Skip to main content
Sign Out

Welcome to Dell

My Account
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Create and access a list of your products
Sign In Create an Account Premier Sign In Partner Program Sign In
Contact Us

Your Dell.com Baskets

ECS: Soluzione ECS per la vulnerabilità Apache Log4j Remote Code Execution

Summary: Vulnerabilità di sicurezza Apache Log4j.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

ID CVE CVE-2021-44228
ID CVE CVE_2021-45046

Pubblicazione Apache: Apache Log4j Remote Code Execution 

Cause

Vulnerabilità di sicurezza Apache Log4j.

Resolution

Chi deve eseguire questa procedura?

Dell richiede che questa procedura di upgrade di xDoctor e installazione della patch venga eseguita dai clienti. È il metodo più rapido e sicuro in quanto evita l'esposizione prolungata a questa vulnerabilità Apache. Tutti i passaggi sono descritti in dettaglio in questo articolo della Knowledge Base. Al link indicato qui sotto è disponibile anche un video di istruzioni che può essere seguito insieme a questo articolo della Knowledge Base

Video: Apache-Log4j
 

Effetti della procedura:

È possibile che durante il riavvio dei servizi vengano visualizzati timeout di I/O. Le applicazioni che accedono al cluster devono essere in grado di gestire il timeout di I/O. Quando si esegue questa procedura, si consiglia di tenere in considerazione una finestra di manutenzione.
 

Tempo richiesto dall'operazione (circa):

7 minuti circa è il ritardo predefinito tra i riavvii del servizio impostato per ciascun nodo. Il numero di nodi in un Virtual Data Center (VDC) moltiplicato per 7 minuti + 60 minuti per la preparazione, la stabilizzazione delle DT e i controlli successivi necessari.
 
Esempi:
Per un sistema VDC a 48 nodi possono essere necessarie circa 6,5 ore:
7,5 minuti x 48 (numero di nodi VDC) + 30 minuti (preparazione) = 6,5 ore o 390 minuti.

Per un sistema VDC a 8 nodi possono essere necessarie circa 1,5 ore:
7,5 minuti x 8 (numero di nodi VDC) + 30 minuti (preparazione) = 1,5 ore o 90 minuti.


Domande frequenti:

D: La patch è parte integrante della release di xDoctor?
R: Lo script di installazione della patch è parte integrante della versione 4.8-79.1 di xDoctor e delle versioni successive. Le istruzioni per il download di xDoctor e l'installazione della patch sono contenute nella procedura di risoluzione.

D: È possibile aggiornare più VDC in parallelo?
R: No, solo una patch VDC alla volta.

D: È possibile applicare questa patch su un ECS che esegue la versione del codice 3.2.x o una versione precedente?
R: No, questa patch è applicabile solo alle versioni ECS 3.3.x - 3.6.x. Aprire una Service Request per pianificare un upgrade per le versioni precedenti.

D: Se si aggiorna un ECS dopo l'esecuzione di questa procedura, è necessario eseguire nuovamente la procedura dopo l'upgrade? 
R: No, se si esegue l'upgrade a una versione del codice specificata in DSA-2021-273 con la correzione permanente. Sì, se si esegue l'upgrade a una versione del codice non specificata nello stesso DSA.

D: La patch deve essere riapplicata in un sistema in cui è stata precedentemente installata dopo la sostituzione, la ricreazione dell'immagine o l'espansione di un nodo?
R: No, se la versione del codice di VDC è quella specificata in DSA-2021-273. Sì, se si esegue una di queste azioni per un VDC che esegue una versione del codice non specificata nello stesso DSA. Se in queste situazioni è richiesta una patch, il tecnico Dell in questione contatterà l'utente per informarlo che è richiesto l'aggiornamento

D: Quale utente deve essere connesso per eseguire tutti i comandi descritti in questo articolo della KB?
R: admin

D: È necessario eseguire svc_patch su tutti i rack o con un file MACHINES specializzato quando un VDC contiene più rack?
R: No, viene rilevato automaticamente se sono presenti più rack e la patch viene applicata a tutti i nodi su tutti i rack del VDC.

