ECS: Apache Log4j Uzaktan Kod Yürütme Güvenlik Açığına ECS Çözümü
Summary: Apache Log4j güvenlik açığı
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
CVE Tanımlayıcısı CVE-2021-44228
CVE Tanımlayıcısı CVE_2021-45046
Apache Yayını: Apache Log4j Remote Code Execution (Apache Log4j Uzaktan Kod Yürütme)
Cause
Apache Log4j güvenlik açığı
Resolution
Bu prosedürü kim çalıştırmalı?
Dell, müşterilerin bu xDoctor i yükseltme ve yamayı yükleme prosedürünü gerçekleştirmesini ister. Bu, bu Apache güvenlik açığına uzun süre maruz kalmaktan kaçındığı için en hızlı ve en güvenli yöntemdir. Tüm adımlar bu KB'de ayrıntılı olarak verilmiştir. Aşağıdaki bağlantıda bulunan bu KB'ye eşlik etmek üzere izlenebilecek bir video kılavuzu da bulunmaktadır.
Video: Apache-Log4j
Prosedürün etkisi:
Hizmetler yeniden başlatılırken G/Ç zaman aşımları olabilir. Kümeye erişen uygulamalar, G/Ç zaman aşımını atlatabilmelidir. Bu prosedür gerçekleştirilirken bir bakım aralığı önerilir.
Etkinliğin süresi (yaklaşık):
Hizmet yeniden başlatmaları arasında düğüm başına varsayılan olarak yaklaşık 7 dakikalık bir gecikme ayarlanır. Bir Sanal Veri Merkezi'nde (VDC) düğüm sayısı hazırlık, DT kararlılığı sağlama ve gerekli sonraki kontroller için 7 dakika + 60 dakika ile çarpılır.
Örnekler:
48 düğümlü bir VDC sistemi yaklaşık 6,5 saat sürebilir:
7,5 Dakika X 48 (VDC düğümü sayısı) + 30 dakika (hazırlık) = 6,5 saat veya 390 dakika
Sekiz düğümlü bir VDC sistemi yaklaşık 1,5 saat sürebilir:
7,5 Dakika X 8 (VDC düğümü sayısı) + 30 dakika (hazırlık) = 1,5 saat veya 90 dakika
Sık Sorulan Sorular (SSS):
S: Yama, xDoctor sürümünün bir parçası mı?
Cevap: Yama yükleme komut dosyası, xDoctor sürüm 4.8-79.1 ve üzeri sürümlerin bir parçasıdır. xDoctor'un indirilmesi ve yama kurulumunun yürütülmesi için talimatlar çözüm adımlarındadır.
Soru: Birden fazla VDC'yi paralel olarak güncelleyebilir miyim?
Cevap: Hayır. Bir kerede 1 VDC yaması.
S: Bu yamayı ECS'nin çalıştığı kod sürümü 3.2.x veya önceki sürümlerine uygulayabilir miyim?
C: Hayır, bu yama yalnızca ECS 3.3.x - 3.6.x sürümleri için geçerlidir. Önceki sürümler için bir yükseltme planlamak üzere bir hizmet isteği açın.
S: Bu prosedürü çalıştırdıktan sonra ECS'yi yükseltirsem yükseltmeden sonra prosedürü yeniden çalıştırır mıyım?
Cevap: Kalıcı düzeltmeye sahip olan DSA-2021-273'te belirtilen bir kod sürümüne yükseltme yapılıyorsa hayır. Evet, aynı DSA'da belirtilmeyen bir kod sürümüne yükseltme yapılıyorsa kullanabilirsiniz.
S: Yama, düğüm değişimi, yeniden görüntü oluşturma veya genişletme işlemlerinden sonra daha önce yüklendiği bir sistemde yeniden uygulama gerektirir mi?
Cevap: VDC, DSA-2021-273'te belirtilen kod sürümündeyse hayır. Evet, aynı DSA'da belirtilmeyen bir kod sürümü çalıştıran bir VDC'ye karşı bu eylemlerden herhangi birini gerçekleştiriyorsanız . Bu senaryolar için bir yama gerektiğinde, söz konusu Dell mühendisi bir güncelleştirme gerektiğini bildirmek için sizinle iletişime geçer.
