Skip to main content
Sign Out

Welcome to Dell

My Account
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Create and access a list of your products
Sign In Create an Account Premier Sign In Partner Program Sign In
Contact Us

Your Dell.com Baskets

ECS: ECS-løsning til sårbarhed i Apache Log4j fjernudførelse af kode

Summary: Sikkerhedssårbarhed for Apache Log4j.

This article applies to   This article does not apply to 
Check out resources for

Symptoms

CVE-identifikator CVE-2021-44228CVE-identifikator
CVE_2021-45046Apache-udgivelse

Apache Log4j Fjernudførelse af kode 

Cause

Sikkerhedssårbarhed for Apache Log4j.

Resolution

Hvem skal køre denne procedure?

Dell anmoder om denne procedure for opgradering af xDoctor og installation af patchen, som kunden skal gøre. Dette er den hurtigste og sikreste metode, da den forhindrer langvarig udsættelse for denne Apache-sårbarhed. Alle trinene er beskrevet i denne KB. Der er også en videovejledning, som kan følges for at ledsage denne KB, som findes på nedenstående link

Video: Apache-Log4j
 

Procedurepåvirkning:

Forvent mulige I/O-timeouts, mens tjenesterne genstartes. Programmer, der åbner klyngen, skal kunne håndtere I/O-timeout. Det anbefales at bruge et vedligeholdelsesvindue, når du udfører denne procedure.
 

Den tid, det tager for aktiviteten (ca.):

En forsinkelse på ca. 7 minutter indstilles som standard pr. node mellem genstart af tjenesten. Antallet af noder i et VDC (Virtual Data Center) multipliceret med 7 minutter + 60 minutter til forberedelse, DT-stabilisering og efterkontrol er påkrævet.
 
Eksempler:
Et VDC-system med 48 noder kan tage ca. 6,5 timer:
7,5 minutter x 48 (antal VDC-noder) + 30 minutter (forberedelse) = 6,5 timer eller 390 minutter.

Et VDC-system med 8 noder kan tage ca. 1,5 timer:
7,5 minutter x 8 (antal VDC-noder) + 30 minutter (forberedelse) = 1,5 timer eller 90 minutter.


Ofte stillede spørgsmål (FAQ):

Sp.: Er patchen en del af xDoctor-udgivelsen?
A: Patchens installationsscript er en del af xDoctor-version 4.8-79.1 og nyere. Instruktioner til download af xDoctor og udførelse af installation af patch findes i løsningstrinnene.

Q: Kan jeg opdatere flere VDC'er parallelt?
A: Nej, patch 1 VDC ad gangen.

Q: Kan jeg anvende denne patch på ECS, der kører kodeversion 3.2.x eller tidligere?
A: Nej, denne patch gælder kun for ECS-versionerne 3.3.x - 3.6.x. Åbn en serviceanmodning for at planlægge en opgradering til tidligere versioner.

Q: Hvis jeg opgraderer ECS efter at have kørt denne procedure, skal jeg så køre proceduren efter opgraderingen igen? 
Sv.: Nej, hvis du opgraderer til en kodeversion, der er angivet i DSA-2021-273, som har den permanente rettelse. Ja, hvis du opgraderer til en kodeversion, der ikke er angivet i den samme DSA.

Q: Skal patchen anvendes på et system, hvor den tidligere blev installeret efter en nodeudskiftning, genafbildning eller udvidelse?
A: Nej, hvis VDC har den kodeversion, der er angivet i DSA-2021-273. Ja, hvis du foretager nogen af disse handlinger mod en VDC, der kører en kodeversion, der ikke er angivet i den samme DSA. Hvor der kræves programrettelse til disse scenarier, kontakter den pågældende Dell-tekniker med henblik på at informere om, at opdateringen er påkrævetQ

Hvilken bruger skal du være logget på som for at udføre alle kommandoer i denne KB?
Sv.: adminQ:

 Skal svc_patch køres på alle racks eller med en specialiseret MACHINES-fil, hvor flere racks i en VDC?
A: Nej, det detekterer automatisk, hvis der findes flere racks, og programrettelser alle noder på alle racks på den pågældende VDC.

