Skip to main content
Sign Out

Welcome to Dell

My Account
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Create and access a list of your products
Sign In Create an Account Premier Sign In Partner Program Sign In
Contact Us

Your Dell.com Carts

ECS:3.5.x/3.6.xのCVE-2022-31231セキュリティ脆弱性に対処するソリューション

Summary: Identity and Access Management (IAM)モジュールの不適切なアクセス制御に対処します。リモートで承認されていない攻撃者がこの脆弱性を悪用し、許可されていないデータへの読み取りアクセスを取得する可能性があります。これは、すべてのECS 3.5.x.xおよびECS 3.6.x.xバージョンに影響します。

This article applies to   This article does not apply to 
Check out resources for

Symptoms

CVE ID:CVE-2022-31231
重大度:中

Cause

IDENTITY and Access Management (IAM)モジュールの不適切なアクセス制御が原因です。

Resolution

この手順は誰が実行すべきですか?
xDoctorをアップグレードし、パッチをインストールする手順は、お客様が実行する必要があります。これは、この脆弱性への長期間の露出を回避するための最も迅速かつ安全な方法です。すべての手順については、このKBで詳しく説明しています。また、このKBに加えて、以下のリンクに記載されているビデオ ガイドも参考にできます。



手順による影響:
dataheadsvcサービスがノードごとに再起動されている間は、I/Oタイムアウトが発生する可能性があります。アプリケーションは、ロード バランサーを介してクラスターにアクセスし、I/Oタイムアウトを処理できる必要があります。この手順を実行する場合は、メンテナンス ウィンドウをお勧めします。

CASのみのバケットである場合の例外:
システム上のすべてのバケットが以下にハイライト表示されているCASのみである場合、このセキュリティ脆弱性の影響を受けません。したがって、このパッチを適用する必要も、このKBに従う必要もありません。

コマンド:svc_bucket list
例:

admin@ecs-n1:~> svc_bucket list
svc_bucket v1.0.33 (svc_tools v2.5.1)                 Started 2022-07-08 08:49:11

                                                                                                                                       Bucket     Temp
                                                                 Replication         Owner            Owner           API     FS       Versioning Failed
Bucket Name                            Namespace                 Group               User             VDC             Type    Enabled  Enabled    (TSO)

cas_bucket                             region_ns                 RG1                 casuser          VDC1            CAS     false    Disabled   False
cas_bu                                 region_ns                 RG1                 cas_obj          VDC1            CAS     false    Disabled   False
test                                   region_ns                 RG1                 test1            VDC1            CAS     false    Disabled   False
test_cas                               region_ns                 RG1                 test_cas         VDC1            CAS     false    Disabled   False
test_bkt_cas                           region_ns                 RG1                 user_test        VDC1            CAS     false    Disabled   False
Friday_cas                             region_ns                 RG1                 Friday_cas       VDC1            CAS     false    Disabled   False


アクティビティーにかかる時間(概算):
サービスを再起動する間隔は、ノードごとにデフォルトで60秒の遅延が設定されています。仮想データ センター(VDC)内のノード数に、準備、サービス安定化、必要な事後チェックのために60秒 + 30分を掛けた値です。

例:
48ノードのVDCシステムでは、約80分かかります。
60秒 x 48(VDCノードの数) + 30分(準備) = 約80分。

8ノードのVDCシステムでは、約40分かかります。
60秒 x 8(VDCノードの数) + 30分(準備) = 約40分。


よくある質問/FAQ:
Q:パッチはxDoctorリリースに含まれますか?
A:パッチ インストール スクリプトは、xDoctorリリース4.8-84以降に含まれます。xDoctorのダウンロードおよびパッチ インストール実行の手順は、解決手順に記載されています。

Q:複数のVDCを並列でアップデートすることはできますか?
A:いいえ、一度に1つのVDCにパッチを適用します。

Q:この手順を実行した後にECSをアップグレードする場合、アップグレード後にこの手順を再実行するのですか?
A: いいえ(恒久対策を含むDSA-2022-153で指定されたコード バージョンにアップグレードする場合)。はい(この同じDSAで指定されていないコード バージョンにアップグレードする場合)。