D: Ho notato che la versione di xDoctor di destinazione è ora 4.8-79.1 e non 4.8-79.0. Per quale motivo?
R: Nuove versioni di xDoctor vengono rilasciate di frequente, pertanto è consigliabile eseguire sempre l'upgrade alla versione più recente. Se tuttavia in precedenza è stata eseguita una correzione Apache utilizzando la versione 4.8-79.0, il sistema è completamente protetto dalla vulnerabilità e non è necessario eseguirla nuovamente.


Riepilogo della soluzione:

  1. Aggiornare il software ECS xDoctor alla versione 4.8.-79.1 o una versione successiva.
  2. Eseguire i controlli preliminari.
  3. Applicare la patch al sistema con svc_patch, strumento incluso con xDoctor.
  4. Verificare che la correzione sia stata applicata.
  5. Risoluzione dei problemi.


Procedura di risoluzione:

  1. Aggiornare il software ECS xDoctor alla versione più recente disponibile.

  1. Controllare la versione di xDoctor in esecuzione sul sistema. Se la versione è 4.8-79.1 o una versione successiva, procedere con il passaggio 2 "Eseguire i controlli preliminari". In caso contrario, procedere come indicato di seguito.
Comando: 
# sudo xdoctor --version
 
Esempio: 
admin@node1:~> sudo xdoctor --version 4.8-79.1
  1. Accedere al sito di supporto, collegarsi direttamente a questo link per il download, cercare xDoctor utilizzando la barra di ricerca Parola chiave e cliccare sul link xDoctor RPM per scaricare l'RPM di xDoctor. Per visualizzare le note di rilascio, seguire il link Note di rilascio, selezionare Manuali e documentazione dalla barra laterale e individuare il file da scaricare.

  2. Una volta scaricato l'RPM, utilizzare un programma SCP remoto per caricare il file nella directory /home/admin sul primo nodo ECS.

  3. Al termine dell'upload, accedere tramite SSH al primo nodo del sistema ECS come utente admin.
  4. Aggiornare xDoctor su tutti i nodi con la nuova versione.
Comando:
# sudo xdoctor --upgrade --local=/home/admin/xDoctor4ECS-4.8-79.1.noarch.rpm

Esempio: 
admin@node1:~> sudo xdoctor --upgrade --local=/home/admin/xDoctor4ECS-4.8-79.1.noarch.rpm 2021-12-20 12:06:11,358: xDoctor_4.8-78.2 - INFO : xDoctor Upgrader Instance (2:FTP_SFTP) 2021-12-20 12:06:11,358: xDoctor_4.8-78.2 - INFO : Local Upgrade (/home/admin/xDoctor4ECS-4.8-79.1.noarch.rpm) 2021-12-20 12:06:11,392: xDoctor_4.8-78.2 - INFO : Current Installed xDoctor version is 4.8-78.2 2021-12-20 12:06:11,429: xDoctor_4.8-78.2 - INFO : Requested package version is 4.8-79.1 2021-12-20 12:06:11,430: xDoctor_4.8-78.2 - INFO : Updating xDoctor RPM Package (RPM) 2021-12-20 12:06:11,482: xDoctor_4.8-78.2 - INFO : - Distribute package 2021-12-20 12:06:12,099: xDoctor_4.8-78.2 - INFO : - Install new rpm package 2021-12-20 12:06:37,829: xDoctor_4.8-78.2 - INFO : xDoctor successfully updated to version 4.8-79.1
  1. Se l'ambiente è un VDC a più rack, il nuovo pacchetto di xDoctor deve essere installato sul primo nodo di ogni rack. Per identificare i rack principali, eseguire il comando riportato di seguito. Nell'esempio, sono stati trovati quattro rack e sono stati quindi evidenziati quattro rack principali
  1. Comando:
    # svc_exec -m "ip address show private.4 |grep -w inet"