Q: Jeg bemærker, at xDoctor-måludgivelsen nu er 4.8-79.1 og ikke 4.8-79.0. Hvorfor?
Sv.: xDoctor-udgivelser forekommer ofte, så det anbefales altid at opgradere til den bedst udgivne version. Hvis du tidligere har kørt en apache-rettelse med 4.8-79.0, er systemet fuldt beskyttet mod sikkerhedsrisikoen og behøver ikke at køre igen.


Løsningsoversigt:

  1. Opgrader din ECS xDoctor-software til version 4.8.-79.1 eller nyere.
  2. Kør pre-checks.
  3. Anvend systemrettelsen sammen med svc_patch værktøj, der følger med xDoctor.
  4. Bekræft, at rettelsen er blevet anvendt.
  5. Fejlfinding


Løsningstrin:

  1. Opgrader din ECS xDoctor-software til den nyeste tilgængelige version.

  1. Kontroller, at xDoctor-versionen kører på dit system. Hvis versionen er 4.8-79.1 eller nyere, skal du gå til trin 2 "Kør prechecks". Hvis ikke, skal du fortsætte med nedenstående trin.
Kommando: 
# sudo xdoctor --version
 
Eksempel: 
admin@node1:~> sudo xdoctor --version 4.8-79.1
  1. Log på supportwebstedet, opret forbindelse direkte til dette downloadlink, søg efter xDoctor ved hjælp af søgeordssøgelinjen, og klik på linket xDoctor RPM for at downloade xDoctor rpm. Hvis du vil se produktbemærkningerne, skal du følge Produktbemærkninger og vælge Manualer og dokumenter fra sidepanelet, hvorfra de skulle være tilgængelige til download.

  2. Når RPM er downloadet, skal du bruge et hvilket som helst eksternt SCP-program til at overføre filen til /home/admin-mappen på den første ECS-node.

  3. Når overførslen er færdig, skal du SSH til den første node i ECS-systemet ved hjælp af admin.
  4. Opgrader xDoctor på alle noderne med den nyligt distribuerede version.
Kommando:
# sudo xdoctor --upgrade --local=/home/admin/xDoctor4ECS-4.8-79.1.noarch.rpm

Eksempel: 
admin@node1:~> sudo xdoctor --upgrade --local=/home/admin/xDoctor4ECS-4.8-79.1.noarch.rpm 2021-12-20 12:06:11,358: xDoctor_4.8-78.2 - INFO : xDoctor Upgrader Instance (2:FTP_SFTP) 2021-12-20 12:06:11,358: xDoctor_4.8-78.2 - INFO : Local Upgrade (/home/admin/xDoctor4ECS-4.8-79.1.noarch.rpm) 2021-12-20 12:06:11,392: xDoctor_4.8-78.2 - INFO : Current Installed xDoctor version is 4.8-78.2 2021-12-20 12:06:11,429: xDoctor_4.8-78.2 - INFO : Requested package version is 4.8-79.1 2021-12-20 12:06:11,430: xDoctor_4.8-78.2 - INFO : Updating xDoctor RPM Package (RPM) 2021-12-20 12:06:11,482: xDoctor_4.8-78.2 - INFO : - Distribute package 2021-12-20 12:06:12,099: xDoctor_4.8-78.2 - INFO : - Install new rpm package 2021-12-20 12:06:37,829: xDoctor_4.8-78.2 - INFO : xDoctor successfully updated to version 4.8-79.1
  1. Hvis miljøet er en VDC med flere racks, skal den nye xDoctor-pakke installeres på den første node i hver rack. For at identificere disse rack-forvalg skal du køre nedenstående kommando. I dette tilfælde er der fire racks og derfor fire rack-primaries fremhævet
  1. Kommando:
    # svc_exec -m "ip address show private.4 |grep -w inet"