S: Bu KB'deki tüm komutları çalıştırmak için hangi kullanıcıda oturum açmalısınız?
Cevap: Admin
S: svc_patch tüm raflarda mı yoksa bir VDC'de birden fazla rafın olduğu özel bir MACHINES dosyasıyla mı çalıştırılması gerekiyor?
Cevap: Hayır, birden fazla raf olup olmadığını otomatik olarak algılar ve bu VDC'deki tüm raflardaki tüm düğümleri günceller.
S: Hedef xDoctor sürümünün artık 4.8-79.0 değil, 4.8-79.1 olduğunu fark ettim. Neden?
C: xDoctor sürümleri sık sık meydana gelir, bu nedenle her zaman yayınlanan en yüksek sürüme yükseltmeniz önerilir. Ancak daha önce 4.8-79.0 kullanarak Apache düzeltmesini çalıştırdıysanız sistem güvenlik açığına karşı tamamen korunur ve yeniden çalıştırılması gerekmez.
Çözüm Özeti:
- ECS xDoctor yazılımınızı 4.8.-79.1 veya sonraki bir sürüme yükseltme
- Ön kontrolleri çalıştırın.
- xDoctor'da bulunan svc_patch aracıyla sistem yamasını uygulayın.
- Düzeltmenin uygulandığını onaylayın.
- Sorun Giderme.
Çözüm Adımları:
1. ECS xDoctor yazılımınızı mevcut en son Sürüme yükseltin.
-
Sisteminizde çalışan xDoctor sürümünü kontrol edin. Sürüm 4.8-79.1 veya üzeriyse "Ön Denetimleri Çalıştırma" başlıklı 2. adıma geçin. Değilse aşağıdaki adımlarla devam edin.
Komut:
# sudo xdoctor --version
Örneğin:
admin@node1:~> sudo xdoctor --version 4.8-79.1
- Destek Sitesinde oturum açın, doğrudan indirme bağlantısına bağlanın, anahtar kelime aramasını kullanarak xDoctor'u aratın ve indirmek için xDoctor RPM bağlantısına tıklayın. Sürüm notlarını görüntülemek için Sürüm Notları'nı takip edin, kenar çubuğundan Kılavuzlar ve belgeler'i seçerek indirilebilir olmaları gerekir.
- RPM indirildikten sonra, dosyayı ilk ECS düğümündeki /home/admin dizinine yüklemek için herhangi bir uzak SCP programı kullanın.
- Yükleme tamamlandığında yöneticiyi kullanarak ECS sisteminin ilk düğümüne SSH oturumu açın.
-
Yeni dağıtılmış sürümle, tüm düğümlerdeki xDoctor'ı yükseltin.
Komut:
# sudo xdoctor --upgrade --local=/home/admin/xDoctor4ECS-4.8-79.1.noarch.rpm
Örneğin:
admin@node1:~> sudo xdoctor --upgrade --local=/home/admin/xDoctor4ECS-4.8-79.1.noarch.rpm 2021-12-20 12:06:11,358: xDoctor_4.8-78.2 - INFO : xDoctor Upgrader Instance (2:FTP_SFTP) 2021-12-20 12:06:11,358: xDoctor_4.8-78.2 - INFO : Local Upgrade (/home/admin/xDoctor4ECS-4.8-79.1.noarch.rpm) 2021-12-20 12:06:11,392: xDoctor_4.8-78.2 - INFO : Current Installed xDoctor version is 4.8-78.2 2021-12-20 12:06:11,429: xDoctor_4.8-78.2 - INFO : Requested package version is 4.8-79.1 2021-12-20 12:06:11,430: xDoctor_4.8-78.2 - INFO : Updating xDoctor RPM Package (RPM) 2021-12-20 12:06:11,482: xDoctor_4.8-78.2 - INFO : - Distribute package 2021-12-20 12:06:12,099: xDoctor_4.8-78.2 - INFO : - Install new rpm package 2021-12-20 12:06:37,829: xDoctor_4.8-78.2 - INFO : xDoctor successfully updated to version 4.8-79.1
-
Ortam çok raflı bir VDC ise yeni xDoctor paketi her rafın ilk düğümüne kurulmalıdır. Bu rafların ilk düğümlerini belirlemek için aşağıdaki komutu çalıştırın. Bu örnekte, vurgulanan dört raf ve dört raf birincil vardır.
