ECS: ECS-lösning för säkerhetsproblem med fjärrkörning av kod Apache Log4j
Summary: Säkerhetsproblem med Apache Log4j
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
CVE-identifierare CVE-2021-44228
CVE-identifierare CVE_2021-45046
Apaches logg: Fjärrkörning av kod i Apache Log4j
Cause
Säkerhetsproblem med Apache Log4j
Resolution
Vem ska köra den här proceduren?
Dell begär att kunderna utför den här proceduren för att uppgradera xDoctor och installera korrigeringsfilen. Detta är den snabbaste och säkraste metoden eftersom den undviker långvarig exponering för denna Apache-sårbarhet. Alla steg beskrivs i den här kunskapsbasartikeln. Det finns också en videoguide som kan följas till denna KB som finns på länken nedan.
Video: Apache-Log4j
Förfarandets inverkan:
Förvänta dig möjliga I/O-timeouter när tjänsterna startas om. Program som har åtkomst till klustret måste kunna hantera I/O-tidsgränsen. En underhållsperiod rekommenderas när du utför den här proceduren.
Tidsåtgång för aktiviteten (ungefär):
En fördröjning på cirka 7 minuter anges som standard per nod mellan omstarter av tjänsten. Antalet noder i ett virtuellt datacenter (VDC) multiplicerat med 7 minuter + 60 minuter för förberedelse, DT-stabilisering och nödvändiga efterkontroller.
Exempel:
Ett VDC-system med 48 noder kan ta cirka 6,5 timmar:
7,5 minuter x 48 (antal VDC-noder) + 30 minuter (förberedelse) = 6,5 timmar eller 390 minuter
Ett VDC-system med åtta noder kan ta cirka 1,5 timmar:
7,5 minuter x 8 (antal VDC-noder) + 30 minuter (förberedelse) = 1,5 timmar eller 90 minuter
Vanliga frågor (FAQ):
F: Är patchen en del av xDoctor-utgåvan?
Svar: Patchinstallationsskriptet är en del av xDoctor release 4.8-79.1 och senare. Instruktioner för nedladdning av xDoctor och genomförande av patchinstallation finns i lösningsstegen.
Fråga: Kan jag uppdatera flera VDC:er parallellt?
Svar: Nej. Korrigeringsfil 1 VDC åt gången.
F: Kan jag tillämpa den här korrigeringsfilen på ECS som kör kodversion 3.2.x eller tidigare?
Svar: Nej, den här korrigeringsfilen gäller endast för ECS-versionerna 3.3.x–3.6.x. Öppna en tjänstebegäran för att schemalägga en uppgradering för tidigare versioner.
F: Om jag uppgraderar ECS efter att ha kört den här proceduren, kör jag då proceduren igen efter uppgraderingen?
Svar: Nej, om du uppgraderar till en kodversion som anges i DSA-2021-273 och som har den permanenta korrigeringen. Ja, om du uppgraderar till en kodversion som inte anges i samma DSA.
F: Kräver korrigeringsfilen ett nytt program på ett system där den tidigare installerades efter ett nodbyte, återställning av avbildning eller expansion?
Svar: Nej, om VDC har den kodversion som anges i DSA-2021-273. Ja, om du utför någon av dessa åtgärder mot en VDC som kör en kodversion som inte anges i samma DSA. Om en korrigeringsfil krävs för dessa scenarier kontaktar Dell-teknikern i fråga dig för att informera dig om att en uppdatering krävs.
F: Vilken användare ska du vara inloggad som för att köra alla kommandon i den här kunskapsbasartikeln?
Svar: Admin
F: Måste svc_patch köras på alla rack eller med en specialiserad MACHINES-fil där flera rack finns i en VDC?
Svar: Nej, den identifierar automatiskt om det finns flera rack och uppdaterar alla noder på alla rack på den VDC:n.
F: Jag märker att målet xDoctor release är nu 4.8-79.1 och inte 4.8-79.0. Varför?
