ECS: Рішення ECS для вразливості Apache Log4j Remote Code Execution
Summary: Apache Log4j security vulnerability
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Ідентифікатор CVE CVE-2021-44228
Ідентифікатор CVE CVE_2021-45046
Публікація Apache: Віддалене виконання коду Apache Log4j
Cause
Apache Log4j security vulnerability
Resolution
Хто має проводити цю процедуру?
Dell просить клієнтів виконати цю процедуру оновлення xDoctor і встановлення патчу. Це найшвидший і найбезпечніший спосіб, оскільки він уникає тривалого впливу цієї вразливості апачів. Усі кроки детально описані в цій базі знань. Також є відеогайд, який можна супроводжувати цю базу знань (KB), що знаходиться за посиланням нижче.
Відео: Apache-Log4j
Вплив процедури:
Очікуйте можливих тайм-аутів введення/виведення під час відновлення сервісів. Додатки, що отримують доступ до кластера, повинні вміти обробляти тайм-аут введення/виведення. Рекомендується використовувати період технічного обслуговування під час виконання цієї процедури.
Час, витрачений на виконання діяльності (приблизно):
Приблизно 7-хвилинна затримка встановлюється за замовчуванням для кожного вузла між перезапуском сервісу. Кількість вузлів у Віртуальному дата-центрі (VDC) помножена на 7 хвилин + 60 хвилин для підготовки, стабілізації DT та необхідних постперевірок.
Приклади:
Система VDC з 48 вузлами може займати приблизно 6,5 годин:
7,5 хвилин X 48 (кількість вузлів VDC) + 30 хвилин (підготовка) = 6,5 годин або 390 хвилин
Восьмивузлова система VDC може займати приблизно 1,5 години:
7,5 хвилин X 8 (кількість вузлів VDC) + 30 хвилин (підготовка) = 1,5 години або 90 хвилин
Поширені запитання (FAQ):
Q: Чи є патч частиною релізу xDoctor?
Відповідь: Скрипт встановлення патчу є частиною версії xDoctor 4.8-79.1 і вище. Інструкції щодо завантаження xDoctor і виконання встановлення патчу наведені на етапах розв'язання.
Питання: Чи можу я оновлювати кілька VDC одночасно?
Відповідь: Ні. Патч 1 VDC за раз.
Q: Чи можу я застосувати цей патч до ECS з кодом версії 3.2.x або раннішою?
Відповідь: Ні, цей патч стосується лише версій ECS 3.3.x - 3.6.x. Відкрийте запит на сервіс, щоб запланувати оновлення для попередніх версій.
Q: Якщо я оновлю ECS після проведення цієї процедури, чи варто повторювати процедуру після оновлення?
Відповідь: Ні, якщо оновлення до версії коду, вказаної в DSA-2021-273, яка має постійне виправлення. Так, якщо оновлюється до версії коду , не визначеної в цьому ж DSA.
Q: Чи вимагає патч повторного застосування на системі, де він був встановлений раніше, після заміни, переобразу або розширення вузла?
Відповідь: Ні, якщо VDC знаходиться на версії коду, зазначеній у DSA-2021-273. Так, якщо виконувати будь-яку з цих дій проти VDC, що працює з версією коду, не визначеною в цьому ж DSA. Якщо для таких ситуацій потрібен патч, інженер Dell зв'язується з вами, щоб повідомити, що потрібне оновлення.
Q: Якого користувача слід увійти, щоб виконувати всі команди в цій базі знань?
Відповідь: Адміністратора
Q: Чи потрібно svc_patch запускати на всіх стійках чи зі спеціалізованим файлом MACHINES, де кілька реків у VDC?
Відповідь: Ні, він автоматично визначає, якщо існує кілька реків, і оновлює всі вузли на всіх стійках на цьому VDC.
Q: Я помітив, що цільовий реліз xDoctor тепер 4.8-79.1, а не 4.8-79.0. Чому?
