Skip to main content
Sign Out

Welcome to Dell

My Account
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Create and access a list of your products
Sign In Create an Account Premier Sign In Partner Program Sign In
Contact Us

Your Dell.com Carts

ECS: Rozwiązanie problemu z luką w zabezpieczeniach CVE-2022-31231 w wersjach 3.5.x/3.6.x

Summary: Rozwiązuje problem nieprawidłowej kontroli dostępu w module IAM (Identity and Access Management, moduł zarządzania tożsamością i dostępem). Zdalna nieuwierzytelniona osoba atakująca może potencjalnie wykorzystać tę lukę zabezpieczeń i uzyskać dostęp do odczytu nieautoryzowanych danych. Dotyczy to wszystkich wersji ECS 3.5.x.x i ECS 3.6.x.x. ...

This article applies to   This article does not apply to 
Check out resources for

Symptoms

Identyfikator CVE: CVE-2022-31231
Waga problemu: Średnia

Cause

Nieprawidłowa kontrola dostępu w module IAM (Identity and Access Management, zarządzanie tożsamością i dostępem).

Resolution

Kto powinien uruchomić tę procedurę?
Firma Dell prosi o wykonanie tej procedury uaktualnienia oprogramowania xDoctor i instalacji poprawki przez klientów. Jest to najszybsza i najbezpieczniejsza metoda, ponieważ pozwala uniknąć długotrwałej ekspozycji na działanie tej luki w zabezpieczeniach. Wszystkie kroki są opisane w tym artykule bazy wiedzy. Oprócz tego pod poniższym łączem dostępny jest również przewodnik wideo związany z tym artykułem bazy wiedzy.



Wpływ procedury:
Podczas ponownego uruchamiania usług dataheadsvc w kolejnych węzłach, należy oczekiwać możliwych timeoutów we/wy. Aplikacje powinny uzyskiwać dostęp do klastra za pośrednictwem modułu równoważenia obciążenia oraz muszą być w stanie obsłużyć przekroczenie czasu we/wy. Wykonywanie tej procedury zaleca się podczas przerwy konserwacyjnej.

Tylko zasobniki CAS Wyjątek:
Jeśli wszystkie zasobniki w systemie są poniżej wyróżnione wyłącznie przez CAS, ta luka w zabezpieczeniach nie ma na nie wpływu. W związku z tym nie jest konieczne stosowanie poprawki oraz nie jest konieczne postępowanie zgodne z treścią tego artykułu bazy wiedzy.

Polecenie: svc_bucket list
Przykład:

admin@ecs-n1:~> svc_bucket list
svc_bucket v1.0.33 (svc_tools v2.5.1)                 Started 2022-07-08 08:49:11

                                                                                                                                       Bucket     Temp
                                                                 Replication         Owner            Owner           API     FS       Versioning Failed
Bucket Name                            Namespace                 Group               User             VDC             Type    Enabled  Enabled    (TSO)

cas_bucket                             region_ns                 RG1                 casuser          VDC1            CAS     false    Disabled   False
cas_bu                                 region_ns                 RG1                 cas_obj          VDC1            CAS     false    Disabled   False
test                                   region_ns                 RG1                 test1            VDC1            CAS     false    Disabled   False
test_cas                               region_ns                 RG1                 test_cas         VDC1            CAS     false    Disabled   False
test_bkt_cas                           region_ns                 RG1                 user_test        VDC1            CAS     false    Disabled   False
Friday_cas                             region_ns                 RG1                 Friday_cas       VDC1            CAS     false    Disabled   False


Czas potrzebny na to działanie (w przybliżeniu):
pomiędzy ponownymi uruchomieniami usługi na poszczególnych węzłach ustawiono opóźnienie 60 sekund na węzeł. Liczba węzłów w wirtualnym centrum przetwarzania danych (VDC) pomnożona przez 60 sekund + 30 minut na przygotowanie, stabilizację usług i wymagane testy POST.