S: xDoctor-utgåvor sker ofta så det rekommenderas alltid att uppgradera till den högsta släppta versionen. Om du däremot tidigare har kört Apache fix med 4.8-79.0 är systemet helt skyddat mot sårbarheten och behöver inte köras igen.
Sammanfattning av lösning:
- Uppgradera din ECS xDoctor-programvara till version 4.8.-79.1 eller senare
- Kör förkontroller.
- Applicera systempatchen med verktyget svc_patch som medföljer xDoctor.
- Bekräfta att korrigeringen har tillämpats.
- Felsökning.
Lösningssteg:
1. Uppgradera din ECS xDoctor-programvara till den senaste tillgängliga versionen.
-
Kontrollera xDoctor-versionen som körs på ditt system. Om versionen är 4.8-79.1 eller senare går du vidare till steg 2 "Kör förkontroller". Om inte, fortsätt med stegen nedan.
Kommando:
# sudo xdoctor --version
Exempel:
admin@node1:~> sudo xdoctor --version 4.8-79.1
- Logga in på supportwebbplatsen, anslut direkt till nedladdningslänken, sök efter xDoctor med hjälp av nyckelordssökningen och klicka på xDoctor RPM-länken för att ladda ner. Om du vill visa versionskommentarerna följer du versionskommentarerna och väljer handböcker och dokument i sidofältet där de ska vara tillgängliga för nedladdning.
- När RPM-minnet har laddats ner använder du valfritt fjärr-SCP-program för att ladda upp filen till katalogen /home/admin på den första ECS-noden.
- När uppladdningen är klar SSH-anslut till den första noden i ECS-systemet med admin.
-
Uppgradera xDoctor på alla noder med den nyligen distribuerade versionen.
Kommando:
# sudo xdoctor --upgrade --local=/home/admin/xDoctor4ECS-4.8-79.1.noarch.rpm
Exempel:
admin@node1:~> sudo xdoctor --upgrade --local=/home/admin/xDoctor4ECS-4.8-79.1.noarch.rpm 2021-12-20 12:06:11,358: xDoctor_4.8-78.2 - INFO : xDoctor Upgrader Instance (2:FTP_SFTP) 2021-12-20 12:06:11,358: xDoctor_4.8-78.2 - INFO : Local Upgrade (/home/admin/xDoctor4ECS-4.8-79.1.noarch.rpm) 2021-12-20 12:06:11,392: xDoctor_4.8-78.2 - INFO : Current Installed xDoctor version is 4.8-78.2 2021-12-20 12:06:11,429: xDoctor_4.8-78.2 - INFO : Requested package version is 4.8-79.1 2021-12-20 12:06:11,430: xDoctor_4.8-78.2 - INFO : Updating xDoctor RPM Package (RPM) 2021-12-20 12:06:11,482: xDoctor_4.8-78.2 - INFO : - Distribute package 2021-12-20 12:06:12,099: xDoctor_4.8-78.2 - INFO : - Install new rpm package 2021-12-20 12:06:37,829: xDoctor_4.8-78.2 - INFO : xDoctor successfully updated to version 4.8-79.1
-
Om miljön är en multirack VDC måste det nya xDoctor-paketet installeras på den första noden i varje rack. Om du vill identifiera dessa primära rackversioner kör du kommandot nedan. I det här fallet är fyra rack och fyra primära rack markerade.