Відповідь: Релізи xDoctor трапляються часто, тому завжди рекомендується оновлювати версію до найвищої версії. Якщо ж ви раніше запускали Apache fix з 4.8-79.0, тоді система повністю захищена від цієї вразливості і не потребує повторного запуску.
Резюме резолюції:
- Оновіть своє програмне забезпечення ECS xDoctor до версій 4.8.-79.1 або новішої
- Запускайте Prechecks.
- Застосуйте системний патч за допомогою інструменту svc_patch, що йде в комплекті з xDoctor.
- Переконайтеся, що виправлення застосовано.
- Виправлення неполадок.
Кроки вирішення:
1. Оновіть програмне забезпечення ECS xDoctor до найновішої доступної версії.
-
Перевірте версію xDoctor, що працює на вашій системі. Якщо версія 4.8-79.1 або новіша, перейдіть до кроку 2 «Запустити попередні перевірки». Якщо ні, продовжуйте кроки нижче.
Команда:
# sudo xdoctor --version
Приклад:
admin@node1:~> sudo xdoctor --version 4.8-79.1
- Увійдіть на сайт підтримки, підключіться безпосередньо до посилання для завантаження, знайдіть xDoctor за ключовим словом і натисніть посилання xDoctor RPM для завантаження. Щоб переглянути нотатки до релізу, перейдіть за ReleaseNotes, оберіть Посібники та документи з бічної панелі, де вони мають бути доступні для завантаження.
- Після завантаження RPM використовуйте будь-яку віддалену SCP-програму, щоб завантажити файл до каталогу /home/admin на першому вузлі ECS.
- Після завершення завантаження SSH на перший вузол системи ECS за допомогою адміністратора.
-
Оновіть xDoctor на всіх вузлах з новою розповсюдженою версією.
Команда:
# sudo xdoctor --upgrade --local=/home/admin/xDoctor4ECS-4.8-79.1.noarch.rpm
Приклад:
admin@node1:~> sudo xdoctor --upgrade --local=/home/admin/xDoctor4ECS-4.8-79.1.noarch.rpm 2021-12-20 12:06:11,358: xDoctor_4.8-78.2 - INFO : xDoctor Upgrader Instance (2:FTP_SFTP) 2021-12-20 12:06:11,358: xDoctor_4.8-78.2 - INFO : Local Upgrade (/home/admin/xDoctor4ECS-4.8-79.1.noarch.rpm) 2021-12-20 12:06:11,392: xDoctor_4.8-78.2 - INFO : Current Installed xDoctor version is 4.8-78.2 2021-12-20 12:06:11,429: xDoctor_4.8-78.2 - INFO : Requested package version is 4.8-79.1 2021-12-20 12:06:11,430: xDoctor_4.8-78.2 - INFO : Updating xDoctor RPM Package (RPM) 2021-12-20 12:06:11,482: xDoctor_4.8-78.2 - INFO : - Distribute package 2021-12-20 12:06:12,099: xDoctor_4.8-78.2 - INFO : - Install new rpm package 2021-12-20 12:06:37,829: xDoctor_4.8-78.2 - INFO : xDoctor successfully updated to version 4.8-79.1
-
Якщо середовище є мультиrack VDC, новий пакет xDoctor має бути встановлений на першому вузлі кожного река. Щоб ідентифікувати ці основні стійки, виконайте команду нижче. У цьому випадку виділено чотири стійки та чотири основні стійки.