Przykłady:
w przypadku systemu VDC z 48 węzłami procedura może trwać około 80 minut:
60 sekund x 48 (liczba węzłów VDC) + 30 minut (przygotowanie) = ok. 80 minut.

System VDC z 8 węzłami może trwać około 40 minut:
60 sekund x 8 (liczba węzłów VDC) + 30 minut (przygotowanie) = ok. 40 minut.


Często zadawane pytania:
Pytanie: Czy poprawka jest częścią danego wydania xDoctor?
Odpowiedź: Skrypt instalacyjny poprawki jest częścią wydania xDoctor 4.8-84 i nowszych. Instrukcje dotyczące pobierania xDoctor i wykonania instalacji poprawki znajdują się w krokach rozwiązywania problemów.

Pytanie: Czy mogę jednocześnie zaktualizować kilka VDC?
Odpowiedź: Nie, należy wprowadzać poprawki 1 VDC na raz.

Pytanie: Czy w przypadku aktualizacji ECS po wykonaniu tej procedury mam powtórzyć procedurę po aktualizacji? 
Odpowiedź: Nie, w przypadku aktualizacji do wersji kodu określonej w DSA-2022-153, która zawiera trwałą poprawkę. Tak, w przypadku aktualizacji do wersji kodu, której nie określono w tym samym DSA.

Pytanie: Czy poprawka musi zostać ponownie zainstalowana w systemie, w którym została wcześniej zainstalowana po wymianie, ponownym utworzeniu obrazu lub rozszerzeniu węzła?
Odpowiedź: Nie, jeśli VDC jest w wersji kodu określonej w DSA-2022-153, która zawiera trwałą poprawkę. Tak, w przypadku wykonywania któregokolwiek z tych działań względem VDC z wersją kodu, której nie określono w tym DSA. Jeśli poprawka jest wymagana w tych scenariuszach, inżynier firmy Dell skontaktuje się w celu poinformowania, że aktualizacja jest wymagana

Pytanie: Co zrobić, jeśli korzystam wyłącznie ze starszych wersji użytkowników oraz nie korzystam z IAM?
Odpowiedź: Klienci muszą zastosować poprawkę niezależnie od tego, czy korzystają ze starszych wersji użytkowników, a nie z IAM.

Pytanie: Który rodzaj użytkownika musi być zalogowany, aby możliwe było wykonanie wszystkich poleceń wymienionych w tym artykule bazy wiedzy?
Odpowiedź: admin

Pytanie: Czy poprawka svc_patch musi być uruchamiana na wszystkich szafach serwerowych, czy z plikiem wyspecjalizowanych maszyn, w których występuje wiele szaf w VDC?
Odpowiedź: Nie, program automatycznie wykrywa, czy istnieje wiele szaf serwerowych oraz czy poprawka została wprowadzona do wszystkich węzłów wszystkich szaf serwerowych danego VDC.

Pytanie: Widzę, że docelowe wydanie oprogramowania xDoctor to już nie 4.8-84.0. Dlaczego?
Odpowiedź: Kolejne wydania xDoctor są wprowadzane często, dlatego zawsze zaleca się uaktualnienie do najnowszej wersji. Jeśli jednak wcześniej uruchomiono poprawkę przy użyciu wersji 4.8-84.0, system jest w pełni chroniony przed luką w zabezpieczeniach oraz nie wymaga ponownej instalacji.

Podsumowanie rozwiązania:

  1. Uaktualnij oprogramowanie ECS xDoctor do wersji 4.8.-84.0 lub nowszej.
  2. Uruchom testy wstępne.
  3. Zastosuj poprawkę systemową za pomocą narzędzia svc_patch zawartego w xDoctor.
  4. Potwierdź, że poprawka została zastosowana.
  5. Rozwiązywanie problemów.