-
Kommando:
# svc_exec -m "ip address show private.4 |grep -w inet"
Exempel:
admin@ecsnode1~> svc_exec -m "ip address show private.4 |grep -w inet" svc_exec v1.0.2 (svc_tools v2.1.0) Started 2021-12-20 14:03:33 Output from node: r1n1 retval: 0 inet 169.254.1.1/16 brd 169.254.255.255 scope global private.4 Output from node: r2n1 retval: 0 inet 169.254.2.1/16 brd 169.254.255.255 scope global private.4 Output from node: r3n1 retval: 0 inet 169.254.3.1/16 brd 169.254.255.255 scope global private.4 Output from node: r4n1 retval: 0 inet 169.254.4.1/16 brd 169.254.255.255 scope global private.4 -
Kopiera paketet från den första noden i systemet (R1N1) till de andra primära rackinställningarna enligt nedan:
Exempel:
admin@ecsnode1~> scp xDoctor4ECS-4.8-79.1.noarch.rpm 169.254.2.1:/home/admin/ xDoctor4ECS-4.8-79.1.noarch.rpm 100% 32MB 31.9MB/s 00:00 admin@ecsnode1~> scp xDoctor4ECS-4.8-79.1.noarch.rpm 169.254.3.1:/home/admin/ xDoctor4ECS-4.8-79.1.noarch.rpm 100% 32MB 31.9MB/s 00:00 admin@ecsnode1~> scp xDoctor4ECS-4.8-79.1.noarch.rpm 169.254.4.1:/home/admin/ xDoctor4ECS-4.8-79.1.noarch.rpm 100% 32MB 31.9MB/s 00:00 admin@ecsnode1~>
-
Enligt steg e ovan kör du samma xDoctor install-kommando på var och en av ovanstående rackprimärer som identifierades tidigare.
Kommando:
# sudo xdoctor --upgrade --local=/home/admin/xDoctor4ECS-4.8-79.1.noarch.rpm
-
2. Kör förkontroller.
-
Använd kommandot svc_dt för att kontrollera om postbeteckningarna är stabila. Postbeteckningar är stabila om kolumnen "Ej redo #" visar 0. Om ja, gå till nästa kontroll. Om nej, vänta 15 minuter och kontrollera igen. Om postenheterna inte har stabiliserats öppnar du en tjänstebegäran hos ECS-supportteamet.
Kommando:
# svc_dt check -b
Exempel:
admin@node1:~> svc_dt check -b svc_dt v1.0.25 (svc_tools v2.0.2) Started 2021-12-16 16:44:51 Date Total DT Unknown # Unready # RIS Fail # Dump Fail # Check type Time since check Check successful 2021-12-16 16:43:44 2432 0 0 0 0 AutoCheck 1m 7s True 2021-12-16 16:42:33 2432 0 0 0 0 AutoCheck 2m 18s True 2021-12-16 16:41:23 2432 0 0 0 0 AutoCheck 3m 28s True 2021-12-16 16:40:13 2432 0 0 0 0 AutoCheck 4m 38s True 2021-12-16 16:39:02 2432 0 0 0 0 AutoCheck 5m 49s True 2021-12-16 16:37:52 2432 0 0 0 0 AutoCheck 6m 59s True 2021-12-16 16:36:42 2432 0 0 0 0 AutoCheck 8m 9s True 2021-12-16 16:35:31 2432 0 0 0 0 AutoCheck 9m 20s True 2021-12-16 16:34:21 2432 0 0 0 0 AutoCheck 10m 30s True 2021-12-16 16:33:11 2432 0 0 0 0 AutoCheck 11m 40s True
-
Använd kommandot svc_patch för att verifiera att alla noder är online. Om ja, gå till nästa steg. Om inte, undersök orsaken, ta den online igen och kör kontrollen igen. Om en nod inte kan anslutas öppnar du en tjänstebegäran hos ECS-supportteamet för att undersöka saken.
Kommando:
# /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/svc_patch status
Exempel:
admin@node1:~> /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/svc_patch status svc_patch Version 2.9.1 Verifying patch bundle consistency DONE Detecting nodes in current VDC DONE Reading in patch details (1 of 2) DONE Reading in patch details (2 of 2) DONE Validating nodes are online DONE Checking Installed Patches and Dependencies DONE Patches/releases currently installed: [ None detected ] Patches that need to be installed: CVE-2021-44228_log4j-fix_3.3.x-3.6.2 (PatchID: 3298) Files that need to be installed: /opt/storageos/lib/log4j-core-2.5.jar (from CVE-2021-44228_log4j-fix_3.3.x-3.6.2) The following services need to be restarted: ALL
3. Applicera systempatchen med verktyget svc_patch som medföljer xDoctor.
-
Kör kommandot svc_patch, skriv "y" och tryck på Retur när du uppmanas att installera korrigeringsfilen. Kommandot kan köras på alla ECS-noder.