    Eksempel:
admin@ecsnode1~> svc_exec -m "ip address show private.4 |grep -w inet" svc_exec v1.0.2 (svc_tools v2.1.0) Started 2021-12-20 14:03:33 Output from node: r1n1 retval: 0 inet 169.254.1.1/16 brd 169.254.255.255 scope global private.4 Output from node: r2n1 retval: 0 inet 169.254.2.1/16 brd 169.254.255.255 scope global private.4 Output from node: r3n1 retval: 0 inet 169.254.3.1/16 brd 169.254.255.255 scope global private.4 Output from node: r4n1 retval: 0 inet 169.254.4.1/16 brd 169.254.255.255 scope global private.4
  1. Kopier pakken fra systemets første node (R1N1) til de andre rack-primaries i henhold til nedenstående:
Eksempel: 
admin@ecsnode1~> scp xDoctor4ECS-4.8-79.1.noarch.rpm 169.254.2.1:/home/admin/ xDoctor4ECS-4.8-79.1.noarch.rpm 100% 32MB 31.9MB/s 00:00 admin@ecsnode1~> scp xDoctor4ECS-4.8-79.1.noarch.rpm 169.254.3.1:/home/admin/ xDoctor4ECS-4.8-79.1.noarch.rpm 100% 32MB 31.9MB/s 00:00 admin@ecsnode1~> scp xDoctor4ECS-4.8-79.1.noarch.rpm 169.254.4.1:/home/admin/ xDoctor4ECS-4.8-79.1.noarch.rpm 100% 32MB 31.9MB/s 00:00 admin@ecsnode1~>
  1. I henhold til trin e ovenfor skal du køre den samme xDoctor-installationskommando på hver af de ovenstående rack-primaries, der tidligere blev identificeret. 
Kommando:
# sudo xdoctor --upgrade --local=/home/admin/xDoctor4ECS-4.8-79.1.noarch.rpm
 

  1. Kør pre-checks

    1. Brug svc_dt kommando til at kontrollere, om DT'er er stabile. DT'er er stabile, hvis kolonnen "Unready #" viser 0. Hvis ja, skal du gå til næste kontrol. Hvis det ikke er, skal du vente 15 minutter og tjekke igen. Hvis DT'er ikke har stabiliseret sig, skal du åbne en serviceanmodning hos ECS-supportteamet.
Kommando:
# svc_dt check -b
 
Eksempel: 
admin@node1:~> svc_dt check -b svc_dt v1.0.25 (svc_tools v2.0.2) Started 2021-12-16 16:44:51 Date Total DT Unknown # Unready # RIS Fail # Dump Fail # Check type Time since check Check successful 2021-12-16 16:43:44 2432 0 0 0 0 AutoCheck 1m 7s True 2021-12-16 16:42:33 2432 0 0 0 0 AutoCheck 2m 18s True 2021-12-16 16:41:23 2432 0 0 0 0 AutoCheck 3m 28s True 2021-12-16 16:40:13 2432 0 0 0 0 AutoCheck 4m 38s True 2021-12-16 16:39:02 2432 0 0 0 0 AutoCheck 5m 49s True 2021-12-16 16:37:52 2432 0 0 0 0 AutoCheck 6m 59s True 2021-12-16 16:36:42 2432 0 0 0 0 AutoCheck 8m 9s True 2021-12-16 16:35:31 2432 0 0 0 0 AutoCheck 9m 20s True 2021-12-16 16:34:21 2432 0 0 0 0 AutoCheck 10m 30s True 2021-12-16 16:33:11 2432 0 0 0 0 AutoCheck 11m 40s True
  1. Brug svc_patch kommando til at validere, at alle noder er online. Hvis ja, skal du gå til næste trin. Hvis det ikke er, skal du undersøge årsagen, hente den tilbage og køre kontrollen igen. Hvis en node ikke kan sættes online, skal du åbne en serviceanmodning hos ECS-supportteamet for at undersøge det.
Kommando:
# /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/svc_patch status