-
Команда:
# svc_exec -m "ip address show private.4 |grep -w inet"
Приклад:
admin@ecsnode1~> svc_exec -m "ip address show private.4 |grep -w inet" svc_exec v1.0.2 (svc_tools v2.1.0) Started 2021-12-20 14:03:33 Output from node: r1n1 retval: 0 inet 169.254.1.1/16 brd 169.254.255.255 scope global private.4 Output from node: r2n1 retval: 0 inet 169.254.2.1/16 brd 169.254.255.255 scope global private.4 Output from node: r3n1 retval: 0 inet 169.254.3.1/16 brd 169.254.255.255 scope global private.4 Output from node: r4n1 retval: 0 inet 169.254.4.1/16 brd 169.254.255.255 scope global private.4 -
Скопіюйте пакет з першого вузла системи (R1N1) на інші основні стійки нижче:
Приклад:
admin@ecsnode1~> scp xDoctor4ECS-4.8-79.1.noarch.rpm 169.254.2.1:/home/admin/ xDoctor4ECS-4.8-79.1.noarch.rpm 100% 32MB 31.9MB/s 00:00 admin@ecsnode1~> scp xDoctor4ECS-4.8-79.1.noarch.rpm 169.254.3.1:/home/admin/ xDoctor4ECS-4.8-79.1.noarch.rpm 100% 32MB 31.9MB/s 00:00 admin@ecsnode1~> scp xDoctor4ECS-4.8-79.1.noarch.rpm 169.254.4.1:/home/admin/ xDoctor4ECS-4.8-79.1.noarch.rpm 100% 32MB 31.9MB/s 00:00 admin@ecsnode1~>
-
На кроці e вище виконайте ту ж команду встановлення xDoctor на кожному з вищезазначених основних река, які були ідентифіковані раніше.
Команда:
# sudo xdoctor --upgrade --local=/home/admin/xDoctor4ECS-4.8-79.1.noarch.rpm
-
2. Запускайте Prechecks.
-
Використовуйте команду svc_dt, щоб перевірити, чи стабільні DT. DT стабільні, якщо стовпець "Unready #" показує 0. Якщо так, переходьте до наступної перевірки. Якщо ні, зачекайте 15 хвилин і перевірте ще раз. Якщо DT не стабілізувалися, відкрийте запит на сервіс у службі підтримки ECS.
Команда:
# svc_dt check -b
Приклад:
admin@node1:~> svc_dt check -b svc_dt v1.0.25 (svc_tools v2.0.2) Started 2021-12-16 16:44:51 Date Total DT Unknown # Unready # RIS Fail # Dump Fail # Check type Time since check Check successful 2021-12-16 16:43:44 2432 0 0 0 0 AutoCheck 1m 7s True 2021-12-16 16:42:33 2432 0 0 0 0 AutoCheck 2m 18s True 2021-12-16 16:41:23 2432 0 0 0 0 AutoCheck 3m 28s True 2021-12-16 16:40:13 2432 0 0 0 0 AutoCheck 4m 38s True 2021-12-16 16:39:02 2432 0 0 0 0 AutoCheck 5m 49s True 2021-12-16 16:37:52 2432 0 0 0 0 AutoCheck 6m 59s True 2021-12-16 16:36:42 2432 0 0 0 0 AutoCheck 8m 9s True 2021-12-16 16:35:31 2432 0 0 0 0 AutoCheck 9m 20s True 2021-12-16 16:34:21 2432 0 0 0 0 AutoCheck 10m 30s True 2021-12-16 16:33:11 2432 0 0 0 0 AutoCheck 11m 40s True
-
Використайте команду svc_patch, щоб перевірити, що всі вузли онлайн. Якщо так, переходьте до наступного кроку. Якщо ні — перевірте причину, відновіть роботу і перевірте ще раз. Якщо вузол не вдається запустити онлайн, відкрийте запит на сервіс у службі підтримки ECS для розслідування.
Команда:
# /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/svc_patch status
Приклад:
admin@node1:~> /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/svc_patch status svc_patch Version 2.9.1 Verifying patch bundle consistency DONE Detecting nodes in current VDC DONE Reading in patch details (1 of 2) DONE Reading in patch details (2 of 2) DONE Validating nodes are online DONE Checking Installed Patches and Dependencies DONE Patches/releases currently installed: [ None detected ] Patches that need to be installed: CVE-2021-44228_log4j-fix_3.3.x-3.6.2 (PatchID: 3298) Files that need to be installed: /opt/storageos/lib/log4j-core-2.5.jar (from CVE-2021-44228_log4j-fix_3.3.x-3.6.2) The following services need to be restarted: ALL
3. Застосуйте системний патч за допомогою інструменту svc_patch, що йде в комплекті з xDoctor.