    Esempio:
admin@ecsnode1~> svc_exec -m "ip address show private.4 |grep -w inet" svc_exec v1.0.2 (svc_tools v2.1.0) Started 2021-12-20 14:03:33 Output from node: r1n1 retval: 0 inet 169.254.1.1/16 brd 169.254.255.255 scope global private.4 Output from node: r2n1 retval: 0 inet 169.254.2.1/16 brd 169.254.255.255 scope global private.4 Output from node: r3n1 retval: 0 inet 169.254.3.1/16 brd 169.254.255.255 scope global private.4 Output from node: r4n1 retval: 0 inet 169.254.4.1/16 brd 169.254.255.255 scope global private.4
  1. Copiare il pacchetto dal primo nodo del sistema (R1N1) negli altri rack principali come indicato di seguito:
Esempio: 
admin@ecsnode1~> scp xDoctor4ECS-4.8-79.1.noarch.rpm 169.254.2.1:/home/admin/ xDoctor4ECS-4.8-79.1.noarch.rpm 100% 32MB 31.9MB/s 00:00 admin@ecsnode1~> scp xDoctor4ECS-4.8-79.1.noarch.rpm 169.254.3.1:/home/admin/ xDoctor4ECS-4.8-79.1.noarch.rpm 100% 32MB 31.9MB/s 00:00 admin@ecsnode1~> scp xDoctor4ECS-4.8-79.1.noarch.rpm 169.254.4.1:/home/admin/ xDoctor4ECS-4.8-79.1.noarch.rpm 100% 32MB 31.9MB/s 00:00 admin@ecsnode1~>
  1. In base al passaggio e precedente, eseguire lo stesso comando per installare xDoctor su ciascuno dei rack principali identificati in precedenza. 
Comando:
# sudo xdoctor --upgrade --local=/home/admin/xDoctor4ECS-4.8-79.1.noarch.rpm
 

  1. Eseguire i controlli preliminari

    1. Utilizzare il comando svc_dt per verificare se le DT sono stabili. Le DT sono stabili se nella colonna "Unready #" è indicato 0. In caso affermativo, passare al controllo successivo. In caso contrario, attendere 15 minuti e controllare nuovamente. Se le DT non si sono stabilizzate, aprire una Service Request con il team di supporto ECS.
Comando:
# svc_dt check -b
 
Esempio: 
admin@node1:~> svc_dt check -b svc_dt v1.0.25 (svc_tools v2.0.2) Started 2021-12-16 16:44:51 Date Total DT Unknown # Unready # RIS Fail # Dump Fail # Check type Time since check Check successful 2021-12-16 16:43:44 2432 0 0 0 0 AutoCheck 1m 7s True 2021-12-16 16:42:33 2432 0 0 0 0 AutoCheck 2m 18s True 2021-12-16 16:41:23 2432 0 0 0 0 AutoCheck 3m 28s True 2021-12-16 16:40:13 2432 0 0 0 0 AutoCheck 4m 38s True 2021-12-16 16:39:02 2432 0 0 0 0 AutoCheck 5m 49s True 2021-12-16 16:37:52 2432 0 0 0 0 AutoCheck 6m 59s True 2021-12-16 16:36:42 2432 0 0 0 0 AutoCheck 8m 9s True 2021-12-16 16:35:31 2432 0 0 0 0 AutoCheck 9m 20s True 2021-12-16 16:34:21 2432 0 0 0 0 AutoCheck 10m 30s True 2021-12-16 16:33:11 2432 0 0 0 0 AutoCheck 11m 40s True
  1. Utilizzare il comando svc_patch per verificare che tutti i nodi siano online. In caso affermativo, procedere con il passaggio successivo. In caso contrario, scoprirne il motivo, riportare il nodo online ed eseguire un nuovo controllo. Se non si riesce a portare un nodo online, aprire una Service Request con il team di supporto ECS che investigherà il problema.
Comando:
# /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/svc_patch status