Eksempel: 
admin@node1:~> /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/svc_patch status svc_patch Version 2.9.1 Verifying patch bundle consistency DONE Detecting nodes in current VDC DONE Reading in patch details (1 of 2) DONE Reading in patch details (2 of 2) DONE Validating nodes are online DONE Checking Installed Patches and Dependencies DONE Patches/releases currently installed: [ None detected ] Patches that need to be installed: CVE-2021-44228_log4j-fix_3.3.x-3.6.2 (PatchID: 3298) Files that need to be installed: /opt/storageos/lib/log4j-core-2.5.jar (from CVE-2021-44228_log4j-fix_3.3.x-3.6.2) The following services need to be restarted: ALL

  1. Anvend systemrettelsen sammen med svc_patch værktøj, der følger med xDoctor.

    1. Kør svc_patch kommando, skriv "y", og tryk på "Enter"-tasten, når du bliver bedt om at installere patchen. Kommandoen kan køre på en hvilken som helst ECS-node. 

Kommandoer:
# screen -S patchinstall
# unset TMOUT
# /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/svc_patch install

Eksempel:

Bemærk: Der vises en meddelelse om at fortsætte i outputtet nedenfor.

admin@node1:~>screen -S patchinstall admin@node1:~> unset TMOUT admin@node1:~> /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/svc_patch install svc_patch Version 2.9.1 Verifying patch bundle consistency                    DONE Detecting nodes in current VDC                        DONE Reading in patch details (1 of 2)                     DONE Reading in patch details (2 of 2)                     DONE Validating nodes are online                           DONE Checking Installed Patches and Dependencies           DONE Patches/releases currently installed:         [ None detected ] Patches that will be installed:         CVE-2021-44228_log4j-fix_3.3.x-3.6.2                    (PatchID: 3298) Files that will be installed:         /opt/storageos/lib/log4j-core-2.5.jar                   (from CVE-2021-44228_log4j-fix_3.3.x-3.6.2) The following services will be restarted:         ALL Patch Type:                                                     Standalone Number of nodes:                                                8 Number of seconds to wait between restarting node services:     450 Check DT status between node service restarts:                  true Do you wish to continue (y/n)?y [...Truncated Output of each node Distributing files and restarting services...] Distributing files to node 1xx.xxx.xx.xx Distributing patch installer to node '1xx.xxx.xx.xx' Restarting services on 1xx.xxx.xx.xx Restarting all services Waiting 180 seconds for services to stabilize... [...Truncated Output of each node Distributing files and restarting services...] Stopping ViPR services..done Services status 3: stat georeceiver eventsvc blobsvc dataheadsvc blobsvc-perf blobsvc-fi resourcesvc resourcesvc-perf resourcesvc-fi rm cm ssm objcontrolsvc metering sr storageserver nvmeengine nvmetargetviewer dtquery dtsm vnest coordinatorsvc ecsportalsvc transformsvc Setting up SSL certificates ...done Starting ViPR services..done Waiting 300 seconds for services to stabilize...DONE Patching complete. admin@node1:~>
  1. Afslut sessionsskærmbilledet, når programrettelsen er fuldført i henhold til ovenstående output.
Eksempel: 
admin@node1:/> exit logout [screen is terminating] admin@node1:/>
Bemærk: 
Hvis du ved et uheld lukker PuTTY-sessionen, mens udførelsen er i gang, kan du oprette forbindelse igen ved at logge på den samme node og køre nedenstående kommando:
 

Kommando:
# screen -ls 
admin@node 1:~> screen -ls There is a screen on: 114475.pts-0.ecs-n3 (Detached) 1 Socket in /var/run/uscreens/S-admin.
Slut igen til frakoblet session fra forrige output 
admin@node1:~> screen -r 114475.pts-0.ecs-n3

