Идентификатор CVE: CVE-2022-31231
Степень серьезности: Medium
Кто должен выполнять эту процедуру?
Dell просит, чтобы процедура обновления xDoctor и установка исправления выполнялись Заказчиками. Это самый быстрый и безопасный метод, который позволяет избежать длительного воздействия этой уязвимости. Все шаги подробно описаны в данной статье базы знаний. Также имеется видеоруководство которое дополняет эту статью базы знаний и которое можно посмотреть по ссылке ниже.
Влияние процедуры.
Предполагается истечение времени ожидания ввода-вывода при перезапуске служб. Приложения должны получать доступ к кластеру через подсистему балансировки нагрузки и должны иметь возможность обрабатывать тайм-аут ввода-вывода. При выполнении этой процедуры рекомендуется выделить окно для обслуживания.
Исключение только для контейнеров CAS:
Если все контейнеры на ECS имеют исключительно CAS, выделенный ниже, то эта уязвимость системы безопасности не затрагивает его. Поэтому нет необходимости применять исправление, и не требуется выполнять указания из этой статьи базы знаний.
Команда:
# svc_bucket list
Пример.
admin@ecs-n1:~> svc_bucket list
svc_bucket v1.0.33 (svc_tools v2.5.1) Started 2022-07-08 08:49:11
Bucket Temp
Replication Owner Owner API FS Versioning Failed
Bucket Name Namespace Group User VDC Type Enabled Enabled (TSO)
cas_bucket region_ns RG1 casuser VDC1 CAS false Disabled False
cas_bu region_ns RG1 cas_obj VDC1 CAS false Disabled False
test region_ns RG1 test1 VDC1 CAS false Disabled False
test_cas region_ns RG1 test_cas VDC1 CAS false Disabled False
test_bkt_cas region_ns RG1 user_test VDC1 CAS false Disabled False
Friday_cas region_ns RG1 Friday_cas VDC1 CAS false Disabled False
Время, затраченное на выполнение (приблизительно).
По умолчанию для каждого узла между перезапусками службы устанавливается задержка в 60 секунд. Количество узлов в виртуальном центре обработки данных (VDC), умноженное на 60 секунд + 30 минут на подготовку, стабилизацию обслуживания и последующие проверки.
Примеры:
решение ECS с 48 узлами VDC может занять приблизительно 80 минут:
60 секунд x 48 (количество узлов VDC) + 30 минут (подготовка) = приблиз
. 80 минутЗапуск ECS с 8 узлами VDC может занять приблизительно 40 минут:
60 секунд x 8 (количество узлов VDC) + 30 минут (подготовка) = прибл.
40 минутЧасто задаваемые вопросы (FAQ):
Вопрос: Является ли исправление частью выпуска xDoctor?
О. Сценарий установки исправления является частью выпуска xDoctor 4.8-84 и выше. Инструкции по скачиванию xDoctor и установке исправлений приведены в шагах по решению проблемы.
В. Можно ли обновить несколько VDC параллельно?
О. Нет, исправление применяется к 1 VDC за раз.
В. Если я модернизирую ECS после выполнения этой процедуры, нужно ли повторять процедуру после модернизации?
О. Нет, если выполняется модернизация до версии кода, указанной в DSA-2022-153, которая содержит постоянное исправление. Да, если выполняется модернизация до версии кода, не указанной в той же DSA.
В. Нужно ли повторно применять исправление на ECS, где оно было установлено ранее, после замены узла, восстановления образа или расширения?
A: Нет, если версия кода VDC соответствует версии, указанной в DSA-2022-153 и включающей постоянное исправление. Да, если любое из этих действий выполняется с VDC, на котором выполняется версия кода, не указанная в той же DSA. Если в этих сценариях потребуется исправление, соответствующий инженер Dell свяжется с вами, чтобы сообщить о необходимости обновления.
Вопрос: Что делать, если я использую только старых пользователей и не использую IAM?
A: Клиенты должны применить исправление независимо от того, используете ли вы только устаревших пользователей, а не IAM.
Вопрос: Какой пользователь должен войти в систему, чтобы выполнять все команды из этой статьи базы знаний?
О: Администратор
В: Нужно ли запускать на всех стойках исправление svc_patch или специализированный файл MACHINES, если в виртуальном ЦОД несколько стоек?
О. Нет, она автоматически определяет, существует ли несколько стоек, и обновляет данные всех узлов во всех стойках этого виртуального ЦОД.