-
Komut:
# svc_exec -m "ip address show private.4 |grep -w inet"
Örneğin:
admin@ecsnode1~> svc_exec -m "ip address show private.4 |grep -w inet" svc_exec v1.0.2 (svc_tools v2.1.0) Started 2021-12-20 14:03:33 Output from node: r1n1 retval: 0 inet 169.254.1.1/16 brd 169.254.255.255 scope global private.4 Output from node: r2n1 retval: 0 inet 169.254.2.1/16 brd 169.254.255.255 scope global private.4 Output from node: r3n1 retval: 0 inet 169.254.3.1/16 brd 169.254.255.255 scope global private.4 Output from node: r4n1 retval: 0 inet 169.254.4.1/16 brd 169.254.255.255 scope global private.4 -
Paketi sistemin ilk düğümünden (R1N1) aşağıdaki esaslara göre diğer rafların ilk düğümlerine kopyalayın:
Örneğin:
admin@ecsnode1~> scp xDoctor4ECS-4.8-79.1.noarch.rpm 169.254.2.1:/home/admin/ xDoctor4ECS-4.8-79.1.noarch.rpm 100% 32MB 31.9MB/s 00:00 admin@ecsnode1~> scp xDoctor4ECS-4.8-79.1.noarch.rpm 169.254.3.1:/home/admin/ xDoctor4ECS-4.8-79.1.noarch.rpm 100% 32MB 31.9MB/s 00:00 admin@ecsnode1~> scp xDoctor4ECS-4.8-79.1.noarch.rpm 169.254.4.1:/home/admin/ xDoctor4ECS-4.8-79.1.noarch.rpm 100% 32MB 31.9MB/s 00:00 admin@ecsnode1~>
-
Yukarıdaki e adımı başına, daha önce tanımlanmış olan yukarıdaki raf ana ayarlarının her birinde aynı xDoctor yükleme komutunu çalıştırın.
Komut:
# sudo xdoctor --upgrade --local=/home/admin/xDoctor4ECS-4.8-79.1.noarch.rpm
-
2. Ön kontrolleri çalıştırın.
-
DT'lerin kararlı olup olmadığını kontrol etmek için svc_dt komutunu kullanın. "Unready #" sütununda 0 gösteriliyorsa DT'ler sabittir. Kararlıysa bir sonraki kontrole gidin. Kararlı değilse 15 dakika bekleyin ve tekrar kontrol edin. DT'ler kararlı değilse ECS destek ekibine bir servis isteği gönderin.
Komut:
# svc_dt check -b
Örneğin:
admin@node1:~> svc_dt check -b svc_dt v1.0.25 (svc_tools v2.0.2) Started 2021-12-16 16:44:51 Date Total DT Unknown # Unready # RIS Fail # Dump Fail # Check type Time since check Check successful 2021-12-16 16:43:44 2432 0 0 0 0 AutoCheck 1m 7s True 2021-12-16 16:42:33 2432 0 0 0 0 AutoCheck 2m 18s True 2021-12-16 16:41:23 2432 0 0 0 0 AutoCheck 3m 28s True 2021-12-16 16:40:13 2432 0 0 0 0 AutoCheck 4m 38s True 2021-12-16 16:39:02 2432 0 0 0 0 AutoCheck 5m 49s True 2021-12-16 16:37:52 2432 0 0 0 0 AutoCheck 6m 59s True 2021-12-16 16:36:42 2432 0 0 0 0 AutoCheck 8m 9s True 2021-12-16 16:35:31 2432 0 0 0 0 AutoCheck 9m 20s True 2021-12-16 16:34:21 2432 0 0 0 0 AutoCheck 10m 30s True 2021-12-16 16:33:11 2432 0 0 0 0 AutoCheck 11m 40s True
-
Tüm düğümlerin çevrimiçi olduğunu doğrulamak için svc_patch komutunu kullanın. Çevrimiçiyse bir sonraki adıma geçin. Hayır ise, nedenini araştırın, yeniden çevrimiçi duruma getirin ve denetimi tekrar çalıştırın. Bir düğüm çevrimiçi duruma getirilemiyorsa araştırmak için ECS destek ekibiyle bir servis isteği açın.