-
Виконайте команду svc_patch, введіть "y" і натисніть клавішу Enter, коли потрібно встановити патч. Команда може запускатися на будь-якому вузлі ECS.
Команди:
# screen -S patchinstall
# unset TMOUT
# /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/svc_patch install
Приклад:
Примітка: У наведеному нижче наведено запрошення до наступного виконання.admin@node1:~> screen -S patchinstall admin@node1:~> unset TMOUT admin@node1:~> /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/svc_patch install svc_patch Version 2.9.1 Verifying patch bundle consistency DONE Detecting nodes in current VDC DONE Reading in patch details (1 of 2) DONE Reading in patch details (2 of 2) DONE Validating nodes are online DONE Checking Installed Patches and Dependencies DONE Patches/releases currently installed: [ None detected ] Patches that will be installed: CVE-2021-44228_log4j-fix_3.3.x-3.6.2 (PatchID: 3298) Files that will be installed: /opt/storageos/lib/log4j-core-2.5.jar (from CVE-2021-44228_log4j-fix_3.3.x-3.6.2) The following services will be restarted: ALL Patch Type: Standalone Number of nodes: 8 Number of seconds to wait between restarting node services: 450 Check DT status between node service restarts: true Do you wish to continue (y/n)?y [...Truncated Output of each node Distributing files and restarting services...] Distributing files to node 1xx.xxx.xx.xx Distributing patch installer to node '1xx.xxx.xx.xx' Restarting services on 1xx.xxx.xx.xx Restarting all services Waiting 180 seconds for services to stabilize... [...Truncated Output of each node Distributing files and restarting services...] Stopping ViPR services..done Services status 3: stat georeceiver eventsvc blobsvc dataheadsvc blobsvc-perf blobsvc-fi resourcesvc resourcesvc-perf resourcesvc-fi rm cm ssm objcontrolsvc metering sr storageserver nvmeengine nvmetargetviewer dtquery dtsm vnest coordinatorsvc ecsportalsvc transformsvc Setting up SSL certificates ...done Starting ViPR services..done Waiting 300 seconds for services to stabilize...DONE Patching complete. admin@node1:~>
-
Екран виходу з сесії після завершення оновлення згідно з наведеним вище результатом.
Приклад:
admin@node1:/> exit logout [screen is terminating] admin@node1:/>
Примітка: Якщо ви випадково закриєте сесію PuTTY під час виконання, підключіть її знову, увійшовши назад у той самий вузол, і виконайте наступну команду:Команда:
# screen -ls
admin@node 1:~> screen -ls There is a screen on: 114475.pts-0.ecs-n3 (Detached) 1 Socket in /var/run/uscreens/S-admin.Знову приєднатися до відокремленої сесії з попереднього результату.
admin@node1:~> screen -r 114475.pts-0.ecs-n3
4. Переконайтеся, що виправлення застосовано.
-
Нижче показаний результат взято з системи, де фіксація вже застосована.
Команда:
# /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/svc_patch status
Приклад:
admin@node1:/> /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/svc_patch status svc_patch Version 2.9.1 Verifying patch bundle consistency DONE Detecting nodes in current VDC DONE Reading in patch details (1 of 2) DONE Reading in patch details (2 of 2) DONE Validating nodes are online DONE Checking Installed Patches and Dependencies DONE Patches/releases currently installed: CVE-2021-44228_log4j-fix_3.3.x-3.6.2 (PatchID: 3298) Fixes for Log4j vulnerabilities CVE-2021-44228 and CVE-2021-45046 Patches that need to be installed: No files need to be installed. The following services need to be restarted: No services need to be restarted. -
Нижче показаний результат взятий із системи, де фіксація не була застосована.