Kroki rozwiązania:

  1. Uaktualnij oprogramowanie ECS xDoctor do najnowszej dostępnej wersji.

  1. Sprawdź wersję xDoctor działającą w systemie. W przypadku wersji 4.8-84.0 lub nowszej przejdź do kroku 2 „Uruchamianie testów wstępnych”. Jeśli nie, postępuj zgodnie z poniższymi instrukcjami.
Polecenie: 
# sudo xdoctor --version

Przykład: 
admin@node1:~> sudo xdoctor --version
4.8-84.0
  1. Zaloguj się do witryny pomocy technicznej firmy Dell, połącz się bezpośrednio za pomocą tego łącza pobierania, wyszukaj xDoctor przy użyciu paska wyszukiwania słów kluczowych i kliknij łącze xDoctor 4.8-84.0 RPM w celu pobrania programu. Jeśli chcesz wyświetlić informacje dotyczące wydania, postępuj zgodnie z informacjami dotyczącymi wydania, wybierz podręczniki i dokumenty z paska bocznego, z którego powinny być dostępne do pobrania.
  2. Po pobraniu RPM użyj dowolnego zdalnego programu SCP, aby przesłać plik do katalogu /home/admin na pierwszym węźle ECS.
  3. Po zakończeniu przesyłania – SSH do pierwszego węzła systemu ECS przy użyciu uprawnień administratora.
  4. Uaktualnij oprogramowanie xDoctor na wszystkich węzłach za pomocą właśnie przekazanej wersji. 
Polecenie:
# sudo xdoctor --upgrade --local=/home/admin/xDoctor4ECS-4.8-84.0.noarch.rpm
 
Przykład: 
admin@ecs-n1:~> sudo xdoctor --upgrade --local=/home/admin/xDoctor4ECS-4.8-84.0.noarch.rpm
2022-07-04 07:41:49,209: xDoctor_4.8-83.0 - INFO    : xDoctor Upgrader Instance (1:SFTP_ONLY)
2022-07-04 07:41:49,210: xDoctor_4.8-83.0 - INFO    : Local Upgrade (/home/admin/xDoctor4ECS-4.8-84.0.noarch.rpm)
2022-07-04 07:41:49,226: xDoctor_4.8-83.0 - INFO    : Current Installed xDoctor version is 4.8-83.0
2022-07-04 07:41:49,242: xDoctor_4.8-83.0 - INFO    : Requested package version is 4.8-84.0
2022-07-04 07:41:49,242: xDoctor_4.8-83.0 - INFO    : Updating xDoctor RPM Package (RPM)
2022-07-04 07:41:49,293: xDoctor_4.8-83.0 - INFO    :  - Distribute package
2022-07-04 07:41:50,759: xDoctor_4.8-83.0 - INFO    :  - Install new rpm package
2022-07-04 07:42:04,401: xDoctor_4.8-83.0 - INFO    : xDoctor successfully updated to version 4.8-84.0
  1. Jeśli środowisko obejmuje VDC z wieloma szafami serwerowymi, nowy pakiet xDoctor musi zostać zainstalowany na pierwszym węźle każdej szafy serwerowej. Aby zidentyfikować te główne elementy szaf serwerowych, uruchom poniższe polecenie. W tym przypadku dostępne są cztery szafy serwerowe, a zatem wyróżnione zostaną cztery główne elementy szaf serwerowych
  1. Znajdź węzły główne szafy serwerowej
Polecenie:
# svc_exec -m "ip address show private.4 |grep -w inet"

Przykład: 
admin@ecsnode1~> svc_exec -m "ip address show private.4 |grep -w inet"
svc_exec v1.0.2 (svc_tools v2.1.0)                 Started 2021-12-20 14:03:33
 
Output from node: r1n1                                retval: 0
    inet 169.254.1.1/16 brd 169.254.255.255 scope global private.4
 
Output from node: r2n1                                retval: 0
    inet 169.254.2.1/16 brd 169.254.255.255 scope global private.4
 
Output from node: r3n1                                retval: 0
    inet 169.254.3.1/16 brd 169.254.255.255 scope global private.4
 