Komut:
# /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/svc_patch status
Örneğin:
admin@node1:~> /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/svc_patch status svc_patch Version 2.9.1 Verifying patch bundle consistency DONE Detecting nodes in current VDC DONE Reading in patch details (1 of 2) DONE Reading in patch details (2 of 2) DONE Validating nodes are online DONE Checking Installed Patches and Dependencies DONE Patches/releases currently installed: [ None detected ] Patches that need to be installed: CVE-2021-44228_log4j-fix_3.3.x-3.6.2 (PatchID: 3298) Files that need to be installed: /opt/storageos/lib/log4j-core-2.5.jar (from CVE-2021-44228_log4j-fix_3.3.x-3.6.2) The following services need to be restarted: ALL
3. xDoctor'da bulunan svc_patch aracıyla sistem yamasını uygulayın.
-
svc_patch komutunu çalıştırın, yamayı kurmanız istendiğinde "y" yazın ve Enter tuşuna basın. Komut herhangi bir ECS düğümünde çalışır.
Komutlar:
# screen -S patchinstall
# unset TMOUT
# /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/svc_patch install
Örneğin:
Not: Aşağıdaki çıktıda devam etmek için bir istem var.admin@node1:~> screen -S patchinstall admin@node1:~> unset TMOUT admin@node1:~> /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/svc_patch install svc_patch Version 2.9.1 Verifying patch bundle consistency DONE Detecting nodes in current VDC DONE Reading in patch details (1 of 2) DONE Reading in patch details (2 of 2) DONE Validating nodes are online DONE Checking Installed Patches and Dependencies DONE Patches/releases currently installed: [ None detected ] Patches that will be installed: CVE-2021-44228_log4j-fix_3.3.x-3.6.2 (PatchID: 3298) Files that will be installed: /opt/storageos/lib/log4j-core-2.5.jar (from CVE-2021-44228_log4j-fix_3.3.x-3.6.2) The following services will be restarted: ALL Patch Type: Standalone Number of nodes: 8 Number of seconds to wait between restarting node services: 450 Check DT status between node service restarts: true Do you wish to continue (y/n)?y [...Truncated Output of each node Distributing files and restarting services...] Distributing files to node 1xx.xxx.xx.xx Distributing patch installer to node '1xx.xxx.xx.xx' Restarting services on 1xx.xxx.xx.xx Restarting all services Waiting 180 seconds for services to stabilize... [...Truncated Output of each node Distributing files and restarting services...] Stopping ViPR services..done Services status 3: stat georeceiver eventsvc blobsvc dataheadsvc blobsvc-perf blobsvc-fi resourcesvc resourcesvc-perf resourcesvc-fi rm cm ssm objcontrolsvc metering sr storageserver nvmeengine nvmetargetviewer dtquery dtsm vnest coordinatorsvc ecsportalsvc transformsvc Setting up SSL certificates ...done Starting ViPR services..done Waiting 300 seconds for services to stabilize...DONE Patching complete. admin@node1:~>
-
Oturumdan çık Güncelleştirme işlemi yukarıdaki çıktıya göre tamamlandığında görüntülenen ekran.
Örneğin:
admin@node1:/> exit logout [screen is terminating] admin@node1:/>
Not: Yürütme devam ederken PuTTY oturumunu yanlışlıkla kapatırsanız, aynı düğümde tekrar oturum açarak yeniden bağlanın ve aşağıdaki komutu çalıştırın:Komut:
# screen -ls
admin@node 1:~> screen -ls There is a screen on: 114475.pts-0.ecs-n3 (Detached) 1 Socket in /var/run/uscreens/S-admin.Önceki çıktıdan Ayrılmış oturuma yeniden ekleyin.
admin@node1:~> screen -r 114475.pts-0.ecs-n3
4. Düzeltmenin uygulandığını onaylayın.
-
Aşağıdaki çıktı, düzeltmenin uygulandığı bir sistemden alınmıştır.
