Skip to main content
Sign Out

Welcome to Dell

My Account
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Create and access a list of your products
Sign In Create an Account Premier Sign In Partner Program Sign In
Contact Us

Your Dell.com Carts

ECS: Lösung zur Behebung der Sicherheitslücke CVE-2022-31231 in 3.5.x/3.6.x

Summary: Behebt eine falsche Zugriffskontrolle im IAM-Modul (Identity and Access Management). Ein nicht authentifizierter Remoteangreifer könnte diese Sicherheitslücke ausnutzen, um Lesezugriff auf nicht autorisierte Daten zu erhalten. Dies betrifft alle ECS 3.5.x.x- und ECS 3.6.x.x-Versionen. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

CVE-ID: CVE-2022-31231
Schweregrad: Mittel

Cause

Falsche Zugriffskontrolle im IAM-Modul (Identity and Access Management).

Resolution

Wer sollte dieses Verfahren ausführen?
Dell verlangt, dass dieses Verfahren für das Upgrade von xDoctor und die Installation des Patches durch den Kunden durchgeführt wird. Dies ist die schnellste und sicherste Methode, die eine längere Anfälligkeit gegenüber dieser Sicherheitslücke vermeidet. Alle Schritte werden in diesem Wissensdatenbank-Artikel beschrieben. Es gibt auch eine Videoanleitung, die zusammen mit diesem Wissensdatenbank-Artikel befolgt werden kann und sich unter folgendem Link befindet.



Auswirkungen des Verfahrens:
Rechnen Sie mit möglichen I/O-Timeouts, während die dataheadsvc-Services Node für Node neu gestartet werden. Anwendungen sollten über einen Load Balancer auf das Cluster zugreifen und müssen in der Lage sein, das I/O-Timeout zu verarbeiten. Bei der Durchführung dieses Verfahrens wird ein Wartungsfenster empfohlen.

Nur CAS-Buckets Ausnahme:
Wenn alle Buckets auf einem ECS ausschließlich CAS sind, die unten hervorgehoben werden, sind sie von dieser Sicherheitslücke nicht betroffen. Es ist daher nicht erforderlich, den Patch anzuwenden, und dieser Wissensdatenbank-Artikel muss nicht befolgt werden.

Befehl:

# svc_bucket list

Beispiel:

admin@ecs-n1:~> svc_bucket list
svc_bucket v1.0.33 (svc_tools v2.5.1)                 Started 2022-07-08 08:49:11

                                                                                                                                       Bucket     Temp
                                                                 Replication         Owner            Owner           API     FS       Versioning Failed
Bucket Name                            Namespace                 Group               User             VDC             Type    Enabled  Enabled    (TSO)

cas_bucket                             region_ns                 RG1                 casuser          VDC1            CAS     false    Disabled   False
cas_bu                                 region_ns                 RG1                 cas_obj          VDC1            CAS     false    Disabled   False
test                                   region_ns                 RG1                 test1            VDC1            CAS     false    Disabled   False
test_cas                               region_ns                 RG1                 test_cas         VDC1            CAS     false    Disabled   False
test_bkt_cas                           region_ns                 RG1                 user_test        VDC1            CAS     false    Disabled   False
Friday_cas                             region_ns                 RG1                 Friday_cas       VDC1            CAS     false    Disabled   False


Zeitaufwand für die Aktivität (ungefähr):
Pro Node ist eine Verzögerung von 60 Sekunden zwischen Serviceneustarts standardmäßig festgelegt. Die Anzahl der Nodes in einem virtuellen Rechenzentrum (VDC) multipliziert mit 60 Sekunden + 30 Minuten für Vorbereitung, Servicestabilisierung und Nachprüfungen.

Beispiele:
Ein VDC-ECS mit 48 Nodes kann ungefähr 80 Minuten dauern:
60 Sekunden x 48 (Anzahl der VDC-Nodes) + 30 Minuten (Vorbereitung) = ca.

80 MinutenEin VDC-ECS mit acht Nodes kann ungefähr 40 Minuten:
60 Sekunden x 8 (Anzahl der VDC-Nodes) + 30 Minuten (Vorbereitung) = ca. 40 Minuten dauern.