Q:ノードの交換、再イメージ化、または拡張の後で、以前インストールされていたシステムでパッチを再適用する必要がありますか?
A:いいえ(VDCがDSA-2022-153で指定された恒久対策を含むコード バージョンである場合)。はい(この同じDSAで指定されていないコード バージョンを実行しているVDCに対してこれらのアクションのいずれかを実行する場合)。これらのシナリオでパッチが必要な場合は、該当するDellエンジニアから、アップデートが必要であるという連絡があります。

Q:レガシー ユーザーのみを使用し、IAMを使用していない場合はどうなりますか?
A:IAMではなくレガシー ユーザーのみを使用している場合でも、お客様はパッチを適用する必要があります。

Q:このKBのすべてのコマンドを実行するには、どのユーザーでログインする必要がありますか?
A:admin

Q:svc_patchは、すべてのラックで実行する必要がありますか。または、VDC内に複数のラックがある特殊なマシン用ファイルを使用して実行する必要がありますか?
A:いいえ。複数のラックが存在する場合は自動検出され、そのVDC上のすべてのラック上のすべてのノードにパッチが適用されます。

Q:ターゲットのxDoctorリリースが4.8-84.0でなくなったことに気付きました。これはどうしてですか?
A:xDoctorは頻繁にリリースされるため、常に最新リリース バージョンにアップグレードすることをお勧めします。ただし、以前に4.8-84.0を使用して修正を実行したことがある場合は、システムはこの脆弱性から完全に保護されており、再実行する必要はありません。

解決策の概要:

  1. お使いのECS xDoctorソフトウェアをバージョン4.8.-84.0以降にアップグレードします。
  2. 事前チェックを実行します。
  3. xDoctorに含まれているsvc_patchツールを使用して、システム パッチを適用します。
  4. 修正が適用されていることを確認します。
  5. トラブルシューティング。

解決策の手順:

  1. Eお使いのECS xDoctorソフトウェアを使用可能な最新バージョンにアップグレードします。

  1. お使いのシステムで実行されているxDoctorのバージョンを確認します。バージョンが4.8-84.0以降の場合は、手順2の「事前チェックの実行」に移動します。そうでない場合は、次の手順に進みます。
コマンド:
# sudo xdoctor --version

Example: 
admin@node1:~> sudo xdoctor --version
4.8-84.0
  1. Dellサポート サイトにサインインし、ダウンロード リンクに直接接続し、キーワード検索バーを使用してxDoctorを検索して、xDoctor 4.8-84.0 RPMをダウンロードするリンクをクリックします。リリース ノートを表示する場合は、マニュアル ページで、サイドバーから[マニュアルおよび文書]を選択し、リリース ノートをダウンロードします。
  2. RPMがダウンロードされたら、いずれかのリモートSCPプログラムを使用して、最初のECSノードの/home/adminディレクトリにファイルをアップロードします。
  3. アップロードが完了したら、adminを使用してそのECSシステムの最初のノードにSSHで接続します。
  4. 新しく頒布されたバージョンを使用して、すべてのノードでxDoctorをアップグレードします。 
コマンド:
# sudo xdoctor --upgrade --local=/home/admin/xDoctor4ECS-4.8-84.0.noarch.rpm
 
Example: 
admin@ecs-n1:~> sudo xdoctor --upgrade --local=/home/admin/xDoctor4ECS-4.8-84.0.noarch.rpm
2022-07-04 07:41:49,209: xDoctor_4.8-83.0 - INFO    : xDoctor Upgrader Instance (1:SFTP_ONLY)
2022-07-04 07:41:49,210: xDoctor_4.8-83.0 - INFO    : Local Upgrade (/home/admin/xDoctor4ECS-4.8-84.0.noarch.rpm)
2022-07-04 07:41:49,226: xDoctor_4.8-83.0 - INFO    : Current Installed xDoctor version is 4.8-83.0
2022-07-04 07:41:49,242: xDoctor_4.8-83.0 - INFO    : Requested package version is 4.8-84.0
2022-07-04 07:41:49,242: xDoctor_4.8-83.0 - INFO    : Updating xDoctor RPM Package (RPM)
2022-07-04 07:41:49,293: xDoctor_4.8-83.0 - INFO    :  - Distribute package
2022-07-04 07:41:50,759: xDoctor_4.8-83.0 - INFO    :  - Install new rpm package
2022-07-04 07:42:04,401: xDoctor_4.8-83.0 - INFO    : xDoctor successfully updated to version 4.8-84.0
  1. 環境がマルチラックVDCの場合は、新しいxDoctorパッケージを各ラックの最初のノードにインストールする必要があります。これらのラックのプライマリーを識別するには、次のコマンドを実行します。この例では、4台のラックがあるので4つのラック プライマリーがハイライト表示されています
  1. ラックのプライマリー ノードを検索します。
コマンド:
# svc_exec -m "ip address show private.4 |grep -w inet"