Komut:
# /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/svc_patch status
Örneğin:
admin@node1:/> /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/svc_patch status svc_patch Version 2.9.1 Verifying patch bundle consistency DONE Detecting nodes in current VDC DONE Reading in patch details (1 of 2) DONE Reading in patch details (2 of 2) DONE Validating nodes are online DONE Checking Installed Patches and Dependencies DONE Patches/releases currently installed: CVE-2021-44228_log4j-fix_3.3.x-3.6.2 (PatchID: 3298) Fixes for Log4j vulnerabilities CVE-2021-44228 and CVE-2021-45046 Patches that need to be installed: No files need to be installed. The following services need to be restarted: No services need to be restarted. -
Aşağıdaki çıktı, düzeltmenin uygulanmadığı bir sisteme aittir.
Örneğin:
admin@node1:/> /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/svc_patch status svc_patch Version 2.9.1 Verifying patch bundle consistency DONE Detecting nodes in current VDC DONE Reading in patch details (1 of 2) DONE Reading in patch details (2 of 2) DONE Validating nodes are online DONE Checking Installed Patches and Dependencies DONE Patches/releases currently installed: [ None detected ] Patches that need to be installed: CVE-2021-44228_log4j-fix_3.3.x-3.6.2 (PatchID: 3298) Files that need to be installed: /opt/storageos/lib/log4j-core-2.5.jar (from CVE-2021-44228_log4j-fix_3.3.x-3.6.2) The following services need to be restarted: ALL
Sorun Giderme:
-
DT kararlılığını sağlama çok uzun sürüyor
-
DT stabilizasyonu varsayılan 7,5 dakikadan daha uzun sürüyorsa, svc_patch uygulama yama işlemine devam etmenizi veya durdurmanızı ister.
Örneğin:
admin@node1:~> /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/svc_patch install [...Truncated Output of each node Distributing files and restarting services...] Restarting services on 1xx.xx.xx.xx Restarting all services Waiting 180 seconds for services to stabilize...DONE Waiting for DTs to come online ERROR: DT Check failed. DTs did not come ready or could not be checked after several passes. Do you wish to continue anyway (y/n)?
-
Başka bir düğümde PuTTY oturumu açın ve "Unready #" sütunundaki DT'leri kontrol etmek için svc_dt komutu çalıştırın. "0" değeri yoksa 15 dakika bekleyin ve denetimi yeniden çalıştırın. Hazır olmayan DT'ler olduğunda svc_patch oturumuna geri dönün. "y" ile yanıtlayın ve devam edin. svc_dt "Unready #" DT'lerdeki değerleri listelemeye devam ederse ECS destek ekibiyle iletişime geçip bir servis isteği oluşturun.
Komut:
# svc_dt check -b
Örneğin:
admin@node1:~> svc_dt check -b svc_dt v1.0.25 (svc_tools v2.0.2) Started 2021-12-15 17:18:52 Date Total DT Unknown # Unready # RIS Fail # Dump Fail # Check type Time since check Check successful 2021-12-15 17:17:54 1920 0 0 0 0 AutoCheck 0m 58s True 2021-12-15 17:16:44 1920 0 0 0 0 AutoCheck 2m 8s True 2021-12-15 17:16:10 1920 0 0 0 0 Manual Check 2m 42s True 2021-12-15 17:15:34 1920 0 0 0 0 AutoCheck 3m 18s True 2021-12-15 17:14:24 1920 0 0 0 0 AutoCheck 4m 28s True 2021-12-15 17:13:13 1920 0 0 0 0 AutoCheck 5m 39s True 2021-12-15 17:12:03 1920 0 0 0 0 AutoCheck 6m 49s True 2021-12-15 17:10:53 1920 0 0 0 0 AutoCheck 7m 59s True 2021-12-15 17:09:43 1920 0 0 0 0 AutoCheck 9m 9s True 2021-12-15 17:08:32 1920 0 0 0 0 AutoCheck 10m 20s True
-
-
Ekranda çalıştırılmadığı ve PuTTY oturumu zamanından önce sona erdiği için tüm hizmetler tüm düğümlerde yeniden başlatılmaz.