Output from node: r4n1                                retval: 0
    inet 169.254.4.1/16 brd 169.254.255.255 scope global private.4
  1. Skopiuj pakiet z pierwszego węzła systemu (R1N1) do innych elementów głównych szafy serwerowej zgodnie z poniższymi informacjami:
Przykład: 
admin@ecs-n1:  scp xDoctor4ECS-4.8-84.0.noarch.rpm 169.254.2.1:/home/admin/
xDoctor4ECS-4.8-84.0.noarch.rpm                                                                                                                        100%   32MB  31.9MB/s   00:00
admin@ecsnode1~> scp xDoctor4ECS-4.8-84.0.noarch.rpm 169.254.3.1:/home/admin/
xDoctor4ECS-4.8-84.0.noarch.rpm                                                                                                                        100%   32MB  31.9MB/s   00:00
admin@ecsnode1~> scp xDoctor4ECS-4.8-784.0.noarch.rpm 169.254.4.1:/home/admin/
xDoctor4ECS-4.8-84.0.noarch.rpm                                                                                                                        100%   32MB  31.9MB/s   00:00
admin@ecsnode1~>
  1. Zgodnie z powyższym krokiem 1 uruchom to samo polecenie instalacji oprogramowania xDoctor na każdym z powyższych elementów głównych szafy serwerowej wskazanych wcześniej. 
Polecenie:
# sudo xdoctor --upgrade --local=/home/admin/xDoctor4ECS-4.8-84.0.noarch.rpm
 
  1. Uruchom testy wstępne
  1. Użyj polecenia svc_dt, aby sprawdzić, czy DT są stabilne. DT są stabilne, jeśli w kolumnie „Unready #” wyświetlana jest wartość 0. Jeśli tak, przejdź do kolejnego testu. Jeśli nie, odczekaj 15 minut i sprawdź ponownie. Jeśli DT nie ustabilizują się, otwórz zgłoszenie serwisowe w zespole pomocy technicznej ECS.
Polecenie:
# svc_dt check -b
 
Przykład: 
admin@ecs-n1: svc_dt check -b

svc_dt v1.0.27 (svc_tools v2.4.1)                 Started 2022-06-14 11:34:26

Date                     Total DT       Unknown #      Unready #      RIS Fail #     Dump Fail #    Check type     Time since check   Check successful

2022-06-14 11:34:09      1920           0              0              0              0              AutoCheck      0m 17s             True
2022-06-14 11:32:59      1920           0              0              0              0              AutoCheck      1m 27s             True
2022-06-14 11:31:48      1920           0              0              0              0              AutoCheck      2m 38s             True
2022-06-14 11:30:38      1920           0              0              0              0              AutoCheck      3m 48s             True
2022-06-14 11:29:28      1920           0              0              0              0              AutoCheck      4m 58s             True
2022-06-14 11:28:18      1920           0              0              0              0              AutoCheck      6m 8s              True
2022-06-14 11:27:07      1920           0              0              0              0              AutoCheck      7m 19s             True
2022-06-14 11:25:57      1920           0              0              0              0              AutoCheck      8m 29s             True
2022-06-14 11:24:47      1920           0              0              0              0              AutoCheck      9m 39s             True
2022-06-14 11:23:37      1920           0              0              0              0              AutoCheck      10m 49s            True
  1. Użyj polecenia svc_patch, aby sprawdzić, czy wszystkie węzły są w trybie online. Jeśli tak, przejdź do kolejnego kroku. Jeśli nie, sprawdź przyczynę, przywróć tryb online i ponownie uruchom test. Jeśli nie można wprowadzić węzła w trybu online, otwórz zgłoszenie serwisowe z zespołem pomocy technicznej ECS w celu zbadania problemu.
Polecenie:
# /opt/emc/xdoctor/patches/CVE-2022-31231_iam-fix/svc_patch status
 
Przykład: 
admin@ecs-n1:~> /opt/emc/xdoctor/patches/CVE-2022-31231_iam-fix/svc_patch status
svc_patch Version 2.9.2

Verifying patch bundle consistency                    DONE
Detecting nodes in current VDC                        DONE
Reading in patch details (1 of 2)                     DONE
Reading in patch details (2 of 2)                     DONE
Validating nodes are online                           DONE
Checking Installed Patches and Dependencies           DONE