Kommandon:
# screen -S patchinstall
# unset TMOUT
# /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/svc_patch install
Exempel:
Obs! Det finns en uppmaning att fortsätta i utdata nedan.admin@node1:~> screen -S patchinstall admin@node1:~> unset TMOUT admin@node1:~> /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/svc_patch install svc_patch Version 2.9.1 Verifying patch bundle consistency DONE Detecting nodes in current VDC DONE Reading in patch details (1 of 2) DONE Reading in patch details (2 of 2) DONE Validating nodes are online DONE Checking Installed Patches and Dependencies DONE Patches/releases currently installed: [ None detected ] Patches that will be installed: CVE-2021-44228_log4j-fix_3.3.x-3.6.2 (PatchID: 3298) Files that will be installed: /opt/storageos/lib/log4j-core-2.5.jar (from CVE-2021-44228_log4j-fix_3.3.x-3.6.2) The following services will be restarted: ALL Patch Type: Standalone Number of nodes: 8 Number of seconds to wait between restarting node services: 450 Check DT status between node service restarts: true Do you wish to continue (y/n)?y [...Truncated Output of each node Distributing files and restarting services...] Distributing files to node 1xx.xxx.xx.xx Distributing patch installer to node '1xx.xxx.xx.xx' Restarting services on 1xx.xxx.xx.xx Restarting all services Waiting 180 seconds for services to stabilize... [...Truncated Output of each node Distributing files and restarting services...] Stopping ViPR services..done Services status 3: stat georeceiver eventsvc blobsvc dataheadsvc blobsvc-perf blobsvc-fi resourcesvc resourcesvc-perf resourcesvc-fi rm cm ssm objcontrolsvc metering sr storageserver nvmeengine nvmetargetviewer dtquery dtsm vnest coordinatorsvc ecsportalsvc transformsvc Setting up SSL certificates ...done Starting ViPR services..done Waiting 300 seconds for services to stabilize...DONE Patching complete. admin@node1:~>
-
Avsluta sessionsskärmen när uppdateringen är klar enligt ovanstående utdata.
Exempel:
admin@node1:/> exit logout [screen is terminating] admin@node1:/>
Obs! Om du av misstag stänger PuTTY-sessionen medan körningen pågår ansluter du igen genom att logga in på samma nod igen och kör kommandot nedan:Kommando:
# screen -ls
admin@node 1:~> screen -ls There is a screen on: 114475.pts-0.ecs-n3 (Detached) 1 Socket in /var/run/uscreens/S-admin.Återanslut till frånkopplad session från tidigare utdata.
admin@node1:~> screen -r 114475.pts-0.ecs-n3
4. Bekräfta att korrigeringen har tillämpats.
-
Utdata nedan kommer från ett system där korrigeringen har tillämpats.
Kommando:
# /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/svc_patch status
Exempel:
admin@node1:/> /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/svc_patch status svc_patch Version 2.9.1 Verifying patch bundle consistency DONE Detecting nodes in current VDC DONE Reading in patch details (1 of 2) DONE Reading in patch details (2 of 2) DONE Validating nodes are online DONE Checking Installed Patches and Dependencies DONE Patches/releases currently installed: CVE-2021-44228_log4j-fix_3.3.x-3.6.2 (PatchID: 3298) Fixes for Log4j vulnerabilities CVE-2021-44228 and CVE-2021-45046 Patches that need to be installed: No files need to be installed. The following services need to be restarted: No services need to be restarted. -
Utdata nedan kommer från ett system där korrigeringen inte har tillämpats.