Örneğin: Yeniden oturum açıldıktan sonra altı düğümden dördünde hizmetler yeniden başlatıldı. Aşağıda vurgulanan 5. ve 6. düğümlere bakın.
admin@node1:~> /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/svc_patch status svc_patch Version 2.9.1 Verifying patch bundle consistency DONE Detecting nodes in current VDC DONE Reading in patch details (1 of 2) DONE Reading in patch details (2 of 2) DONE Validating nodes are online DONE Checking Installed Patches and Dependencies DONE All nodes currently do not have the same patches installed. Patches/releases currently installed: 169.254.1.1: CVE-2021-44228_45046_log4j-fix 169.254.1.2: CVE-2021-44228_45046_log4j-fix 169.254.1.3: CVE-2021-44228_45046_log4j-fix 169.254.1.4: CVE-2021-44228_45046_log4j-fix 169.254.1.5: CVE-2021-44228_45046_log4j-fix 169.254.1.6: CVE-2021-44228_45046_log4j-fix Patches that need to be installed: 169.254.1.1: <None> 169.254.1.2: <None> 169.254.1.3: <None> 169.254.1.4: <None> 169.254.1.5: <None> 169.254.1.6: <None> Files that need to be installed: 169.254.1.1: <None> 169.254.1.2: <None> 169.254.1.3: <None> 169.254.1.4: <None> 169.254.1.5: <None> 169.254.1.6: <None> Services that need to be restarted: 169.254.1.1: <None> 169.254.1.2: <None> 169.254.1.3: <None> 169.254.1.4: <None> 169.254.1.5: ALL 169.254.1.6: ALL admin@ecsnode1:~>Çözünürlük:
Prosedürü yeniden çalıştırın ve başlangıçta eksik olan kalan düğümlerin hizmetleri yeniden başlatılır. İlk seferde hizmetleri yeniden başlatılan düğümler aynı kalır.admin@node1:~> /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/svc_patch install svc_patch Version 2.9.1 Verifying patch bundle consistency DONE Detecting nodes in current VDC DONE Reading in patch details (1 of 2) DONE Reading in patch details (2 of 2) DONE Validating nodes are online DONE Checking Installed Patches and Dependencies DONE All nodes currently do not have the same patches installed. Patches/releases currently installed: 169.254.1.1: CVE-2021-44228_45046_log4j-fix 169.254.1.2: CVE-2021-44228_45046_log4j-fix 169.254.1.3: CVE-2021-44228_45046_log4j-fix 169.254.1.4: CVE-2021-44228_45046_log4j-fix 169.254.1.5: CVE-2021-44228_45046_log4j-fix 169.254.1.6: CVE-2021-44228_45046_log4j-fix Patches that will be installed: 169.254.1.1: <None> 169.254.1.2: <None> 169.254.1.3: <None> 169.254.1.4: <None> 169.254.1.5: <None> 169.254.1.6: <None> Files that will be installed: 169.254.1.1: <None> 169.254.1.2: <None> 169.254.1.3: <None> 169.254.1.4: <None> 169.254.1.5: <None> 169.254.1.6: <None> Services that will be restarted: 169.254.1.1: <None> 169.254.1.2: <None> 169.254.1.3: <None> 169.254.1.4: <None> 169.254.1.5: ALL 169.254.1.6: ALL Patch Type: Standalone Number of nodes: 8 Number of seconds to wait between restarting node services: 450 Check DT status between node service restarts: true Do you wish to continue (y/n)?y No files to install on 169.254.1.1 Distributing patch installer to node '169.254.1.1' No files to install on 169.254.1.2 Distributing patch installer to node '169.254.1.2' No files to install on 169.254.1.3 Distributing patch installer to node '169.254.1.3' No files to install on 169.254.1.4 Distributing patch installer to node '169.254.1.4' No files to install on 169.254.1.5 Distributing patch installer to node '169.254.1.5' No files to install on 169.254.1.6 Distributing patch installer to node '169.254.1.6' No services to restart on 169.254.1.1 No services to restart on 169.254.1.2 No services to restart on 169.254.1.3 No services to restart on 169.254.1.4 Restarting services on 169.254.1.5 Restarting all services Waiting 450 seconds for services to stabilize...DONE Waiting for DTs to come online Restarting services on 169.254.1.6 Restarting all services Waiting 450 seconds for services to stabilize...DONE Waiting for DTs to come online Patching complete. admin@ecsnode1:~> -
Yama uygulanırken ana bilgisayar bilinen ana bilgisayarlar listesine eklenemedi.