Häufig gestellte Fragen (FAQ):
Frage: Ist der Patch Teil der xdoctor-Version?
A: Das Patch-Installationsskript ist Teil der xdoctor-Version 4.8-84 und höher. Anweisungen für den Download von xdoctor und die Ausführung der Patch-Installation finden Sie in den Lösungsschritten.

F: Kann ich mehrere VDCs parallel aktualisieren?
A: Nein, führen Sie den Patch für jedes VDC einzeln aus.

F: Wenn ich nach dem Ausführen dieses Verfahrens ein Upgrade von ECS durchführen möchte, führe ich das Verfahren nach dem Upgrade erneut aus? 
A: Nein, sofern Sie ein Upgrade auf eine Codeversion durchführen, die in DSA-2022-153 angegeben ist und die dauerhafte Lösung enthält. Ja, sofern ein Upgrade auf eine Codeversion durchgeführt wird, die nicht in der DSA angegeben ist.

F: Muss der Patch nach einem Node-Austausch, einem Reimaging oder einer Erweiterung auf einem ECS erneut angewendet werden, auf dem er zuvor installiert war?
Ein: Nein, wenn das VDC die in DSA-2022-153 angegebene Codeversion hat, welche die dauerhafte Lösung enthält. Ja, wenn Sie eine dieser Aktionen für ein VDC durchführen, auf dem eine Codeversion ausgeführt wird, die nicht in der DSA angegeben ist. Wenn der Patch für diese Szenarien erforderlich ist, wird sich der betreffende Dell Techniker mit Ihnen in Verbindung setzen, um Sie darüber zu informieren, dass das Update erforderlich ist.

Frage: Was passiert, wenn ich nur Legacy-Nutzer und nicht IAM verwende?
Ein: Kunden müssen den Patch anwenden, unabhängig davon, ob sie nur Legacy-Nutzer und nicht IAM verwenden.

Frage: Als welcher Nutzer sollten wir angemeldet sein, um alle Befehle in diesem Wissensdatenbank-Artikel auszuführen?
A: admin

F: Muss svc_patch auf allen Racks oder mit einer spezialisierten MACHINES-Datei ausgeführt werden, wenn sich mehrere Racks in einem VDC befinden?
A: Nein, es erkennt automatisch, ob mehrere Racks vorhanden sind, und aktualisiert alle Nodes in allen Racks auf diesem VDC.

Frage: Ich habe festgestellt, dass die xDoctor-Zielversion nicht mehr 4.8-84.0 ist. Warum ist das so?
A: xDoctor-Versionen werden häufig veröffentlicht, daher wird immer empfohlen, ein Upgrade auf die höchste veröffentlichte Version durchzuführen. Wenn wir den Fix jedoch zuvor mit 4.8-84.0 ausgeführt haben, ist ECS vollständig gegen die Sicherheitslücke geschützt und muss nicht erneut ausgeführt werden.

Lösungsübersicht:

  1. Aktualisieren Sie Ihre ECS-xDoctor-Software auf Version 4.8.-84.0 oder höher.
  2. Führen Sie Vorabprüfungen aus.
  3. Wenden Sie den Patch mit dem svc_patch-Tool an, das im Lieferumfang von xDoctor enthalten ist.
  4. Vergewissern Sie sich, dass die Korrektur angewendet wurde.
  5. Fehlerbehebung.

Schritte zur Problemlösung:

  1. Aktualisieren Sie Ihre ECS xDoctor-Software auf die neueste verfügbare Version.

  1. Überprüfen Sie die xDoctor-Version, die auf Ihrem ECS ausgeführt wird. Wenn die Version 4.8-84.0 oder höher ist, fahren Sie mit Schritt 2 „Führen Sie Vorabprüfungen aus“ fort. Andernfalls fahren Sie mit den folgenden Schritten fort.
Befehl:  
# sudo xdoctor --version
Beispiel: 
admin@node1:~> sudo xdoctor --version
4.8-84.0
  1. Melden Sie sich bei der Dell Support-Website an, stellen Sie eine direkte Verbindung zu diesem Download-Link her, suchen Sie in der Stichwortsuchleiste nach xDoctor und klicken Sie zum Herunterladen auf den Link xDoctor 4.8-84.0 RPM. Um die Versionshinweise anzuzeigen, folgen Sie den Versionshinweisen und wählen Sie Handbücher und Dokumente in der Seitenleiste aus, wo sie zum Download verfügbar sein sollen.
  2. Verwenden Sie nach dem Herunterladen des RPM ein beliebiges Remote-SCP-Programm, um die Datei in das Verzeichnis /home/admin auf dem ersten ECS-Node hochzuladen.
  3. Sobald der Upload abgeschlossen ist, stellen Sie über SSH eine SSH-Verbindung zum ersten Knoten des ECS her.
  4. Führen Sie ein Upgrade von xDoctor auf allen Nodes mit der neu veröffentlichten Version durch. 
Befehl: 
# sudo xdoctor --upgrade --local=/home/admin/xDoctor4ECS-4.8-84.0.noarch.rpm
Beispiel: 
admin@ecs-n1:~> sudo xdoctor --upgrade --local=/home/admin/xDoctor4ECS-4.8-84.0.noarch.rpm
2022-07-04 07:41:49,209: xDoctor_4.8-83.0 - INFO    : xDoctor Upgrader Instance (1:SFTP_ONLY)
2022-07-04 07:41:49,210: xDoctor_4.8-83.0 - INFO    : Local Upgrade (/home/admin/xDoctor4ECS-4.8-84.0.noarch.rpm)
2022-07-04 07:41:49,226: xDoctor_4.8-83.0 - INFO    : Current Installed xDoctor version is 4.8-83.0
2022-07-04 07:41:49,242: xDoctor_4.8-83.0 - INFO    : Requested package version is 4.8-84.0
2022-07-04 07:41:49,242: xDoctor_4.8-83.0 - INFO    : Updating xDoctor RPM Package (RPM)
2022-07-04 07:41:49,293: xDoctor_4.8-83.0 - INFO    :  - Distribute package
2022-07-04 07:41:50,759: xDoctor_4.8-83.0 - INFO    :  - Install new rpm package
2022-07-04 07:42:04,401: xDoctor_4.8-83.0 - INFO    : xDoctor successfully updated to version 4.8-84.0
  1. Wenn es sich bei der Umgebung um ein VDC mit mehreren Racks handelt, muss das neue xDoctor-Paket auf dem ersten Node jedes Racks installiert werden. Um diese Primär-Nodes zu identifizieren, führen Sie den folgenden Befehl aus. In diesem Fall gibt es vier Racks, daher sind vier Primär-Nodes hervorgehoben.
  1. Suchen der primären Rack-Nodes
Befehl: 
# svc_exec -m "ip address show private.4 |grep -w inet"
Beispiel: 
admin@ecsnode1~> svc_exec -m "ip address show private.4 |grep -w inet"
svc_exec v1.0.2 (svc_tools v2.1.0)                 Started 2021-12-20 14:03:33
 
Output from node: r1n1                                retval: 0
    inet 169.254.1.1/16 brd 169.254.255.255 scope global private.4
 
Output from node: r2n1                                retval: 0
    inet 169.254.2.1/16 brd 169.254.255.255 scope global private.4
 
Output from node: r3n1                                retval: 0
    inet 169.254.3.1/16 brd 169.254.255.255 scope global private.4
 