Приклад:
admin@node1:/> /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/svc_patch status svc_patch Version 2.9.1 Verifying patch bundle consistency DONE Detecting nodes in current VDC DONE Reading in patch details (1 of 2) DONE Reading in patch details (2 of 2) DONE Validating nodes are online DONE Checking Installed Patches and Dependencies DONE Patches/releases currently installed: [ None detected ] Patches that need to be installed: CVE-2021-44228_log4j-fix_3.3.x-3.6.2 (PatchID: 3298) Files that need to be installed: /opt/storageos/lib/log4j-core-2.5.jar (from CVE-2021-44228_log4j-fix_3.3.x-3.6.2) The following services need to be restarted: ALL
Виправлення неполадок:
-
Стабілізація DT займає надто багато часу
-
Якщо стабілізація DT триває більше часу, ніж стандартні 7,5 хвилини, svc_patch додаток підказує продовжити або припинити процес патчу.
Приклад:
admin@node1:~> /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/svc_patch install [...Truncated Output of each node Distributing files and restarting services...] Restarting services on 1xx.xx.xx.xx Restarting all services Waiting 180 seconds for services to stabilize...DONE Waiting for DTs to come online ERROR: DT Check failed. DTs did not come ready or could not be checked after several passes. Do you wish to continue anyway (y/n)?
-
Відкрийте сесію PuTTY на іншому вузлі та виконайте svc_dt команду для перевірки DT у стовпці "Unready #". Якщо немає значень «0», зачекайте 15 хвилин і перевірте ще раз. Повертайтеся до сесії з svc_patch, коли немає неготових DT. Відповідайте «y» і продовжуйте. Якщо svc_dt продовжує вказувати значення у «Unready #» DT, відкрийте запит на сервіс у команді підтримки ECS.
Команда:
# svc_dt check -b
Приклад:
admin@node1:~> svc_dt check -b svc_dt v1.0.25 (svc_tools v2.0.2) Started 2021-12-15 17:18:52 Date Total DT Unknown # Unready # RIS Fail # Dump Fail # Check type Time since check Check successful 2021-12-15 17:17:54 1920 0 0 0 0 AutoCheck 0m 58s True 2021-12-15 17:16:44 1920 0 0 0 0 AutoCheck 2m 8s True 2021-12-15 17:16:10 1920 0 0 0 0 Manual Check 2m 42s True 2021-12-15 17:15:34 1920 0 0 0 0 AutoCheck 3m 18s True 2021-12-15 17:14:24 1920 0 0 0 0 AutoCheck 4m 28s True 2021-12-15 17:13:13 1920 0 0 0 0 AutoCheck 5m 39s True 2021-12-15 17:12:03 1920 0 0 0 0 AutoCheck 6m 49s True 2021-12-15 17:10:53 1920 0 0 0 0 AutoCheck 7m 59s True 2021-12-15 17:09:43 1920 0 0 0 0 AutoCheck 9m 9s True 2021-12-15 17:08:32 1920 0 0 0 0 AutoCheck 10m 20s True
-
-
Всі сервіси не перезавантажуються на всіх вузлах, бо не запускаються на екрані, і сесія PuTTY завершується передчасно.
Приклад: Сервіси перезавантажувалися на чотирьох із шести вузлів після повторного входу. Дивіться нижче виділені вузли 5 і 6.