Exempel:
admin@node1:/> /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/svc_patch status svc_patch Version 2.9.1 Verifying patch bundle consistency DONE Detecting nodes in current VDC DONE Reading in patch details (1 of 2) DONE Reading in patch details (2 of 2) DONE Validating nodes are online DONE Checking Installed Patches and Dependencies DONE Patches/releases currently installed: [ None detected ] Patches that need to be installed: CVE-2021-44228_log4j-fix_3.3.x-3.6.2 (PatchID: 3298) Files that need to be installed: /opt/storageos/lib/log4j-core-2.5.jar (from CVE-2021-44228_log4j-fix_3.3.x-3.6.2) The following services need to be restarted: ALL
Felsökning:
-
DT-stabiliseringen tar för lång tid
-
Om DT-stabiliseringen tar längre tid än standardvärdet på 7,5 minuter uppmanas svc_patch program att antingen fortsätta eller avbryta korrigeringsprocessen.
Exempel:
admin@node1:~> /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/svc_patch install [...Truncated Output of each node Distributing files and restarting services...] Restarting services on 1xx.xx.xx.xx Restarting all services Waiting 180 seconds for services to stabilize...DONE Waiting for DTs to come online ERROR: DT Check failed. DTs did not come ready or could not be checked after several passes. Do you wish to continue anyway (y/n)?
-
Öppna en PuTTY-session på en annan nod och kör kommandot svc_dt för att kontrollera postbeteckningarna i kolumnen "Unready #". Om det inte finns några "0"-värden väntar du 15 minuter och kör kontrollen igen. Återgå till sessionen med svc_patch när det inte finns några oförberedda DT:er. Svara "y" och fortsätt. Om svc_dt fortsätter att visa värden i DT:erna "Ej redo #" öppnar du en tjänstebegäran hos ECS-supportteamet.
Kommando:
# svc_dt check -b
Exempel:
admin@node1:~> svc_dt check -b svc_dt v1.0.25 (svc_tools v2.0.2) Started 2021-12-15 17:18:52 Date Total DT Unknown # Unready # RIS Fail # Dump Fail # Check type Time since check Check successful 2021-12-15 17:17:54 1920 0 0 0 0 AutoCheck 0m 58s True 2021-12-15 17:16:44 1920 0 0 0 0 AutoCheck 2m 8s True 2021-12-15 17:16:10 1920 0 0 0 0 Manual Check 2m 42s True 2021-12-15 17:15:34 1920 0 0 0 0 AutoCheck 3m 18s True 2021-12-15 17:14:24 1920 0 0 0 0 AutoCheck 4m 28s True 2021-12-15 17:13:13 1920 0 0 0 0 AutoCheck 5m 39s True 2021-12-15 17:12:03 1920 0 0 0 0 AutoCheck 6m 49s True 2021-12-15 17:10:53 1920 0 0 0 0 AutoCheck 7m 59s True 2021-12-15 17:09:43 1920 0 0 0 0 AutoCheck 9m 9s True 2021-12-15 17:08:32 1920 0 0 0 0 AutoCheck 10m 20s True
-
-
Alla tjänster startas inte om på alla noder eftersom de inte körs på skärmen och PuTTY-sessionen avslutas i förtid.
Exempel: Tjänsterna startades om på fyra av sex noder efter att ha loggat in igen. Se noderna 5 och 6 markerade nedan.