Output from node: r4n1                                retval: 0
    inet 169.254.4.1/16 brd 169.254.255.255 scope global private.4
  1. Kopieren Sie das Paket vom ersten Node des ECS (R1N1) auf die anderen primären Racks wie unten beschrieben:
Beispiel: 
admin@ecs-n1:  scp xDoctor4ECS-4.8-84.0.noarch.rpm 169.254.2.1:/home/admin/
xDoctor4ECS-4.8-84.0.noarch.rpm                                                                                                                        100%   32MB  31.9MB/s   00:00
admin@ecsnode1~> scp xDoctor4ECS-4.8-84.0.noarch.rpm 169.254.3.1:/home/admin/
xDoctor4ECS-4.8-84.0.noarch.rpm                                                                                                                        100%   32MB  31.9MB/s   00:00
admin@ecsnode1~> scp xDoctor4ECS-4.8-784.0.noarch.rpm 169.254.4.1:/home/admin/
xDoctor4ECS-4.8-84.0.noarch.rpm                                                                                                                        100%   32MB  31.9MB/s   00:00
admin@ecsnode1~>
  1. Führen Sie gemäß Schritt 1 oben denselben xDoctor-Installationsbefehl auf jedem der oben genannten Primär-Nodes aus, die zuvor identifiziert wurden. 
Befehl: 
# sudo xdoctor --upgrade --local=/home/admin/xDoctor4ECS-4.8-84.0.noarch.rpm
 
  1. Führen Sie Vorabprüfungen aus
  1. Verwenden Sie den Befehl svc_dt, um zu überprüfen, ob DTs stabil sind. DTs sind stabil, wenn die Spalte „Unready #0 anzeigt. Ist dies der Fall, fahren Sie mit der nächsten Prüfung fort. Wenn nicht, warten Sie 15 Minuten und prüfen Sie erneut. Wenn sich die DTs nicht stabilisiert haben, öffnen Sie einen Service-Request beim ECS-Supportteam.
Befehl: 
# svc_dt check -b
Beispiel: 
admin@ecs-n1: svc_dt check -b

svc_dt v1.0.27 (svc_tools v2.4.1)                 Started 2022-06-14 11:34:26

Date                     Total DT       Unknown #      Unready #      RIS Fail #     Dump Fail #    Check type     Time since check   Check successful

2022-06-14 11:34:09      1920           0              0              0              0              AutoCheck      0m 17s             True
2022-06-14 11:32:59      1920           0              0              0              0              AutoCheck      1m 27s             True
2022-06-14 11:31:48      1920           0              0              0              0              AutoCheck      2m 38s             True
2022-06-14 11:30:38      1920           0              0              0              0              AutoCheck      3m 48s             True
2022-06-14 11:29:28      1920           0              0              0              0              AutoCheck      4m 58s             True
2022-06-14 11:28:18      1920           0              0              0              0              AutoCheck      6m 8s              True
2022-06-14 11:27:07      1920           0              0              0              0              AutoCheck      7m 19s             True
2022-06-14 11:25:57      1920           0              0              0              0              AutoCheck      8m 29s             True
2022-06-14 11:24:47      1920           0              0              0              0              AutoCheck      9m 39s             True
2022-06-14 11:23:37      1920           0              0              0              0              AutoCheck      10m 49s            True
  1. Verwenden Sie den Befehl svc_patch, um zu überprüfen, ob alle Nodes online sind. Ist dies der Fall, fahren Sie mit dem nächsten Schritt fort. Falls nicht, ermitteln Sie den Grund, schalten Sie den Node wieder online und führen Sie die Prüfung erneut aus. Wenn ein Node nicht online geschaltet werden kann, eröffnen Sie eine Service-Request beim ECS-Supportteam, um dies zu untersuchen.
Befehl: 
# /opt/emc/xdoctor/patches/CVE-2022-31231_iam-fix/svc_patch status
Beispiel: 
admin@ecs-n1:~> /opt/emc/xdoctor/patches/CVE-2022-31231_iam-fix/svc_patch status
svc_patch Version 2.9.2

Verifying patch bundle consistency                    DONE
Detecting nodes in current VDC                        DONE
Reading in patch details (1 of 2)                     DONE
Reading in patch details (2 of 2)                     DONE
Validating nodes are online                           DONE
Checking Installed Patches and Dependencies           DONE

Patches/releases currently installed:
        n/a                                      (Base release)

Patches that need to be installed:
        CVE-2022-31231_iam-fix                                  (PatchID: 3525)

Files that need to be installed:
        /opt/storageos/conf/iam.object.properties               (from CVE-2022-31231_iam-fix)
        /opt/storageos/lib/storageos-iam.jar                    (from CVE-2022-31231_iam-fix)