Вопрос: Я заметил, что целевой выпуск xDoctor теперь не 4.8-84.0. Почему?
О.Выпуски xDoctor выходят часто, поэтому всегда рекомендуется модернизировать версию до самой последней. Однако если ранее мы уже запускали исправление в версии 4.8-84.0, то ECS полностью защищен от уязвимости и не требует повторного запуска.
Сводка решения:
Модернизируйте программное обеспечение ECS xDoctor до последней доступной версии.
# sudo xdoctor --version
admin@node1:~> sudo xdoctor --version 4.8-84.0
# sudo xdoctor --upgrade --local=/home/admin/xDoctor4ECS-4.8-84.0.noarch.rpm
admin@ecs-n1:~> sudo xdoctor --upgrade --local=/home/admin/xDoctor4ECS-4.8-84.0.noarch.rpm 2022-07-04 07:41:49,209: xDoctor_4.8-83.0 - INFO : xDoctor Upgrader Instance (1:SFTP_ONLY) 2022-07-04 07:41:49,210: xDoctor_4.8-83.0 - INFO : Local Upgrade (/home/admin/xDoctor4ECS-4.8-84.0.noarch.rpm) 2022-07-04 07:41:49,226: xDoctor_4.8-83.0 - INFO : Current Installed xDoctor version is 4.8-83.0 2022-07-04 07:41:49,242: xDoctor_4.8-83.0 - INFO : Requested package version is 4.8-84.0 2022-07-04 07:41:49,242: xDoctor_4.8-83.0 - INFO : Updating xDoctor RPM Package (RPM) 2022-07-04 07:41:49,293: xDoctor_4.8-83.0 - INFO : - Distribute package 2022-07-04 07:41:50,759: xDoctor_4.8-83.0 - INFO : - Install new rpm package 2022-07-04 07:42:04,401: xDoctor_4.8-83.0 - INFO : xDoctor successfully updated to version 4.8-84.0
# svc_exec -m "ip address show private.4 |grep -w inet"
admin@ecsnode1~> svc_exec -m "ip address show private.4 |grep -w inet" svc_exec v1.0.2 (svc_tools v2.1.0) Started 2021-12-20 14:03:33 Output from node: r1n1 retval: 0 inet 169.254.1.1/16 brd 169.254.255.255 scope global private.4 Output from node: r2n1 retval: 0 inet 169.254.2.1/16 brd 169.254.255.255 scope global private.4 Output from node: r3n1 retval: 0 inet 169.254.3.1/16 brd 169.254.255.255 scope global private.4 Output from node: r4n1 retval: 0 inet 169.254.4.1/16 brd 169.254.255.255 scope global private.4
admin@ecs-n1: scp xDoctor4ECS-4.8-84.0.noarch.rpm 169.254.2.1:/home/admin/ xDoctor4ECS-4.8-84.0.noarch.rpm 100% 32MB 31.9MB/s 00:00 admin@ecsnode1~> scp xDoctor4ECS-4.8-84.0.noarch.rpm 169.254.3.1:/home/admin/ xDoctor4ECS-4.8-84.0.noarch.rpm 100% 32MB 31.9MB/s 00:00 admin@ecsnode1~> scp xDoctor4ECS-4.8-784.0.noarch.rpm 169.254.4.1:/home/admin/ xDoctor4ECS-4.8-84.0.noarch.rpm 100% 32MB 31.9MB/s 00:00 admin@ecsnode1~>
# sudo xdoctor --upgrade --local=/home/admin/xDoctor4ECS-4.8-84.0.noarch.rpm
# svc_dt check -b
admin@ecs-n1: svc_dt check -b svc_dt v1.0.27 (svc_tools v2.4.1) Started 2022-06-14 11:34:26 Date Total DT Unknown # Unready # RIS Fail # Dump Fail # Check type Time since check Check successful 2022-06-14 11:34:09 1920 0 0 0 0 AutoCheck 0m 17s True 2022-06-14 11:32:59 1920 0 0 0 0 AutoCheck 1m 27s True 2022-06-14 11:31:48 1920 0 0 0 0 AutoCheck 2m 38s True 2022-06-14 11:30:38 1920 0 0 0 0 AutoCheck 3m 48s True 2022-06-14 11:29:28 1920 0 0 0 0 AutoCheck 4m 58s True 2022-06-14 11:28:18 1920 0 0 0 0 AutoCheck 6m 8s True 2022-06-14 11:27:07 1920 0 0 0 0 AutoCheck 7m 19s True 2022-06-14 11:25:57 1920 0 0 0 0 AutoCheck 8m 29s True 2022-06-14 11:24:47 1920 0 0 0 0 AutoCheck 9m 39s True 2022-06-14 11:23:37 1920 0 0 0 0 AutoCheck 10m 49s True
# /opt/emc/xdoctor/patches/CVE-2022-31231_iam-fix/svc_patch status
admin@ecs-n1:~> /opt/emc/xdoctor/patches/CVE-2022-31231_iam-fix/svc_patch status
svc_patch Version 2.9.2
Verifying patch bundle consistency DONE
Detecting nodes in current VDC DONE