admin@node1:~> /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/svc_patch status svc_patch Version 2.9.1 Verifying patch bundle consistency DONE Detecting nodes in current VDC DONE Reading in patch details (1 of 2) DONE Reading in patch details (2 of 2) DONE Validating nodes are online DONE Checking Installed Patches and Dependencies DONE All nodes currently do not have the same patches installed. Patches/releases currently installed: 169.254.1.1: CVE-2021-44228_45046_log4j-fix 169.254.1.2: CVE-2021-44228_45046_log4j-fix 169.254.1.3: CVE-2021-44228_45046_log4j-fix 169.254.1.4: CVE-2021-44228_45046_log4j-fix 169.254.1.5: CVE-2021-44228_45046_log4j-fix 169.254.1.6: CVE-2021-44228_45046_log4j-fix Patches that need to be installed: 169.254.1.1: <None> 169.254.1.2: <None> 169.254.1.3: <None> 169.254.1.4: <None> 169.254.1.5: <None> 169.254.1.6: <None> Files that need to be installed: 169.254.1.1: <None> 169.254.1.2: <None> 169.254.1.3: <None> 169.254.1.4: <None> 169.254.1.5: <None> 169.254.1.6: <None> Services that need to be restarted: 169.254.1.1: <None> 169.254.1.2: <None> 169.254.1.3: <None> 169.254.1.4: <None> 169.254.1.5: ALL 169.254.1.6: ALL admin@ecsnode1:~>Резолюція:
Запусти процедуру знову, і решта вузлів, які спочатку були пропущені, перезапусти їхні сервіси. Оригінальні вузли, де сервіси були перезапущені, залишилися недоторканими.admin@node1:~> /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/svc_patch install svc_patch Version 2.9.1 Verifying patch bundle consistency DONE Detecting nodes in current VDC DONE Reading in patch details (1 of 2) DONE Reading in patch details (2 of 2) DONE Validating nodes are online DONE Checking Installed Patches and Dependencies DONE All nodes currently do not have the same patches installed. Patches/releases currently installed: 169.254.1.1: CVE-2021-44228_45046_log4j-fix 169.254.1.2: CVE-2021-44228_45046_log4j-fix 169.254.1.3: CVE-2021-44228_45046_log4j-fix 169.254.1.4: CVE-2021-44228_45046_log4j-fix 169.254.1.5: CVE-2021-44228_45046_log4j-fix 169.254.1.6: CVE-2021-44228_45046_log4j-fix Patches that will be installed: 169.254.1.1: <None> 169.254.1.2: <None> 169.254.1.3: <None> 169.254.1.4: <None> 169.254.1.5: <None> 169.254.1.6: <None> Files that will be installed: 169.254.1.1: <None> 169.254.1.2: <None> 169.254.1.3: <None> 169.254.1.4: <None> 169.254.1.5: <None> 169.254.1.6: <None> Services that will be restarted: 169.254.1.1: <None> 169.254.1.2: <None> 169.254.1.3: <None> 169.254.1.4: <None> 169.254.1.5: ALL 169.254.1.6: ALL Patch Type: Standalone Number of nodes: 8 Number of seconds to wait between restarting node services: 450 Check DT status between node service restarts: true Do you wish to continue (y/n)?y No files to install on 169.254.1.1 Distributing patch installer to node '169.254.1.1' No files to install on 169.254.1.2 Distributing patch installer to node '169.254.1.2' No files to install on 169.254.1.3 Distributing patch installer to node '169.254.1.3' No files to install on 169.254.1.4 Distributing patch installer to node '169.254.1.4' No files to install on 169.254.1.5 Distributing patch installer to node '169.254.1.5' No files to install on 169.254.1.6 Distributing patch installer to node '169.254.1.6' No services to restart on 169.254.1.1 No services to restart on 169.254.1.2 No services to restart on 169.254.1.3 No services to restart on 169.254.1.4 Restarting services on 169.254.1.5 Restarting all services Waiting 450 seconds for services to stabilize...DONE Waiting for DTs to come online Restarting services on 169.254.1.6 Restarting all services Waiting 450 seconds for services to stabilize...DONE Waiting for DTs to come online Patching complete. admin@ecsnode1:~> -
Не вдалося додати хост до списку відомих хостів під час застосування патчу.