Patches/releases currently installed:
        n/a                                      (Base release)

Patches that need to be installed:
        CVE-2022-31231_iam-fix                                  (PatchID: 3525)

Files that need to be installed:
        /opt/storageos/conf/iam.object.properties               (from CVE-2022-31231_iam-fix)
        /opt/storageos/lib/storageos-iam.jar                    (from CVE-2022-31231_iam-fix)

The following services need to be restarted:
        dataheadsvc
 
  1. Zastosuj poprawkę systemową za pomocą narzędzia svc_patch zawartego w xDoctor.
  1. Uruchom polecenie svc_patch, wpisz „y” i naciśnij klawisz „Enter” po wyświetleniu monitu o zainstalowanie poprawki. Polecenie można uruchomić na dowolnym węźle ECS. 
Polecenia:
# screen -S patchinstall
# unset TMOUT
# /opt/emc/xdoctor/patches/CVE-2022-31231_iam-fix/svc_patch install

Przykład:
Uwaga: Poniżej przedstawiono monit o kontynuowanie. 
admin@ecs-n1:~> screen -S patchinstall
admin@ecs-n1:~> unset TMOUT
admin@ecs-n1:~> /opt/emc/xdoctor/patches/CVE-2022-31231_iam-fix/svc_patch install
svc_patch Version 2.9.2

Verifying patch bundle consistency                    DONE
Detecting nodes in current VDC                        DONE
Reading in patch details (1 of 2)                     DONE
Reading in patch details (2 of 2)                     DONE
Validating nodes are online                           DONE
Checking Installed Patches and Dependencies           DONE

Patches/releases currently installed:
        n/a                                      (Base release)

Patches that will be installed:
        CVE-2022-31231_iam-fix                                  (PatchID: 3525)

Files that will be installed:
        /opt/storageos/conf/iam.object.properties               (from CVE-2022-31231_iam-fix)
        /opt/storageos/lib/storageos-iam.jar                    (from CVE-2022-31231_iam-fix)

The following services will be restarted:
        dataheadsvc

Patch Type:                                                     Standalone
Number of nodes:                                                5
Number of seconds to wait between restarting node services:     60
Check DT status between node service restarts:                  false

Do you wish to continue (y/n)?y


Distributing files to node 169.254.1.1
        Distributing patch installer to node '169.254.1.1'
Distributing files to node 169.254.1.2
        Distributing patch installer to node '169.254.1.2'
Distributing files to node 169.254.1.3
        Distributing patch installer to node '169.254.1.3'
Distributing files to node 169.254.1.4
        Distributing patch installer to node '169.254.1.4'
Distributing files to node 169.254.1.5
        Distributing patch installer to node '169.254.1.5'


Restarting services on 169.254.1.1
        Restarting dataheadsvc
        Waiting 60 seconds for services to stabilize...DONE
Restarting services on 169.254.1.2
        Restarting dataheadsvc
        Waiting 60 seconds for services to stabilize...DONE
Restarting services on 169.254.1.3
        Restarting dataheadsvc
        Waiting 60 seconds for services to stabilize...DONE
Restarting services on 169.254.1.4
        Restarting dataheadsvc
        Waiting 60 seconds for services to stabilize...DONE
Restarting services on 169.254.1.5
        Restarting dataheadsvc
        Waiting 60 seconds for services to stabilize...DONE

Patching complete. 
  1. Zamknij sesję ekranu po zakończeniu poprawek zgodnie z powyższym wynikiem.
Przykład: 
admin@node1:/> exit
logout

[screen is terminating]
admin@node1:/>
Uwaga: 
Jeśli w trakcie wykonywania przypadkowo zamkniesz sesję PuTTY, możesz ponownie połączyć się z nią, logując się z powrotem do tego samego węzła i uruchamiając poniższe polecenie:
 