Reading in patch details (1 of 2) DONE
Reading in patch details (2 of 2) DONE
Validating nodes are online DONE
Checking Installed Patches and Dependencies DONE
Patches/releases currently installed:
n/a (Base release)
Patches that need to be installed:
CVE-2022-31231_iam-fix (PatchID: 3525)
Files that need to be installed:
/opt/storageos/conf/iam.object.properties (from CVE-2022-31231_iam-fix)
/opt/storageos/lib/storageos-iam.jar (from CVE-2022-31231_iam-fix)
The following services need to be restarted:
dataheadsvc
# screen -S patchinstall # unset TMOUT # /opt/emc/xdoctor/patches/CVE-2022-31231_iam-fix/svc_patch install
admin@ecs-n1:~> screen -S patchinstall
admin@ecs-n1:~> unset TMOUT
admin@ecs-n1:~> /opt/emc/xdoctor/patches/CVE-2022-31231_iam-fix/svc_patch install
svc_patch Version 2.9.2
Verifying patch bundle consistency DONE
Detecting nodes in current VDC DONE
Reading in patch details (1 of 2) DONE
Reading in patch details (2 of 2) DONE
Validating nodes are online DONE
Checking Installed Patches and Dependencies DONE
Patches/releases currently installed:
n/a (Base release)
Patches that will be installed:
CVE-2022-31231_iam-fix (PatchID: 3525)
Files that will be installed:
/opt/storageos/conf/iam.object.properties (from CVE-2022-31231_iam-fix)
/opt/storageos/lib/storageos-iam.jar (from CVE-2022-31231_iam-fix)
The following services will be restarted:
dataheadsvc
Patch Type: Standalone
Number of nodes: 5
Number of seconds to wait between restarting node services: 60
Check DT status between node service restarts: false
Do you wish to continue (y/n)?y
Distributing files to node 169.254.1.1
Distributing patch installer to node '169.254.1.1'
Distributing files to node 169.254.1.2
Distributing patch installer to node '169.254.1.2'
Distributing files to node 169.254.1.3
Distributing patch installer to node '169.254.1.3'
Distributing files to node 169.254.1.4
Distributing patch installer to node '169.254.1.4'
Distributing files to node 169.254.1.5
Distributing patch installer to node '169.254.1.5'
Restarting services on 169.254.1.1
Restarting dataheadsvc
Waiting 60 seconds for services to stabilize...DONE
Restarting services on 169.254.1.2
Restarting dataheadsvc
Waiting 60 seconds for services to stabilize...DONE
Restarting services on 169.254.1.3
Restarting dataheadsvc
Waiting 60 seconds for services to stabilize...DONE
Restarting services on 169.254.1.4
Restarting dataheadsvc
Waiting 60 seconds for services to stabilize...DONE
Restarting services on 169.254.1.5
Restarting dataheadsvc
Waiting 60 seconds for services to stabilize...DONE
Patching complete.
admin@node1:/> exit logout [screen is terminating] admin@node1:/>
admin@node 1:~> screen -ls There is a screen on: 113275.pts-0.ecs-n3 (Detached) 1 Socket in /var/run/uscreens/S-admin.
admin@node1:~> screen -r 113277.pts-0.ecs-n3
# /opt/emc/xdoctor/patches/CVE-2022-31231_iam-fix/svc_patch status
admin@ecs-n1:~> /opt/emc/xdoctor/patches/CVE-2022-31231_iam-fix/svc_patch status
svc_patch Version 2.9.2
Verifying patch bundle consistency DONE
Detecting nodes in current VDC DONE
Reading in patch details (1 of 2) DONE
Reading in patch details (2 of 2) DONE
Validating nodes are online DONE
Checking Installed Patches and Dependencies DONE
Patches/releases currently installed:
CVE-2022-31231_iam-fix (PatchID: 3525) Fix for ECS iam vulnerability CVE-2022-31231
n/a (Base release)
Patches that need to be installed:
No files need to be installed.