Приклад:
svc_patch Version 2.9.1 Verifying patch bundle consistency DONE Detecting nodes in current VDC DONE Reading in patch details (1 of 2) DONE Reading in patch details (2 of 2) DONE Validating nodes are online FAILED ERROR: Could not execute commands on the object-main container on 169.254.x.x Output was 'Failed to add the host to the list of known hosts (/home/admin/.ssh/known_hosts). :patchtest:' Patching is unable to continue with unreachable nodes. To proceed: - Resolve problems accessing node(s) from this one. - Manually pass a MACHINES file containing the list of working nodes to patch (not recommended). - Contact your next level of support for other options or assistance.
Резолюція:
Причина може бути в тому, що користувач файлу /home/admin/.ssh/known_hosts був root, який за замовчуванням має бути адміном.Приклад:
admin@node1:~> ls -l /home/admin/.ssh/known_hosts -rw------- 1 root root 1802 Jul 23 2019 /home/admin/.ssh/known_hosts admin@ecs:~>
Щоб усунути проблему з іншої сесії PuTTY, увійдіть у вказаний вузол або вузли та змініть користувача на адміністратора на тих вузлах, де він присутній як кореневий користувач, за допомогою наведеної команди на всіх зазначених вузлах:
Команда:
# sudo chown admin:users /home/admin/.ssh/known_hosts
Приклад:
admin@node1:~> sudo chown admin:users /home/admin/.ssh/known_hosts
Тепер повторіть команду svc_patch ще раз, і вона має пройти.
admin@node1:~> /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/svc_patch install
-
Не вдавалося запускати команди на контейнері object-main на 169.254.x.x через неправильний ключ хоста в /home/admin/.ssh/known_hosts.
Приклад:
svc_patch Version 2.9.1 Verifying patch bundle consistency DONE Detecting nodes in current VDC DONE Reading in patch details (1 of 2) DONE Reading in patch details (2 of 2) DONE Validating nodes are online FAILED ERROR: Could not execute commands on the object-main container on 169.254.x.x Output was '@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ @ WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED! @ @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY! Someone could be eavesdropping on you right now (man-in-the-middle attack)! It is also possible that a host key has just been changed. The fingerprint for the ECDSA key sent by the remote host is SHA256:RcwOsFj7zPA5p5kSeYovF4UlZTm125nLVeCL1zCqOzc. Please contact your system administrator. Add correct host key in /home/admin/.ssh/known_hosts to get rid of this message. Offending ECDSA key in /home/admin/.ssh/known_hosts:14 You can use following command to remove the offending key: ssh-keygen -R 169.254.x.x -f /home/admin/.ssh/known_hosts Password authentication is disabled to avoid man-in-the-middle attacks. Keyboard-interactive authentication is disabled to avoid man-in-the-middle attacks. :patchtest:' Patching is unable to continue with unreachable nodes. To proceed: - Resolve problems accessing node(s) from this one. - Manually pass a MACHINES file containing the list of working nodes to patch (not recommended). - Contact your next level of support for other options or assistance.
Резолюція:
Зверніться до служби підтримки ECS для вирішення проблеми. -
При використанні версії xDoctor версії 4.8-85.0 для застосування цього патчу ви можете отримати сповіщення, що md5sum не співпадає з svc_base.py:
# /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/svc_patch status svc_patch Version 2.9.1 Verifying patch bundle consistency FAILED Patch bundle onsistency check failed - md5sums for one or more files in the patch bundle were invalid, or files were not found. svc_patch will attempt to validate files in the patch using MD5SUMS.bundle, which is bundled with the patch. Output from md5sum was: ./lib/libs/svc_base.py: FAILED md5sum: WARNING: 1 computed checksum did NOT match
Резолюція:
Запустіть наведені нижче команди перед застосуванням патчу для оновлення md5sum:# sudo sed -i '/svc_base.py/d' /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/MD5SUMS.bundle # sudo sed -i '/MD5SUMS.bundle/d' /opt/emc/xdoctor/.xdr_chksum
Affected Products
Elastic Cloud StorageProducts
ECS, ECS ApplianceArticle Properties
Article Number: 000194467
Article Type: Solution
Last Modified: 02 Dec 2025
Version: 28
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.