Esempio: 
admin@node1:~> /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/svc_patch status svc_patch Version 2.9.1 Verifying patch bundle consistency DONE Detecting nodes in current VDC DONE Reading in patch details (1 of 2) DONE Reading in patch details (2 of 2) DONE Validating nodes are online DONE Checking Installed Patches and Dependencies DONE Patches/releases currently installed: [ None detected ] Patches that need to be installed: CVE-2021-44228_log4j-fix_3.3.x-3.6.2 (PatchID: 3298) Files that need to be installed: /opt/storageos/lib/log4j-core-2.5.jar (from CVE-2021-44228_log4j-fix_3.3.x-3.6.2) The following services need to be restarted: ALL

  1. Applicare la patch al sistema con svc_patch, strumento incluso con xDoctor.

    1. Eseguire il comando svc_patch, digitare "y" e premere il tasto "Invio" quando viene richiesto di installare la patch. Il comando può essere eseguito su qualsiasi nodo ECS. 

Comandi:
# screen -S patchinstall
# unset TMOUT
# /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/svc_patch install

Esempio:

Nota: come si vede nell'output seguente, viene visualizzato un prompt che chiede se si desidera procedere.

admin@node1:~>screen -S patchinstall admin@node1:~> unset TMOUT admin@node1:~> /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/svc_patch install svc_patch Version 2.9.1 Verifying patch bundle consistency                    DONE Detecting nodes in current VDC                        DONE Reading in patch details (1 of 2)                     DONE Reading in patch details (2 of 2)                     DONE Validating nodes are online                           DONE Checking Installed Patches and Dependencies           DONE Patches/releases currently installed:         [ None detected ] Patches that will be installed:         CVE-2021-44228_log4j-fix_3.3.x-3.6.2                    (PatchID: 3298) Files that will be installed:         /opt/storageos/lib/log4j-core-2.5.jar                   (from CVE-2021-44228_log4j-fix_3.3.x-3.6.2) The following services will be restarted:         ALL Patch Type:                                                     Standalone Number of nodes:                                                8 Number of seconds to wait between restarting node services:     450 Check DT status between node service restarts:                  true Do you wish to continue (y/n)?y [...Truncated Output of each node Distributing files and restarting services...] Distributing files to node 1xx.xxx.xx.xx Distributing patch installer to node '1xx.xxx.xx.xx' Restarting services on 1xx.xxx.xx.xx Restarting all services Waiting 180 seconds for services to stabilize... [...Truncated Output of each node Distributing files and restarting services...] Stopping ViPR services..done Services status 3: stat georeceiver eventsvc blobsvc dataheadsvc blobsvc-perf blobsvc-fi resourcesvc resourcesvc-perf resourcesvc-fi rm cm ssm objcontrolsvc metering sr storageserver nvmeengine nvmetargetviewer dtquery dtsm vnest coordinatorsvc ecsportalsvc transformsvc Setting up SSL certificates ...done Starting ViPR services..done Waiting 300 seconds for services to stabilize...DONE Patching complete. admin@node1:~>
  1. Chiudere la schermata della sessione dopo che la patch è stata applicata, come da output qui sopra.
Esempio: 
admin@node1:/> exit logout [screen is terminating] admin@node1:/>
Nota: 
se la sessione PuTTY viene chiusa accidentalmente mentre l'esecuzione è ancora in corso, è possibile ricollegarsi accedendo nuovamente allo stesso nodo ed eseguendo il comando seguente:
 

Comando:
# screen -ls 
admin@node 1:~> screen -ls There is a screen on: 114475.pts-0.ecs-n3 (Detached) 1 Socket in /var/run/uscreens/S-admin.
Ricollegarsi alla sessione dell'output precedente 
admin@node1:~> screen -r 114475.pts-0.ecs-n3

  1. Verificare che la correzione sia stata applicata.

    1. L'output seguente viene visualizzato su un sistema in cui la correzione è stata applicata.

Comando:

# /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/svc_patch status

Esempio: 
admin@node1:/> /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/svc_patch status svc_patch Version 2.9.1 Verifying patch bundle consistency DONE Detecting nodes in current VDC DONE Reading in patch details (1 of 2) DONE Reading in patch details (2 of 2) DONE Validating nodes are online DONE Checking Installed Patches and Dependencies DONE Patches/releases currently installed: CVE-2021-44228_log4j-fix_3.3.x-3.6.2 (PatchID: 3298) Fixes for Log4j vulnerabilities CVE-2021-44228 and CVE-2021-45046 Patches that need to be installed: No files need to be installed. The following services need to be restarted: No services need to be restarted.
  1. L'output seguente viene visualizzato su un sistema in cui la correzione non è stata applicata.
Esempio:  
admin@node1:/> /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/svc_patch status svc_patch Version 2.9.1 Verifying patch bundle consistency DONE Detecting nodes in current VDC DONE Reading in patch details (1 of 2) DONE Reading in patch details (2 of 2) DONE Validating nodes are online DONE Checking Installed Patches and Dependencies DONE Patches/releases currently installed: [ None detected ] Patches that need to be installed: CVE-2021-44228_log4j-fix_3.3.x-3.6.2 (PatchID: 3298) Files that need to be installed: /opt/storageos/lib/log4j-core-2.5.jar (from CVE-2021-44228_log4j-fix_3.3.x-3.6.2) The following services need to be restarted: ALL


 

Risoluzione dei problemi:

  1. La stabilizzazione delle DT richiede troppo tempo
  1. Se la stabilizzazione delle DT richiede un tempo superiore ai 7,5 minuti predefiniti, svc_patch chiede se si desidera continuare o interrompere il processo di applicazione della patch.
Esempio: 
admin@node1:~> /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/svc_patch install [...Truncated Output of each node Distributing files and restarting services...] Restarting services on 1xx.xx.xx.xx Restarting all services Waiting 180 seconds for services to stabilize...DONE Waiting for DTs to come online ERROR: DT Check failed. DTs did not come ready or could not be checked after several passes. Do you wish to continue anyway (y/n)?
  1. Aprire una sessione PuTTY su un altro nodo ed eseguire il comando svc_dt per controllare le DT nella colonna "Unready #". Se non sono presenti valori "0", attendere 15 minuti ed eseguire un nuovo controllo. Tornare alla sessione con svc_patch quando nessuna DT è indicata come non pronta. Rispondere "y" e continuare. Se svc_dt continua a restituire valori diversi da 0 nella colonna "Unready #" per le DT, aprire una Service Request con il team di supporto ECS.
Comando:
# svc_dt check -b
Esempio:  
admin@node1:~> svc_dt check -b svc_dt v1.0.25 (svc_tools v2.0.2)                 Started 2021-12-15 17:18:52 Date                     Total DT       Unknown #      Unready #      RIS Fail #     Dump Fail #    Check type     Time since check   Check successful 2021-12-15 17:17:54      1920           0              0              0              0              AutoCheck      0m 58s             True 2021-12-15 17:16:44      1920           0              0              0              0              AutoCheck      2m 8s              True 2021-12-15 17:16:10      1920           0              0              0              0              Manual Check   2m 42s             True 2021-12-15 17:15:34      1920           0              0              0              0              AutoCheck      3m 18s             True 2021-12-15 17:14:24      1920           0              0              0              0              AutoCheck      4m 28s             True 2021-12-15 17:13:13      1920           0              0              0              0              AutoCheck      5m 39s             True 2021-12-15 17:12:03      1920           0              0              0              0              AutoCheck      6m 49s             True 2021-12-15 17:10:53      1920           0              0              0              0              AutoCheck      7m 59s             True 2021-12-15 17:09:43      1920           0              0              0              0              AutoCheck      9m 9s              True 2021-12-15 17:08:32      1920           0              0              0              0              AutoCheck      10m 20s            True
 