The following services need to be restarted:
        dataheadsvc
 
  1. Wenden Sie den Patch mit dem svc_patch-Tool an, das im Lieferumfang von xDoctor enthalten ist.
  1. Führen Sie den Befehl svc_patch aus, geben Sie „y“ ein und drücken Sie die Eingabetaste, wenn Sie aufgefordert werden, den Patch zu installieren. Der Befehl kann auf jedem ECS-Node ausgeführt werden. 
Befehle: 
# screen -S patchinstall
# unset TMOUT
# /opt/emc/xdoctor/patches/CVE-2022-31231_iam-fix/svc_patch install
Beispiel:
Hinweis: Eine Aufforderung zum Fortfahren ist in der folgenden Ausgabe enthalten. 
admin@ecs-n1:~> screen -S patchinstall
admin@ecs-n1:~> unset TMOUT
admin@ecs-n1:~> /opt/emc/xdoctor/patches/CVE-2022-31231_iam-fix/svc_patch install
svc_patch Version 2.9.2

Verifying patch bundle consistency                    DONE
Detecting nodes in current VDC                        DONE
Reading in patch details (1 of 2)                     DONE
Reading in patch details (2 of 2)                     DONE
Validating nodes are online                           DONE
Checking Installed Patches and Dependencies           DONE

Patches/releases currently installed:
        n/a                                      (Base release)

Patches that will be installed:
        CVE-2022-31231_iam-fix                                  (PatchID: 3525)

Files that will be installed:
        /opt/storageos/conf/iam.object.properties               (from CVE-2022-31231_iam-fix)
        /opt/storageos/lib/storageos-iam.jar                    (from CVE-2022-31231_iam-fix)

The following services will be restarted:
        dataheadsvc

Patch Type:                                                     Standalone
Number of nodes:                                                5
Number of seconds to wait between restarting node services:     60
Check DT status between node service restarts:                  false

Do you wish to continue (y/n)?y


Distributing files to node 169.254.1.1
        Distributing patch installer to node '169.254.1.1'
Distributing files to node 169.254.1.2
        Distributing patch installer to node '169.254.1.2'
Distributing files to node 169.254.1.3
        Distributing patch installer to node '169.254.1.3'
Distributing files to node 169.254.1.4
        Distributing patch installer to node '169.254.1.4'
Distributing files to node 169.254.1.5
        Distributing patch installer to node '169.254.1.5'


Restarting services on 169.254.1.1
        Restarting dataheadsvc
        Waiting 60 seconds for services to stabilize...DONE
Restarting services on 169.254.1.2
        Restarting dataheadsvc
        Waiting 60 seconds for services to stabilize...DONE
Restarting services on 169.254.1.3
        Restarting dataheadsvc
        Waiting 60 seconds for services to stabilize...DONE
Restarting services on 169.254.1.4
        Restarting dataheadsvc
        Waiting 60 seconds for services to stabilize...DONE
Restarting services on 169.254.1.5
        Restarting dataheadsvc
        Waiting 60 seconds for services to stabilize...DONE

Patching complete. 
  1. Beenden Sie die Bildschirmsitzung, wenn die Aktualisierung gemäß der obigen Ausgabe abgeschlossen wurde.
Beispiel: 
admin@node1:/> exit
logout

[screen is terminating]
admin@node1:/>
Hinweis: Wenn wir die PuTTY-Sitzung versehentlich schließen, melden Sie sich wieder bei demselben Node an und führen Sie den folgenden Befehl aus, um die Verbindung wiederherzustellen.
 