admin@node1:~> /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/svc_patch status svc_patch Version 2.9.1 Verifying patch bundle consistency DONE Detecting nodes in current VDC DONE Reading in patch details (1 of 2) DONE Reading in patch details (2 of 2) DONE Validating nodes are online DONE Checking Installed Patches and Dependencies DONE All nodes currently do not have the same patches installed. Patches/releases currently installed: 169.254.1.1: CVE-2021-44228_45046_log4j-fix 169.254.1.2: CVE-2021-44228_45046_log4j-fix 169.254.1.3: CVE-2021-44228_45046_log4j-fix 169.254.1.4: CVE-2021-44228_45046_log4j-fix 169.254.1.5: CVE-2021-44228_45046_log4j-fix 169.254.1.6: CVE-2021-44228_45046_log4j-fix Patches that need to be installed: 169.254.1.1: <None> 169.254.1.2: <None> 169.254.1.3: <None> 169.254.1.4: <None> 169.254.1.5: <None> 169.254.1.6: <None> Files that need to be installed: 169.254.1.1: <None> 169.254.1.2: <None> 169.254.1.3: <None> 169.254.1.4: <None> 169.254.1.5: <None> 169.254.1.6: <None> Services that need to be restarted: 169.254.1.1: <None> 169.254.1.2: <None> 169.254.1.3: <None> 169.254.1.4: <None> 169.254.1.5: ALL 169.254.1.6: ALL admin@ecsnode1:~>Lösning:
Kör proceduren igen och de återstående noderna som ursprungligen missades startas om. De ursprungliga noderna där tjänsterna hade startats om är orörda.admin@node1:~> /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/svc_patch install svc_patch Version 2.9.1 Verifying patch bundle consistency DONE Detecting nodes in current VDC DONE Reading in patch details (1 of 2) DONE Reading in patch details (2 of 2) DONE Validating nodes are online DONE Checking Installed Patches and Dependencies DONE All nodes currently do not have the same patches installed. Patches/releases currently installed: 169.254.1.1: CVE-2021-44228_45046_log4j-fix 169.254.1.2: CVE-2021-44228_45046_log4j-fix 169.254.1.3: CVE-2021-44228_45046_log4j-fix 169.254.1.4: CVE-2021-44228_45046_log4j-fix 169.254.1.5: CVE-2021-44228_45046_log4j-fix 169.254.1.6: CVE-2021-44228_45046_log4j-fix Patches that will be installed: 169.254.1.1: <None> 169.254.1.2: <None> 169.254.1.3: <None> 169.254.1.4: <None> 169.254.1.5: <None> 169.254.1.6: <None> Files that will be installed: 169.254.1.1: <None> 169.254.1.2: <None> 169.254.1.3: <None> 169.254.1.4: <None> 169.254.1.5: <None> 169.254.1.6: <None> Services that will be restarted: 169.254.1.1: <None> 169.254.1.2: <None> 169.254.1.3: <None> 169.254.1.4: <None> 169.254.1.5: ALL 169.254.1.6: ALL Patch Type: Standalone Number of nodes: 8 Number of seconds to wait between restarting node services: 450 Check DT status between node service restarts: true Do you wish to continue (y/n)?y No files to install on 169.254.1.1 Distributing patch installer to node '169.254.1.1' No files to install on 169.254.1.2 Distributing patch installer to node '169.254.1.2' No files to install on 169.254.1.3 Distributing patch installer to node '169.254.1.3' No files to install on 169.254.1.4 Distributing patch installer to node '169.254.1.4' No files to install on 169.254.1.5 Distributing patch installer to node '169.254.1.5' No files to install on 169.254.1.6 Distributing patch installer to node '169.254.1.6' No services to restart on 169.254.1.1 No services to restart on 169.254.1.2 No services to restart on 169.254.1.3 No services to restart on 169.254.1.4 Restarting services on 169.254.1.5 Restarting all services Waiting 450 seconds for services to stabilize...DONE Waiting for DTs to come online Restarting services on 169.254.1.6 Restarting all services Waiting 450 seconds for services to stabilize...DONE Waiting for DTs to come online Patching complete. admin@ecsnode1:~> -
Det gick inte att lägga till värden i listan över kända värdar när korrigeringsfilen tillämpades.