  1. Tutti i servizi non vengono riavviati su tutti i nodi perché non sono eseguiti nella schermata e la sessione PuTTY termina improvvisamente.
Esempio:  i servizi sono stati riavviati su 4 nodi su 6 dopo avere eseguito un nuovo accesso. Vedere i nodi 5 e 6 evidenziati nell'esempio qui sotto. 
admin@node1:~> /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/svc_patch status svc_patch Version 2.9.1 Verifying patch bundle consistency DONE Detecting nodes in current VDC DONE Reading in patch details (1 of 2) DONE Reading in patch details (2 of 2) DONE Validating nodes are online DONE Checking Installed Patches and Dependencies DONE All nodes currently do not have the same patches installed. Patches/releases currently installed: 169.254.1.1: CVE-2021-44228_45046_log4j-fix 169.254.1.2: CVE-2021-44228_45046_log4j-fix 169.254.1.3: CVE-2021-44228_45046_log4j-fix 169.254.1.4: CVE-2021-44228_45046_log4j-fix 169.254.1.5: CVE-2021-44228_45046_log4j-fix 169.254.1.6: CVE-2021-44228_45046_log4j-fix Patches that need to be installed: 169.254.1.1:  169.254.1.2:  169.254.1.3:  169.254.1.4:  169.254.1.5:  169.254.1.6:  Files that need to be installed: 169.254.1.1:  169.254.1.2:  169.254.1.3:  169.254.1.4:  169.254.1.5:  169.254.1.6:  Services that need to be restarted: 169.254.1.1:  169.254.1.2:  169.254.1.3:  169.254.1.4:  169.254.1.5: ALL 169.254.1.6: ALL admin@ecsnode1:~>
Risoluzione: eseguire nuovamente la procedura per riavviare i servizi sui nodi su cui inizialmente non erano stati riavviati. I nodi su cui i servizi erano stati già riavviati non vengono interessati dalla procedura. 
admin@node1:~> /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/svc_patch install svc_patch Version 2.9.1 Verifying patch bundle consistency DONE Detecting nodes in current VDC DONE Reading in patch details (1 of 2) DONE Reading in patch details (2 of 2) DONE Validating nodes are online DONE Checking Installed Patches and Dependencies DONE All nodes currently do not have the same patches installed. Patches/releases currently installed: 169.254.1.1: CVE-2021-44228_45046_log4j-fix 169.254.1.2: CVE-2021-44228_45046_log4j-fix 169.254.1.3: CVE-2021-44228_45046_log4j-fix 169.254.1.4: CVE-2021-44228_45046_log4j-fix 169.254.1.5: CVE-2021-44228_45046_log4j-fix 169.254.1.6: CVE-2021-44228_45046_log4j-fix Patches that will be installed: 169.254.1.1:  169.254.1.2:  169.254.1.3:  169.254.1.4:  169.254.1.5:  169.254.1.6:  Files that will be installed: 169.254.1.1:  169.254.1.2:  169.254.1.3:  169.254.1.4:  169.254.1.5:  169.254.1.6:  Services that will be restarted: 169.254.1.1:  169.254.1.2:  169.254.1.3:  169.254.1.4:  169.254.1.5: ALL 169.254.1.6: ALL Patch Type: Standalone Number of nodes: 8 Number of seconds to wait between restarting node services: 450 Check DT status between node service restarts: true Do you wish to continue (y/n)?y No files to install on 169.254.1.1 Distributing patch installer to node '169.254.1.1' No files to install on 169.254.1.2 Distributing patch installer to node '169.254.1.2' No files to install on 169.254.1.3 Distributing patch installer to node '169.254.1.3' No files to install on 169.254.1.4 Distributing patch installer to node '169.254.1.4' No files to install on 169.254.1.5 Distributing patch installer to node '169.254.1.5' No files to install on 169.254.1.6 Distributing patch installer to node '169.254.1.6' No services to restart on 169.254.1.1 No services to restart on 169.254.1.2 No services to restart on 169.254.1.3 No services to restart on 169.254.1.4 Restarting services on 169.254.1.5 Restarting all services Waiting 450 seconds for services to stabilize...DONE Waiting for DTs to come online Restarting services on 169.254.1.6 Restarting all services Waiting 450 seconds for services to stabilize...DONE Waiting for DTs to come online Patching complete. admin@ecsnode1:~>
  1. Non è possibile aggiungere l'host all'elenco degli host noti durante l'applicazione della patch.
Esempio:  
svc_patch Version 2.9.1 Verifying patch bundle consistency DONE Detecting nodes in current VDC DONE Reading in patch details (1 of 2) DONE Reading in patch details (2 of 2) DONE Validating nodes are online FAILED ERROR: Could not execute commands on the object-main container on 169.254.x.x Output was 'Failed to add the host to the list of known hosts (/home/admin/.ssh/known_hosts). :patchtest:' Patching is unable to continue with unreachable nodes. To proceed: - Resolve problems accessing node(s) from this one. - Manually pass a MACHINES file containing the list of working nodes to patch (not recommended). - Contact your next level of support for other options or assistance.
 