Befehl: 
admin@node 1:~> screen -ls
There is a screen on:
        113275.pts-0.ecs-n3     (Detached)
1 Socket in /var/run/uscreens/S-admin.
Erneut an eine getrennte Sitzung von der vorherigen Ausgabe anbinden. 
admin@node1:~> screen -r 113277.pts-0.ecs-n3
 
  1. Vergewissern Sie sich, dass die Korrektur angewendet wurde.
  1. Die folgende Ausgabe stammt von einem ECS, auf das die Korrektur angewendet wurde.
Befehl: 
# /opt/emc/xdoctor/patches/CVE-2022-31231_iam-fix/svc_patch status
Beispiel: 
admin@ecs-n1:~> /opt/emc/xdoctor/patches/CVE-2022-31231_iam-fix/svc_patch status
svc_patch Version 2.9.2

Verifying patch bundle consistency                    DONE
Detecting nodes in current VDC                        DONE
Reading in patch details (1 of 2)                     DONE
Reading in patch details (2 of 2)                     DONE
Validating nodes are online                           DONE
Checking Installed Patches and Dependencies           DONE

Patches/releases currently installed:
        CVE-2022-31231_iam-fix                   (PatchID: 3525)        Fix for ECS iam vulnerability CVE-2022-31231
        n/a                                      (Base release)

Patches that need to be installed:

        No files need to be installed.


The following services need to be restarted:
        No services need to be restarted.
  1. Die folgende Ausgabe stammt von einem ECS, auf das die Korrektur nicht angewendet wurde.
Beispiel:  
admin@ecs-n1:~> /opt/emc/xdoctor/patches/CVE-2022-31231_iam-fix/svc_patch status
svc_patch Version 2.9.2

Verifying patch bundle consistency                    DONE
Detecting nodes in current VDC                        DONE
Reading in patch details (1 of 2)                     DONE
Reading in patch details (2 of 2)                     DONE
Validating nodes are online                           DONE
Checking Installed Patches and Dependencies           DONE

Patches/releases currently installed:
        n/a                                      (Base release)

Patches that need to be installed:
        CVE-2022-31231_iam-fix                                  (PatchID: 3525)

Files that need to be installed:
        /opt/storageos/conf/iam.object.properties               (from CVE-2022-31231_iam-fix)
        /opt/storageos/lib/storageos-iam.jar                    (from CVE-2022-31231_iam-fix)

The following services need to be restarted:
        dataheadsvc


Troubleshooting

  1. Der Patch meldet während der Vorabprüfung den folgenden Fehler. Wenden Sie sich in diesem Fall an den Remotesupport, der einen isolierten Patch für den Kunden für eine bestimmte Umgebung bereitstellt
Beispiel:  
admin@ecs-n1 /opt/emc/xdoctor/patches/CVE-2022-31231_iam-fix/svc_patch status
svc_patch Version 2.9.2

Verifying patch bundle consistency                    DONE
Detecting nodes in current VDC                        DONE
Reading in patch details (1 of 2)                     DONE
Reading in patch details (2 of 2)                     DONE
Validating nodes are online                           DONE
Checking Installed Patches and Dependencies           FAILED
Fatal:  Currently installed version of storageos-iam.jar is unknown.
        This likely means that a custom Isolated Patch is installed.
        Please contact your next level of support for further steps, and
        include this information
        Detected md5sum:  6ec26421d426365ecb2a63d8e0f8ee4f
  1. Der Host konnte der Liste der bekannten Hosts während der Anwendung des Patches nicht hinzugefügt werden.
Beispiel:  
svc_patch Version 2.9.2

Verifying patch bundle consistency                    DONE
Detecting nodes in current VDC                        DONE
Reading in patch details (1 of 2)                     DONE
Reading in patch details (2 of 2)                     DONE
Validating nodes are online                           FAILED

ERROR: Could not execute commands on the object-main container on 169.254.x.x
  Output was 'Failed to add the host to the list of known hosts (/home/admin/.ssh/known_hosts).
:patchtest:'

Patching is unable to continue with unreachable nodes.  To proceed:
 - Resolve problems accessing node(s) from this one.
 - Manually pass a MACHINES file containing the list of working nodes to patch (not recommended).
 - Contact your next level of support for other options or assistance.
Lösung:
Der Grund könnte sein, dass der Nutzer der Datei /home/admin/.ssh/known_hosts „root“ war, standardmäßig aber „admin“ sein sollte. 
 