Example: 
admin@ecsnode1~> svc_exec -m "ip address show private.4 |grep -w inet"
svc_exec v1.0.2 (svc_tools v2.1.0)                 Started 2021-12-20 14:03:33
 
Output from node: r1n1                                retval: 0
    inet 169.254.1.1/16 brd 169.254.255.255 scope global private.4
 
Output from node: r2n1                                retval: 0
    inet 169.254.2.1/16 brd 169.254.255.255 scope global private.4
 
Output from node: r3n1                                retval: 0
    inet 169.254.3.1/16 brd 169.254.255.255 scope global private.4
 
Output from node: r4n1                                retval: 0
    inet 169.254.4.1/16 brd 169.254.255.255 scope global private.4
  1. そのシステムの最初のノード(R1N1)から、それ以降の他のラック プライマリーにパッケージをコピーします。
Example: 
admin@ecs-n1:  scp xDoctor4ECS-4.8-84.0.noarch.rpm 169.254.2.1:/home/admin/
xDoctor4ECS-4.8-84.0.noarch.rpm                                                                                                                        100%   32MB  31.9MB/s   00:00
admin@ecsnode1~> scp xDoctor4ECS-4.8-84.0.noarch.rpm 169.254.3.1:/home/admin/
xDoctor4ECS-4.8-84.0.noarch.rpm                                                                                                                        100%   32MB  31.9MB/s   00:00
admin@ecsnode1~> scp xDoctor4ECS-4.8-784.0.noarch.rpm 169.254.4.1:/home/admin/
xDoctor4ECS-4.8-84.0.noarch.rpm                                                                                                                        100%   32MB  31.9MB/s   00:00
admin@ecsnode1~>
  1. 前述の手順1に従って、前述の各ラック プライマリーに対して同じxDoctorインストール コマンドを実行します。 
コマンド:
# sudo xdoctor --upgrade --local=/home/admin/xDoctor4ECS-4.8-84.0.noarch.rpm
 
  1. 事前チェックの実行
  1. svc_dtコマンドを使用して、DTが安定しているかどうかを確認します。「Unready #」列に0が表示されている場合、DTは安定しています。その場合は、次のチェックに進みます。そうでない場合は、15分待ってからもう一度確認します。DTが安定していない場合は、ECSサポート チームのサービス リクエストを作成します。
コマンド:
# svc_dt check -b
 
Example: 
admin@ecs-n1: svc_dt check -b

svc_dt v1.0.27 (svc_tools v2.4.1)                 Started 2022-06-14 11:34:26

Date                     Total DT       Unknown #      Unready #      RIS Fail #     Dump Fail #    Check type     Time since check   Check successful

2022-06-14 11:34:09      1920           0              0              0              0              AutoCheck      0m 17s             True
2022-06-14 11:32:59      1920           0              0              0              0              AutoCheck      1m 27s             True
2022-06-14 11:31:48      1920           0              0              0              0              AutoCheck      2m 38s             True
2022-06-14 11:30:38      1920           0              0              0              0              AutoCheck      3m 48s             True
2022-06-14 11:29:28      1920           0              0              0              0              AutoCheck      4m 58s             True
2022-06-14 11:28:18      1920           0              0              0              0              AutoCheck      6m 8s              True
2022-06-14 11:27:07      1920           0              0              0              0              AutoCheck      7m 19s             True
2022-06-14 11:25:57      1920           0              0              0              0              AutoCheck      8m 29s             True
2022-06-14 11:24:47      1920           0              0              0              0              AutoCheck      9m 39s             True
2022-06-14 11:23:37      1920           0              0              0              0              AutoCheck      10m 49s            True
  1. svc_patchコマンドを使用して、すべてのノードがオンラインであることを確認します。すべてのノードがオンラインの場合は、次の手順に進みます。そうでない場合は、理由を調査し、オンラインに戻して、もう一度チェックを実行します。ノードをオンラインにできない場合は、調査のためにECSサポート チームのサービス リクエストを開きます。
コマンド:
#/opt/emc/xdoctor/patches/CVE-2022-31231_iam-fix/svc_patch status
 