Polecenie:
# screen -ls 
admin@node 1:~> screen -ls
There is a screen on:
        113275.pts-0.ecs-n3     (Detached)
1 Socket in /var/run/uscreens/S-admin.
Ponownie połącz się z odłączoną sesją z poziomu poprzedniego wyniku 
admin@node1:~> screen -r 113277.pts-0.ecs-n3
 
  1. Potwierdź, że poprawka została zastosowana.
  1. Poniższy wynik pochodzi z systemu, w którym zastosowano poprawkę.
Polecenie:
# /opt/emc/xdoctor/patches/CVE-2022-31231_iam-fix/svc_patch status

Przykład: 
admin@ecs-n1:~> /opt/emc/xdoctor/patches/CVE-2022-31231_iam-fix/svc_patch status
svc_patch Version 2.9.2

Verifying patch bundle consistency                    DONE
Detecting nodes in current VDC                        DONE
Reading in patch details (1 of 2)                     DONE
Reading in patch details (2 of 2)                     DONE
Validating nodes are online                           DONE
Checking Installed Patches and Dependencies           DONE

Patches/releases currently installed:
        CVE-2022-31231_iam-fix                   (PatchID: 3525)        Fix for ECS iam vulnerability CVE-2022-31231
        n/a                                      (Base release)

Patches that need to be installed:

        No files need to be installed.


The following services need to be restarted:
        No services need to be restarted.
  1. Poniższy wynik pochodzi z systemu, w którym nie zastosowano poprawki.
Przykład:  
admin@ecs-n1:~> /opt/emc/xdoctor/patches/CVE-2022-31231_iam-fix/svc_patch status
svc_patch Version 2.9.2

Verifying patch bundle consistency                    DONE
Detecting nodes in current VDC                        DONE
Reading in patch details (1 of 2)                     DONE
Reading in patch details (2 of 2)                     DONE
Validating nodes are online                           DONE
Checking Installed Patches and Dependencies           DONE

Patches/releases currently installed:
        n/a                                      (Base release)

Patches that need to be installed:
        CVE-2022-31231_iam-fix                                  (PatchID: 3525)

Files that need to be installed:
        /opt/storageos/conf/iam.object.properties               (from CVE-2022-31231_iam-fix)
        /opt/storageos/lib/storageos-iam.jar                    (from CVE-2022-31231_iam-fix)

The following services need to be restarted:
        dataheadsvc


Rozwiązywanie problemów

  1. Poprawka zgłasza poniższy błąd podczas wykonywania wstępnej kontroli. W takim scenariuszu skontaktuj się ze zdalną pomocą techniczną, która zapewni izolowane poprawki dla określonego środowiska klienta
Przykład:  
admin@ecs-n1 /opt/emc/xdoctor/patches/CVE-2022-31231_iam-fix/svc_patch status
svc_patch Version 2.9.2

Verifying patch bundle consistency                    DONE
Detecting nodes in current VDC                        DONE
Reading in patch details (1 of 2)                     DONE
Reading in patch details (2 of 2)                     DONE
Validating nodes are online                           DONE
Checking Installed Patches and Dependencies           FAILED
Fatal:  Currently installed version of storageos-iam.jar is unknown.
        This likely means that a custom Isolated Patch is installed.
        Please contact your next level of support for further steps, and
        include this information
        Detected md5sum:  6ec26421d426365ecb2a63d8e0f8ee4f
  1. Podczas stosowania poprawki nie można dodać hosta do listy znanych hostów.
Przykład:  
svc_patch Version 2.9.2

Verifying patch bundle consistency                    DONE
Detecting nodes in current VDC                        DONE
Reading in patch details (1 of 2)                     DONE
Reading in patch details (2 of 2)                     DONE
Validating nodes are online                           FAILED

ERROR: Could not execute commands on the object-main container on 169.254.x.x
  Output was 'Failed to add the host to the list of known hosts (/home/admin/.ssh/known_hosts).
:patchtest:'

Patching is unable to continue with unreachable nodes.  To proceed:
 - Resolve problems accessing node(s) from this one.
 - Manually pass a MACHINES file containing the list of working nodes to patch (not recommended).
 - Contact your next level of support for other options or assistance.
Rozwiązanie:
Powodem może być to, że użytkownik pliku /home/admin/.ssh/known_hosts jest użytkownikiem root, a domyślnie powinien być administratorem. 
 