Beispiel:  
admin@node1:~> ls -l  /home/admin/.ssh/known_hosts
-rw------- 1 root root 1802 Jul 23  2019 /home/admin/.ssh/known_hosts
admin@ecs:~>
 
Um das Problem zu beheben, melden Sie sich über PuTTY bei den gemeldeten Nodes an und wechseln Sie von "Root" zum Nutzer "admin" mithilfe des folgenden Befehls auf jedem Node:
 
Befehl: 
#  sudo chown admin:users /home/admin/.ssh/known_hosts
Beispiel: 
admin@node1:~> sudo chown admin:users /home/admin/.ssh/known_hosts
 Führen Sie nun den svc_patch Befehl erneut aus. Er sollte erfolgreich sein 
admin@node1:~> /opt/emc/xdoctor/patches/CVE-2022-31231_iam-fix/svc_patch install
 
  1. Befehle konnten auf dem Objekthauptcontainer auf 169.254.x.x aufgrund eines falschen Hostschlüssels in /home/admin/.ssh/known_hosts nicht ausgeführt werden.
Beispiel: 
svc_patch Version 2.9.2

Verifying patch bundle consistency                    DONE
Detecting nodes in current VDC                        DONE
Reading in patch details (1 of 2)                     DONE
Reading in patch details (2 of 2)                     DONE
Validating nodes are online                           FAILED

ERROR: Could not execute commands on the object-main container on 169.254.x.x
  Output was '@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@    WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED!     @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!
Someone could be eavesdropping on you right now (man-in-the-middle attack)!
It is also possible that a host key has just been changed.
The fingerprint for the ECDSA key sent by the remote host is
SHA256:RcwOsFj7zPA5p5kSeYovF4UlZTm125nLVeCL1zCqOzc.
Please contact your system administrator.
Add correct host key in /home/admin/.ssh/known_hosts to get rid of this message.
Offending ECDSA key in /home/admin/.ssh/known_hosts:14
You can use following command to remove the offending key:
ssh-keygen -R 169.254.x.x -f /home/admin/.ssh/known_hosts
Password authentication is disabled to avoid man-in-the-middle attacks.
Keyboard-interactive authentication is disabled to avoid man-in-the-middle attacks.
:patchtest:'

Patching is unable to continue with unreachable nodes.  To proceed:
 - Resolve problems accessing node(s) from this one.
 - Manually pass a MACHINES file containing the list of working nodes to patch (not recommended).
 - Contact your next level of support for other options or assistance.
 
Lösung:
 Wenden Sie sich an den ECS-Support, um eine Lösung zu erhalten.

 

  1. Wenn Sie die xDoctor-Version 4.8-85.0 in Vorabprüfungen verwenden oder diesen Patch anwenden, erhalten Sie möglicherweise eine Warnmeldung, die angibt, dass die md5sum-svc_base.py nicht übereinstimmt:
# /opt/emc/xdoctor/patches/CVE-2022-31231_iam-fix/svc_patch status 
svc_patch Version 2.9.3

Verifying patch bundle consistency                    FAILED

Patch bundle consistency check failed - md5sums for one or more files
in the patch bundle were invalid, or files were not found.

svc_patch will attempt to validate files in the patch using MD5SUMS.bundle, which
is bundled with the patch.

Output from md5sum was:
./lib/libs/svc_base.py: FAILED
md5sum: WARNING: 1 computed checksum did NOT match
 
  

   Lösung:
   
Führen Sie den folgenden Befehl aus, um md5sum zu aktualisieren, bevor Sie den Patch anwenden:
  
 
  
# sudo sed -i '/svc_base.py/d' /opt/emc/xdoctor/patches/CVE-2022-31231_iam-fix/MD5SUMS.bundle
# sudo sed -i '/MD5SUMS.bundle/d' /opt/emc/xdoctor/.xdr_chksum

 
  


            


        

        
    






                        

                            

    

        

            

                
                    
 Article Properties

                
            

            

                

                        
Article Number: 000200962

                

                
                

                        
Article Type: Solution

                

                

                        
Last Modified: 21 Oct 2024


                

                    

                            
Version:  25

                    


            


        

    

    

        

            

                
                    
Find answers to your questions from other Dell users

                
            

            

                

                    
                



            


        

    

    

        

            

                
                    
Support Services

                
            

            

                

                    Check if your device is covered by Support Services.