Örneğin:
svc_patch Version 2.9.1 Verifying patch bundle consistency DONE Detecting nodes in current VDC DONE Reading in patch details (1 of 2) DONE Reading in patch details (2 of 2) DONE Validating nodes are online FAILED ERROR: Could not execute commands on the object-main container on 169.254.x.x Output was 'Failed to add the host to the list of known hosts (/home/admin/.ssh/known_hosts). :patchtest:' Patching is unable to continue with unreachable nodes. To proceed: - Resolve problems accessing node(s) from this one. - Manually pass a MACHINES file containing the list of working nodes to patch (not recommended). - Contact your next level of support for other options or assistance.
Çözünürlük:
Bunun nedeni, /home/admin/.ssh/known_hosts dosyasının kullanıcısının varsayılan olarak yönetici olması gereken kök olması olabilir.Örneğin:
admin@node1:~> ls -l /home/admin/.ssh/known_hosts -rw------- 1 root root 1802 Jul 23 2019 /home/admin/.ssh/known_hosts admin@ecs:~>
Sorunu başka bir PuTTY oturumundan çözmek için bildirilen düğüm veya düğümlerde oturum açın ve bildirilen tüm düğümlerde aşağıdaki komutu kullanarak kullanıcıyı kök kullanıcı olarak bulunduğu düğümlerde yönetici olarak değiştirin:
Komut:
# sudo chown admin:users /home/admin/.ssh/known_hosts
Örneğin:
admin@node1:~> sudo chown admin:users /home/admin/.ssh/known_hosts
Şimdi svc_patch komutu yeniden çalıştırın ve komutu geçmelidir.
admin@node1:~> /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/svc_patch install
-
/home/admin/.ssh/known_hosts içindeki yanlış ana bilgisayar anahtarı nedeniyle 169.254.x.x üzerinde object-main kapsayıcısında komutlar çalıştırılamadı.
Örneğin:
svc_patch Version 2.9.1 Verifying patch bundle consistency DONE Detecting nodes in current VDC DONE Reading in patch details (1 of 2) DONE Reading in patch details (2 of 2) DONE Validating nodes are online FAILED ERROR: Could not execute commands on the object-main container on 169.254.x.x Output was '@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ @ WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED! @ @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY! Someone could be eavesdropping on you right now (man-in-the-middle attack)! It is also possible that a host key has just been changed. The fingerprint for the ECDSA key sent by the remote host is SHA256:RcwOsFj7zPA5p5kSeYovF4UlZTm125nLVeCL1zCqOzc. Please contact your system administrator. Add correct host key in /home/admin/.ssh/known_hosts to get rid of this message. Offending ECDSA key in /home/admin/.ssh/known_hosts:14 You can use following command to remove the offending key: ssh-keygen -R 169.254.x.x -f /home/admin/.ssh/known_hosts Password authentication is disabled to avoid man-in-the-middle attacks. Keyboard-interactive authentication is disabled to avoid man-in-the-middle attacks. :patchtest:' Patching is unable to continue with unreachable nodes. To proceed: - Resolve problems accessing node(s) from this one. - Manually pass a MACHINES file containing the list of working nodes to patch (not recommended). - Contact your next level of support for other options or assistance.
Çözünürlük:
Çözüm için ECS desteğiyle iletişime geçin. -
Bu yamayı uygulamak için xDoctor sürüm 4.8-85.0 ı kullanırken md5sum değerinin svc_base.py ile eşleşmediğini belirten bir uyarı alabilirsiniz:
# /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/svc_patch status svc_patch Version 2.9.1 Verifying patch bundle consistency FAILED Patch bundle onsistency check failed - md5sums for one or more files in the patch bundle were invalid, or files were not found. svc_patch will attempt to validate files in the patch using MD5SUMS.bundle, which is bundled with the patch. Output from md5sum was: ./lib/libs/svc_base.py: FAILED md5sum: WARNING: 1 computed checksum did NOT match
Çözünürlük:
md5sum u güncelleştirmek için yamayı uygulamadan önce aşağıdaki komutları çalıştırın:# sudo sed -i '/svc_base.py/d' /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/MD5SUMS.bundle # sudo sed -i '/MD5SUMS.bundle/d' /opt/emc/xdoctor/.xdr_chksum
Affected Products
Elastic Cloud StorageProducts
ECS, ECS ApplianceArticle Properties
Article Number: 000194467
Article Type: Solution
Last Modified: 02 Dec 2025
Version: 28
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.