Example: 
admin@ecs-n1:~> /opt/emc/xdoctor/patches/CVE-2022-31231_iam-fix/svc_patch status
svc_patch Version 2.9.2

Verifying patch bundle consistency                    DONE
Detecting nodes in current VDC                        DONE
Reading in patch details (1 of 2)                     DONE
Reading in patch details (2 of 2)                     DONE
Validating nodes are online                           DONE
Checking Installed Patches and Dependencies           DONE

Patches/releases currently installed:
        n/a                                      (Base release)

Patches that need to be installed:
        CVE-2022-31231_iam-fix                                  (PatchID: 3525)

Files that need to be installed:
        /opt/storageos/conf/iam.object.properties               (from CVE-2022-31231_iam-fix)
        /opt/storageos/lib/storageos-iam.jar                    (from CVE-2022-31231_iam-fix)

The following services need to be restarted:
        dataheadsvc
 
  1. xDoctorに含まれているsvc_patchツールを使用して、システム パッチを適用します。
  1. svc_patchコマンドを実行し、パッチのインストールを確認するプロンプトが表示されたら「y」と入力し、Enterキーを押します。このコマンドは、どのECSノードでも実行できます。 
コマンド:
# screen -S patchinstall
# unset TMOUT
# /opt/emc/xdoctor/patches/CVE-2022-31231_iam-fix/svc_patch install

例:
メモ:次の出力に、続行するプロンプトが表示されています。 
admin@ecs-n1:~> screen -S patchinstall
admin@ecs-n1:~> unset TMOUT
admin@ecs-n1:~> /opt/emc/xdoctor/patches/CVE-2022-31231_iam-fix/svc_patch install
svc_patch Version 2.9.2

Verifying patch bundle consistency                    DONE
Detecting nodes in current VDC                        DONE
Reading in patch details (1 of 2)                     DONE
Reading in patch details (2 of 2)                     DONE
Validating nodes are online                           DONE
Checking Installed Patches and Dependencies           DONE

Patches/releases currently installed:
        n/a                                      (Base release)

Patches that will be installed:
        CVE-2022-31231_iam-fix                                  (PatchID: 3525)

Files that will be installed:
        /opt/storageos/conf/iam.object.properties               (from CVE-2022-31231_iam-fix)
        /opt/storageos/lib/storageos-iam.jar                    (from CVE-2022-31231_iam-fix)

The following services will be restarted:
        dataheadsvc

Patch Type:                                                     Standalone
Number of nodes:                                                5
Number of seconds to wait between restarting node services:     60
Check DT status between node service restarts:                  false

Do you wish to continue (y/n)?y


Distributing files to node 169.254.1.1
        Distributing patch installer to node '169.254.1.1'
Distributing files to node 169.254.1.2
        Distributing patch installer to node '169.254.1.2'
Distributing files to node 169.254.1.3
        Distributing patch installer to node '169.254.1.3'
Distributing files to node 169.254.1.4
        Distributing patch installer to node '169.254.1.4'
Distributing files to node 169.254.1.5
        Distributing patch installer to node '169.254.1.5'


Restarting services on 169.254.1.1
        Restarting dataheadsvc
        Waiting 60 seconds for services to stabilize...DONE
Restarting services on 169.254.1.2
        Restarting dataheadsvc
        Waiting 60 seconds for services to stabilize...DONE
Restarting services on 169.254.1.3
        Restarting dataheadsvc
        Waiting 60 seconds for services to stabilize...DONE
Restarting services on 169.254.1.4
        Restarting dataheadsvc
        Waiting 60 seconds for services to stabilize...DONE
Restarting services on 169.254.1.5
        Restarting dataheadsvc
        Waiting 60 seconds for services to stabilize...DONE