  1. Bekræft, at rettelsen er blevet anvendt.

    1. Outputtet nedenfor er fra et system, hvor rettelsen er blevet anvendt.

Kommando:

# /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/svc_patch-status

Eksempel: 
admin@node1:/> /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/svc_patch status svc_patch Version 2.9.1 Verifying patch bundle consistency DONE Detecting nodes in current VDC DONE Reading in patch details (1 of 2) DONE Reading in patch details (2 of 2) DONE Validating nodes are online DONE Checking Installed Patches and Dependencies DONE Patches/releases currently installed: CVE-2021-44228_log4j-fix_3.3.x-3.6.2 (PatchID: 3298) Fixes for Log4j vulnerabilities CVE-2021-44228 and CVE-2021-45046 Patches that need to be installed: No files need to be installed. The following services need to be restarted: No services need to be restarted.
  1. Outputtet nedenfor er fra et system, hvor rettelsen ikke er blevet anvendt.
Eksempel:  
admin@node1:/> /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/svc_patch status svc_patch Version 2.9.1 Verifying patch bundle consistency DONE Detecting nodes in current VDC DONE Reading in patch details (1 of 2) DONE Reading in patch details (2 of 2) DONE Validating nodes are online DONE Checking Installed Patches and Dependencies DONE Patches/releases currently installed: [ None detected ] Patches that need to be installed: CVE-2021-44228_log4j-fix_3.3.x-3.6.2 (PatchID: 3298) Files that need to be installed: /opt/storageos/lib/log4j-core-2.5.jar (from CVE-2021-44228_log4j-fix_3.3.x-3.6.2) The following services need to be restarted: ALL


 

Fejlfinding:

  1. DT-stabilisering tager for lang tid
  1. Hvis DT-stabilisering tager længere tid end standard 7,5 minutter, svc_patch programprompten om enten at fortsætte eller stoppe processen med programrettelsen.
Eksempel: 
admin@node1:~> /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/svc_patch install [...Truncated Output of each node Distributing files and restarting services...] Restarting services on 1xx.xx.xx.xx Restarting all services Waiting 180 seconds for services to stabilize...DONE Waiting for DTs to come online ERROR: DT Check failed. DTs did not come ready or could not be checked after several passes. Do you wish to continue anyway (y/n)?
  1. Åbn en PuTTY-session på en anden node, og kør svc_dt kommando for at kontrollere DT'er i kolonnen "Unready #". Hvis der ikke er nogen "0"-værdier, skal du vente 15 minutter og køre kontrollen igen. Vend tilbage til sessionen med svc_patch, når der ikke er nogen ulæselig DT'er. Besvar "y", og fortsæt. Hvis svc_dt fortsætter med at vise værdier i "Unready #" DTs, skal du åbne en serviceanmodning hos ECS-supportteamet.
Kommando:
# svc_dt check -b
Eksempel:  
admin@node1:~> svc_dt check -b svc_dt v1.0.25 (svc_tools v2.0.2)                 Started 2021-12-15 17:18:52 Date                     Total DT       Unknown #      Unready #      RIS Fail #     Dump Fail #    Check type     Time since check   Check successful 2021-12-15 17:17:54      1920           0              0              0              0              AutoCheck      0m 58s             True 2021-12-15 17:16:44      1920           0              0              0              0              AutoCheck      2m 8s              True 2021-12-15 17:16:10      1920           0              0              0              0              Manual Check   2m 42s             True 2021-12-15 17:15:34      1920           0              0              0              0              AutoCheck      3m 18s             True 2021-12-15 17:14:24      1920           0              0              0              0              AutoCheck      4m 28s             True 2021-12-15 17:13:13      1920           0              0              0              0              AutoCheck      5m 39s             True 2021-12-15 17:12:03      1920           0              0              0              0              AutoCheck      6m 49s             True 2021-12-15 17:10:53      1920           0              0              0              0              AutoCheck      7m 59s             True 2021-12-15 17:09:43      1920           0              0              0              0              AutoCheck      9m 9s              True 2021-12-15 17:08:32      1920           0              0              0              0              AutoCheck      10m 20s            True
 