Exempel:
svc_patch Version 2.9.1 Verifying patch bundle consistency DONE Detecting nodes in current VDC DONE Reading in patch details (1 of 2) DONE Reading in patch details (2 of 2) DONE Validating nodes are online FAILED ERROR: Could not execute commands on the object-main container on 169.254.x.x Output was 'Failed to add the host to the list of known hosts (/home/admin/.ssh/known_hosts). :patchtest:' Patching is unable to continue with unreachable nodes. To proceed: - Resolve problems accessing node(s) from this one. - Manually pass a MACHINES file containing the list of working nodes to patch (not recommended). - Contact your next level of support for other options or assistance.
Lösning:
Orsaken kan vara att användaren av filen /home/admin/.ssh/known_hosts var root, vilket ska vara admin som standard.Exempel:
admin@node1:~> ls -l /home/admin/.ssh/known_hosts -rw------- 1 root root 1802 Jul 23 2019 /home/admin/.ssh/known_hosts admin@ecs:~>
Om du vill åtgärda problemet från en annan PuTTY-session loggar du in på den rapporterade noden eller noderna och ändrar användaren till admin på noderna där den finns som rotanvändare med kommandot nedan på alla rapporterade noder:
Kommando:
# sudo chown admin:users /home/admin/.ssh/known_hosts
Exempel:
admin@node1:~> sudo chown admin:users /home/admin/.ssh/known_hosts
Kör nu kommandot svc_patch igen och det bör godkännas.
admin@node1:~> /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/svc_patch install
-
Det gick inte att köra kommandon på object-main-behållaren på 169.254.x.x på grund av felaktig värdnyckel i /home/admin/.ssh/known_hosts.
Exempel:
svc_patch Version 2.9.1 Verifying patch bundle consistency DONE Detecting nodes in current VDC DONE Reading in patch details (1 of 2) DONE Reading in patch details (2 of 2) DONE Validating nodes are online FAILED ERROR: Could not execute commands on the object-main container on 169.254.x.x Output was '@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ @ WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED! @ @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY! Someone could be eavesdropping on you right now (man-in-the-middle attack)! It is also possible that a host key has just been changed. The fingerprint for the ECDSA key sent by the remote host is SHA256:RcwOsFj7zPA5p5kSeYovF4UlZTm125nLVeCL1zCqOzc. Please contact your system administrator. Add correct host key in /home/admin/.ssh/known_hosts to get rid of this message. Offending ECDSA key in /home/admin/.ssh/known_hosts:14 You can use following command to remove the offending key: ssh-keygen -R 169.254.x.x -f /home/admin/.ssh/known_hosts Password authentication is disabled to avoid man-in-the-middle attacks. Keyboard-interactive authentication is disabled to avoid man-in-the-middle attacks. :patchtest:' Patching is unable to continue with unreachable nodes. To proceed: - Resolve problems accessing node(s) from this one. - Manually pass a MACHINES file containing the list of working nodes to patch (not recommended). - Contact your next level of support for other options or assistance.
Lösning:
Kontakta ECS-supporten för en lösning. -
När du använder xDoctor version 4.8-85.0 för att tillämpa denna patch kan du få en varning om att md5sum inte matchade för svc_base.py:
# /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/svc_patch status svc_patch Version 2.9.1 Verifying patch bundle consistency FAILED Patch bundle onsistency check failed - md5sums for one or more files in the patch bundle were invalid, or files were not found. svc_patch will attempt to validate files in the patch using MD5SUMS.bundle, which is bundled with the patch. Output from md5sum was: ./lib/libs/svc_base.py: FAILED md5sum: WARNING: 1 computed checksum did NOT match
Lösning:
Kör kommandona nedan innan du installerar korrigeringsfilen för att uppdatera md5sum:# sudo sed -i '/svc_base.py/d' /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/MD5SUMS.bundle # sudo sed -i '/MD5SUMS.bundle/d' /opt/emc/xdoctor/.xdr_chksum
Affected Products
Elastic Cloud StorageProducts
ECS, ECS ApplianceArticle Properties
Article Number: 000194467
Article Type: Solution
Last Modified: 02 Dec 2025
Version: 28
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.