with unreachable nodes. To proceed: - Resolve problems accessing node(s) from this one. - Manually pass a MACHINES file containing the list of working nodes to patch (not recommended). - Contact your next level of support for other options or assistance.
Разрешение.
Обратитесь в службу поддержки ECS для получения решения. -
При использовании xDoctor версии 4.8-85.0 для применения этого исправления может появиться оповещение о том, что md5sum не совпал для svc_base.py:
# /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/svc_patch status svc_patch Version 2.9.1 Verifying patch bundle consistency FAILED Patch bundle onsistency check failed - md5sums for one or more files in the patch bundle were invalid, or files were not found. svc_patch will attempt to validate files in the patch using MD5SUMS.bundle, which is bundled with the patch. Output from md5sum was: ./lib/libs/svc_base.py: FAILED md5sum: WARNING: 1 computed checksum did NOT match
Разрешение.
Перед применением исправления выполните следующие команды, чтобы обновить md5sum:# sudo sed -i '/svc_base.py/d' /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/MD5SUMS.bundle # sudo sed -i '/MD5SUMS.bundle/d' /opt/emc/xdoctor/.xdr_chksum
Affected Products
Elastic Cloud StorageProducts
ECS, ECS ApplianceArticle Properties
Article Number: 000194467
Article Type: Solution
Last Modified: 02 Dec 2025
Version: 28
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.