  1. Alle tjenester genstartes ikke på alle noder, fordi de ikke udføres på skærmen, og PuTTY-sessionen slutter for tidligt.
Eksempel nedenfor:  Tjenester genstartet på 4 ud af 6 noder efter at have logget ind igen. Se node 5 og 6 fremhævet nedenfor. 
admin@node1:~> /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/svc_patch status svc_patch Version 2.9.1 Verifying patch bundle consistency DONE Detecting nodes in current VDC DONE Reading in patch details (1 of 2) DONE Reading in patch details (2 of 2) DONE Validating nodes are online DONE Checking Installed Patches and Dependencies DONE All nodes currently do not have the same patches installed. Patches/releases currently installed: 169.254.1.1: CVE-2021-44228_45046_log4j-fix 169.254.1.2: CVE-2021-44228_45046_log4j-fix 169.254.1.3: CVE-2021-44228_45046_log4j-fix 169.254.1.4: CVE-2021-44228_45046_log4j-fix 169.254.1.5: CVE-2021-44228_45046_log4j-fix 169.254.1.6: CVE-2021-44228_45046_log4j-fix Patches that need to be installed: 169.254.1.1:  169.254.1.2:  169.254.1.3:  169.254.1.4:  169.254.1.5:  169.254.1.6:  Files that need to be installed: 169.254.1.1:  169.254.1.2:  169.254.1.3:  169.254.1.4:  169.254.1.5:  169.254.1.6:  Services that need to be restarted: 169.254.1.1:  169.254.1.2:  169.254.1.3:  169.254.1.4:  169.254.1.5: ALL 169.254.1.6: ALL admin@ecsnode1:~>
Løsning: Kør proceduren igen, og de resterende noder, der oprindeligt mangler, får deres tjenester genstartet. De oprindelige noder, hvor tjenesterne blev genstartet, er berørt. 
admin@node1:~> /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/svc_patch install svc_patch Version 2.9.1 Verifying patch bundle consistency DONE Detecting nodes in current VDC DONE Reading in patch details (1 of 2) DONE Reading in patch details (2 of 2) DONE Validating nodes are online DONE Checking Installed Patches and Dependencies DONE All nodes currently do not have the same patches installed. Patches/releases currently installed: 169.254.1.1: CVE-2021-44228_45046_log4j-fix 169.254.1.2: CVE-2021-44228_45046_log4j-fix 169.254.1.3: CVE-2021-44228_45046_log4j-fix 169.254.1.4: CVE-2021-44228_45046_log4j-fix 169.254.1.5: CVE-2021-44228_45046_log4j-fix 169.254.1.6: CVE-2021-44228_45046_log4j-fix Patches that will be installed: 169.254.1.1:  169.254.1.2:  169.254.1.3:  169.254.1.4:  169.254.1.5:  169.254.1.6:  Files that will be installed: 169.254.1.1:  169.254.1.2:  169.254.1.3:  169.254.1.4:  169.254.1.5:  169.254.1.6:  Services that will be restarted: 169.254.1.1:  169.254.1.2:  169.254.1.3:  169.254.1.4:  169.254.1.5: ALL 169.254.1.6: ALL Patch Type: Standalone Number of nodes: 8 Number of seconds to wait between restarting node services: 450 Check DT status between node service restarts: true Do you wish to continue (y/n)?y No files to install on 169.254.1.1 Distributing patch installer to node '169.254.1.1' No files to install on 169.254.1.2 Distributing patch installer to node '169.254.1.2' No files to install on 169.254.1.3 Distributing patch installer to node '169.254.1.3' No files to install on 169.254.1.4 Distributing patch installer to node '169.254.1.4' No files to install on 169.254.1.5 Distributing patch installer to node '169.254.1.5' No files to install on 169.254.1.6 Distributing patch installer to node '169.254.1.6' No services to restart on 169.254.1.1 No services to restart on 169.254.1.2 No services to restart on 169.254.1.3 No services to restart on 169.254.1.4 Restarting services on 169.254.1.5 Restarting all services Waiting 450 seconds for services to stabilize...DONE Waiting for DTs to come online Restarting services on 169.254.1.6 Restarting all services Waiting 450 seconds for services to stabilize...DONE Waiting for DTs to come online Patching complete. admin@ecsnode1:~>
  1. Det lykkedes ikke at føje værten til listen over kendte værter under anvendelse af programrettelse.
Eksempel:  
svc_patch Version 2.9.1 Verifying patch bundle consistency DONE Detecting nodes in current VDC DONE Reading in patch details (1 of 2) DONE Reading in patch details (2 of 2) DONE Validating nodes are online FAILED ERROR: Could not execute commands on the object-main container on 169.254.x.x Output was 'Failed to add the host to the list of known hosts (/home/admin/.ssh/known_hosts). :patchtest:' Patching is unable to continue with unreachable nodes. To proceed: - Resolve problems accessing node(s) from this one. - Manually pass a MACHINES file containing the list of working nodes to patch (not recommended). - Contact your next level of support for other options or assistance.
 