Patching complete. 
  1. 前述の出力に従ってパッチ適用が完了したら、セッション画面を終了します。
Example: 
admin@node1:/> exit
logout

[screen is terminating]
admin@node1:/>
注:
実行中にPuTTYセッションを誤って閉じた場合は、同じノードに再度ログインして再接続し、次のコマンドを実行します。
 
コマンド:
# screen -ls 
admin@node 1:~> screen -ls
There is a screen on:
        113275.pts-0.ecs-n3     (Detached)
1 Socket in /var/run/uscreens/S-admin.
前の出力から切断されたセッションに再接続します 
admin@node1:~> screen -r 113277.pts-0.ecs-n3
 
  1. 修正が適用されていることを確認します。
  1. 以下の出力は、修正が適用されているシステムからの出力です。
コマンド:
#/opt/emc/xdoctor/patches/CVE-2022-31231_iam-fix/svc_patch status

Example: 
admin@ecs-n1:~> /opt/emc/xdoctor/patches/CVE-2022-31231_iam-fix/svc_patch status
svc_patch Version 2.9.2

Verifying patch bundle consistency                    DONE
Detecting nodes in current VDC                        DONE
Reading in patch details (1 of 2)                     DONE
Reading in patch details (2 of 2)                     DONE
Validating nodes are online                           DONE
Checking Installed Patches and Dependencies           DONE

Patches/releases currently installed:
        CVE-2022-31231_iam-fix                   (PatchID: 3525)        Fix for ECS iam vulnerability CVE-2022-31231
        n/a                                      (Base release)

Patches that need to be installed:

        No files need to be installed.


The following services need to be restarted:
        No services need to be restarted.
  1. 以下の出力は、修正が適用されていないシステムからの出力です。
Example:  
admin@ecs-n1:~> /opt/emc/xdoctor/patches/CVE-2022-31231_iam-fix/svc_patch status
svc_patch Version 2.9.2

Verifying patch bundle consistency                    DONE
Detecting nodes in current VDC                        DONE
Reading in patch details (1 of 2)                     DONE
Reading in patch details (2 of 2)                     DONE
Validating nodes are online                           DONE
Checking Installed Patches and Dependencies           DONE

Patches/releases currently installed:
        n/a                                      (Base release)

Patches that need to be installed:
        CVE-2022-31231_iam-fix                                  (PatchID: 3525)

Files that need to be installed:
        /opt/storageos/conf/iam.object.properties               (from CVE-2022-31231_iam-fix)
        /opt/storageos/lib/storageos-iam.jar                    (from CVE-2022-31231_iam-fix)

The following services need to be restarted:
        dataheadsvc


トラブルシューティング

  1. 事前チェックの実行中に、パッチで以下のエラーが報告されます。このシナリオでは、リモート サポートに連絡して、お客様の環境向けの個別パッチを取得します。
Example:  
admin@ecs-n1 /opt/emc/xdoctor/patches/CVE-2022-31231_iam-fix/svc_patch status
svc_patch Version 2.9.2

Verifying patch bundle consistency                    DONE
Detecting nodes in current VDC                        DONE
Reading in patch details (1 of 2)                     DONE
Reading in patch details (2 of 2)                     DONE
Validating nodes are online                           DONE
Checking Installed Patches and Dependencies           FAILED
Fatal:  Currently installed version of storageos-iam.jar is unknown.
        This likely means that a custom Isolated Patch is installed.
        Please contact your next level of support for further steps, and
        include this information
        Detected md5sum:  6ec26421d426365ecb2a63d8e0f8ee4f
  1. パッチの適用中に既知のホストのリストにホストを追加できなかった。
Example:  
svc_patch Version 2.9.2

Verifying patch bundle consistency                    DONE
Detecting nodes in current VDC                        DONE
Reading in patch details (1 of 2)                     DONE
Reading in patch details (2 of 2)                     DONE
Validating nodes are online                           FAILED