Risoluzione:
Il motivo potrebbe essere che l'utente del file /home/admin/.ssh/known_hosts era root, mentre per impostazione predefinita deve essere admin. 

Esempio:  
admin@node1:~> ls -l /home/admin/.ssh/known_hosts -rw------- 1 root root 1802 Jul 23 2019 /home/admin/.ssh/known_hosts admin@ecs:~>
 
Per risolvere il problema, da un'altra sessione PuTTY accedere al nodo o ai nodi segnalati e modificare l'utente in admin nei nodi in cui è presente come utente root utilizzando il comando seguente su tutti i nodi interessati:
 

Comando:
#  sudo chown admin:users /home/admin/.ssh/known_hosts
 
Esempio: 
admin@node1:~> sudo chown admin:users /home/admin/.ssh/known_hosts
 
Eseguire nuovamente il comando svc_patch, che ora dovrebbe passare 
admin@node1:~> /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/svc_patch install
  1. Impossibile eseguire comandi sul container object-main in 169.254.x.x a causa di una chiave host non corretta in /home/admin/.ssh/known_hosts.
Esempio: 
svc_patch Version 2.9.1 Verifying patch bundle consistency DONE Detecting nodes in current VDC DONE Reading in patch details (1 of 2) DONE Reading in patch details (2 of 2) DONE Validating nodes are online FAILED ERROR: Could not execute commands on the object-main container on 169.254.x.x Output was '@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ @ WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED! @ @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY! Someone could be eavesdropping on you right now (man-in-the-middle attack)! It is also possible that a host key has just been changed. The fingerprint for the ECDSA key sent by the remote host is SHA256:RcwOsFj7zPA5p5kSeYovF4UlZTm125nLVeCL1zCqOzc. Please contact your system administrator. Add correct host key in /home/admin/.ssh/known_hosts to get rid of this message. Offending ECDSA key in /home/admin/.ssh/known_hosts:14 You can use following command to remove the offending key: ssh-keygen -R 169.254.x.x -f /home/admin/.ssh/known_hosts Password authentication is disabled to avoid man-in-the-middle attacks. Keyboard-interactive authentication is disabled to avoid man-in-the-middle attacks. :patchtest:' Patching is unable to continue with unreachable nodes. To proceed: - Resolve problems accessing node(s) from this one. - Manually pass a MACHINES file containing the list of working nodes to patch (not recommended). - Contact your next level of support for other options or assistance.
 
Risoluzione:
 
Contattare il supporto ECS per risolvere il problema.

Affected Products

Elastic Cloud Storage

Products

ECS, ECS Appliance
Article Properties
Article Number: 000194467
Article Type: Solution
Last Modified: 13 Sept 2022
Version:  26
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.