Løsning:
Årsagen kan være brugeren af filen /home/admin/.ssh/known_hosts var root, som som bør være admin som standard. 

Eksempel:  
admin@node1:~> ls -l /home/admin/.ssh/known_hosts -rw------- 1 root root 1802 Jul 23 2019 /home/admin/.ssh/known_hosts admin@ecs:~>
 
For at løse problemet fra en anden PuTTY-session skal du logge på den rapporterede node eller de rapporterede noder og ændre brugeren til admin på de noder, hvor den er til stede som root-bruger, ved hjælp af nedenstående kommando på alle de rapporterede noder:
 

Kommando:
# sudown admin:users /home/admin/.ssh/known_hosts
 
Eksempel: 
admin@node1:~> sudo chown admin:users /home/admin/.ssh/known_hosts
 
Kør nu kommandoen svc_patch igen, og den bør udføres 
admin@node1:~> /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/svc_patch install
  1. Kunne ikke udføre kommandoer på objekt-hovedbeholderen på 169.254.x.x pga. forkert værtsnøgle i /home/admin/.ssh/known_hosts.
Eksempel: 
svc_patch Version 2.9.1 Verifying patch bundle consistency DONE Detecting nodes in current VDC DONE Reading in patch details (1 of 2) DONE Reading in patch details (2 of 2) DONE Validating nodes are online FAILED ERROR: Could not execute commands on the object-main container on 169.254.x.x Output was '@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ @ WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED! @ @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY! Someone could be eavesdropping on you right now (man-in-the-middle attack)! It is also possible that a host key has just been changed. The fingerprint for the ECDSA key sent by the remote host is SHA256:RcwOsFj7zPA5p5kSeYovF4UlZTm125nLVeCL1zCqOzc. Please contact your system administrator. Add correct host key in /home/admin/.ssh/known_hosts to get rid of this message. Offending ECDSA key in /home/admin/.ssh/known_hosts:14 You can use following command to remove the offending key: ssh-keygen -R 169.254.x.x -f /home/admin/.ssh/known_hosts Password authentication is disabled to avoid man-in-the-middle attacks. Keyboard-interactive authentication is disabled to avoid man-in-the-middle attacks. :patchtest:' Patching is unable to continue with unreachable nodes. To proceed: - Resolve problems accessing node(s) from this one. - Manually pass a MACHINES file containing the list of working nodes to patch (not recommended). - Contact your next level of support for other options or assistance.
 
Løsning:
 
Kontakt ECS-support for at få en løsning.

Affected Products

Elastic Cloud Storage

Products

ECS, ECS Appliance