ERROR: Could not execute commands on the object-main container on 169.254.x.x
  Output was 'Failed to add the host to the list of known hosts (/home/admin/.ssh/known_hosts).
:patchtest:'

Patching is unable to continue with unreachable nodes.  To proceed:
 - Resolve problems accessing node(s) from this one.
 - Manually pass a MACHINES file containing the list of working nodes to patch (not recommended).
 - Contact your next level of support for other options or assistance.
解決策:
/home/admin/.ssh/known_hostsファイルのユーザーは、デフォルトでadminである必要があるが、これがrootであったことが原因である可能性があります。 
 
Example:  
admin@node1:~> ls -l  /home/admin/.ssh/known_hosts
-rw------- 1 root root 1802 Jul 23  2019 /home/admin/.ssh/known_hosts
admin@ecs:~>
 
別のPuTTYセッションから問題を解決するには、報告されたノードにログオンし、報告されたすべてのノードで以下のコマンドを使用して、rootユーザーとして表示されているノードでユーザーをadminに変更します。

コマンド:
#  sudo chown admin:users /home/admin/.ssh/known_hosts
 
例: 
admin@node1:~> sudo chown admin:users /home/admin/.ssh/known_hosts
 svc_patchコマンドをもう一度再実行します。今回は成功するはずです。 
admin@node1:~> /opt/emc/xdoctor/patches/CVE-2022-31231_iam-fix/svc_patch install
 
  1. /home/admin/.ssh/known_hostsのホスト キーが正しくないため、169.254.x.xのオブジェクト メイン コンテナでコマンドを実行できなかった。
Example: 
svc_patch Version 2.9.2

Verifying patch bundle consistency                    DONE
Detecting nodes in current VDC                        DONE
Reading in patch details (1 of 2)                     DONE
Reading in patch details (2 of 2)                     DONE
Validating nodes are online                           FAILED

ERROR: Could not execute commands on the object-main container on 169.254.x.x
  Output was '@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@    WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED!     @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!
Someone could be eavesdropping on you right now (man-in-the-middle attack)!
It is also possible that a host key has just been changed.
The fingerprint for the ECDSA key sent by the remote host is
SHA256:RcwOsFj7zPA5p5kSeYovF4UlZTm125nLVeCL1zCqOzc.
Please contact your system administrator.
Add correct host key in /home/admin/.ssh/known_hosts to get rid of this message.
Offending ECDSA key in /home/admin/.ssh/known_hosts:14
You can use following command to remove the offending key:
ssh-keygen -R 169.254.x.x -f /home/admin/.ssh/known_hosts
Password authentication is disabled to avoid man-in-the-middle attacks.
Keyboard-interactive authentication is disabled to avoid man-in-the-middle attacks.
:patchtest:'

Patching is unable to continue with unreachable nodes.  To proceed:
 - Resolve problems accessing node(s) from this one.
 - Manually pass a MACHINES file containing the list of working nodes to patch (not recommended).
 - Contact your next level of support for other options or assistance.
 
解決策:
 解決策については、ECSサポートにお問い合わせください。
 
  1. 事前チェックまたはこのパッチの適用でxDoctorバージョン4.8-85.0リリースを使用すると、md5sumがsvc_base.pyに一致しなかったことを示すアラートが表示されることがあります。
# /opt/emc/xdoctor/patches/CVE-2022-31231_iam-fix/svc_patch status 
svc_patch Version 2.9.3

Verifying patch bundle consistency                    FAILED

Patch bundle consistency check failed - md5sums for one or more files
in the patch bundle were invalid, or files were not found.

svc_patch will attempt to validate files in the patch using MD5SUMS.bundle, which
is bundled with the patch.

Output from md5sum was:
./lib/libs/svc_base.py: FAILED
md5sum: WARNING: 1 computed checksum did NOT match
 
解決策:
パッチを適用してmd5sumをアップデートする前に、次のコマンドを実行します。 
# sudo sed -i '/svc_base.py/d' /opt/emc/xdoctor/patches/CVE-2022-31231_iam-fix/MD5SUMS.bundle
# sudo sed -i '/MD5SUMS.bundle/d' /opt/emc/xdoctor/.xdr_chksum