Przykład:  
admin@node1:~> ls -l  /home/admin/.ssh/known_hosts
-rw------- 1 root root 1802 Jul 23  2019 /home/admin/.ssh/known_hosts
admin@ecs:~>
 
Aby rozwiązać problem z poziomu innej sesji PuTTY, zaloguj się do zgłoszonego węzła lub węzłów i zmień użytkownika na administratora w węzłach, w których jest obecny jako użytkownik root, używając poniższego polecenia na wszystkich zgłoszonych węzłach:
 
Polecenie:
#  sudo chown admin:users /home/admin/.ssh/known_hosts
 
Przykład: 
admin@node1:~> sudo chown admin:users /home/admin/.ssh/known_hosts
 Teraz ponownie uruchom polecenie svc_patch. Tym razem powinno zostać wykonane pomyślnie 
admin@node1:~> /opt/emc/xdoctor/patches/CVE-2022-31231_iam-fix/svc_patch install
 
  1. Could not execute commands on the object-main container on 169.254.x.x due to incorrect host key in /home/admin/.ssh/known_hosts.
Przykład: 
svc_patch Version 2.9.2

Verifying patch bundle consistency                    DONE
Detecting nodes in current VDC                        DONE
Reading in patch details (1 of 2)                     DONE
Reading in patch details (2 of 2)                     DONE
Validating nodes are online                           FAILED

ERROR: Could not execute commands on the object-main container on 169.254.x.x
  Output was '@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@    WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED!     @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!
Someone could be eavesdropping on you right now (man-in-the-middle attack)!
It is also possible that a host key has just been changed.
The fingerprint for the ECDSA key sent by the remote host is
SHA256:RcwOsFj7zPA5p5kSeYovF4UlZTm125nLVeCL1zCqOzc.
Please contact your system administrator.
Add correct host key in /home/admin/.ssh/known_hosts to get rid of this message.
Offending ECDSA key in /home/admin/.ssh/known_hosts:14
You can use following command to remove the offending key:
ssh-keygen -R 169.254.x.x -f /home/admin/.ssh/known_hosts
Password authentication is disabled to avoid man-in-the-middle attacks.
Keyboard-interactive authentication is disabled to avoid man-in-the-middle attacks.
:patchtest:'

Patching is unable to continue with unreachable nodes.  To proceed:
 - Resolve problems accessing node(s) from this one.
 - Manually pass a MACHINES file containing the list of working nodes to patch (not recommended).
 - Contact your next level of support for other options or assistance.
 
Rozwiązanie:
 Skontaktuj się z pomocą techniczną ECS, aby uzyskać rozwiązanie.
 
  1. W przypadku korzystania z oprogramowania xDoctor w wersji 4.8-85.0 do wstępnego sprawdzania lub zastosowania tej poprawki może zostać wyświetlony alert informujący, że md5sum nie pasuje do svc_base.py:
# /opt/emc/xdoctor/patches/CVE-2022-31231_iam-fix/svc_patch status 
svc_patch Version 2.9.3

Verifying patch bundle consistency                    FAILED

Patch bundle consistency check failed - md5sums for one or more files
in the patch bundle were invalid, or files were not found.

svc_patch will attempt to validate files in the patch using MD5SUMS.bundle, which
is bundled with the patch.

Output from md5sum was:
./lib/libs/svc_base.py: FAILED
md5sum: WARNING: 1 computed checksum did NOT match
 
Rozwiązanie:
Przed zastosowaniem poprawki w celu aktualizacji md5sum uruchom poniższe polecenie: 
# sudo sed -i '/svc_base.py/d' /opt/emc/xdoctor/patches/CVE-2022-31231_iam-fix/MD5SUMS.bundle
# sudo sed -i '/MD5SUMS.bundle/d' /opt/emc/xdoctor/.xdr_chksum