The following services need to be restarted:
No services need to be restarted.
admin@ecs-n1:~> /opt/emc/xdoctor/patches/CVE-2022-31231_iam-fix/svc_patch status
svc_patch Version 2.9.2
Verifying patch bundle consistency DONE
Detecting nodes in current VDC DONE
Reading in patch details (1 of 2) DONE
Reading in patch details (2 of 2) DONE
Validating nodes are online DONE
Checking Installed Patches and Dependencies DONE
Patches/releases currently installed:
n/a (Base release)
Patches that need to be installed:
CVE-2022-31231_iam-fix (PatchID: 3525)
Files that need to be installed:
/opt/storageos/conf/iam.object.properties (from CVE-2022-31231_iam-fix)
/opt/storageos/lib/storageos-iam.jar (from CVE-2022-31231_iam-fix)
The following services need to be restarted:
dataheadsvc
admin@ecs-n1 /opt/emc/xdoctor/patches/CVE-2022-31231_iam-fix/svc_patch status
svc_patch Version 2.9.2
Verifying patch bundle consistency DONE
Detecting nodes in current VDC DONE
Reading in patch details (1 of 2) DONE
Reading in patch details (2 of 2) DONE
Validating nodes are online DONE
Checking Installed Patches and Dependencies FAILED
Fatal: Currently installed version of storageos-iam.jar is unknown.
This likely means that a custom Isolated Patch is installed.
Please contact your next level of support for further steps, and
include this information
Detected md5sum: 6ec26421d426365ecb2a63d8e0f8ee4f
svc_patch Version 2.9.2 Verifying patch bundle consistency DONE Detecting nodes in current VDC DONE Reading in patch details (1 of 2) DONE Reading in patch details (2 of 2) DONE Validating nodes are online FAILED ERROR: Could not execute commands on the object-main container on 169.254.x.x Output was 'Failed to add the host to the list of known hosts (/home/admin/.ssh/known_hosts). :patchtest:' Patching is unable to continue with unreachable nodes. To proceed: - Resolve problems accessing node(s) from this one. - Manually pass a MACHINES file containing the list of working nodes to patch (not recommended). - Contact your next level of support for other options or assistance.
admin@node1:~> ls -l /home/admin/.ssh/known_hosts -rw------- 1 root root 1802 Jul 23 2019 /home/admin/.ssh/known_hosts admin@ecs:~>
# sudo chown admin:users /home/admin/.ssh/known_hosts
admin@node1:~> sudo chown admin:users /home/admin/.ssh/known_hosts
admin@node1:~> /opt/emc/xdoctor/patches/CVE-2022-31231_iam-fix/svc_patch install
svc_patch Version 2.9.2 Verifying patch bundle consistency DONE Detecting nodes in current VDC DONE Reading in patch details (1 of 2) DONE Reading in patch details (2 of 2) DONE Validating nodes are online FAILED ERROR: Could not execute commands on the object-main container on 169.254.x.x Output was '@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ @ WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED! @ @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY! Someone could be eavesdropping on you right now (man-in-the-middle attack)! It is also possible that a host key has just been changed. The fingerprint for the ECDSA key sent by the remote host is SHA256:RcwOsFj7zPA5p5kSeYovF4UlZTm125nLVeCL1zCqOzc. Please contact your system administrator. Add correct host key in /home/admin/.ssh/known_hosts to get rid of this message. Offending ECDSA key in /home/admin/.ssh/known_hosts:14 You can use following command to remove the offending key: ssh-keygen -R 169.254.x.x -f /home/admin/.ssh/known_hosts Password authentication is disabled to avoid man-in-the-middle attacks. Keyboard-interactive authentication is disabled to avoid man-in-the-middle attacks. :patchtest:' Patching is unable to continue with unreachable nodes. To proceed: - Resolve problems accessing node(s) from this one. - Manually pass a MACHINES file containing the list of working nodes to patch (not recommended). - Contact your next level of support for other options or assistance.
# /opt/emc/xdoctor/patches/CVE-2022-31231_iam-fix/svc_patch status svc_patch Version 2.9.3 Verifying patch bundle consistency FAILED Patch bundle consistency check failed - md5sums for one or more files in the patch bundle were invalid, or files were not found. svc_patch will attempt to validate files in the patch using MD5SUMS.bundle, which is bundled with the patch. Output from md5sum was: ./lib/libs/svc_base.py: FAILED md5sum: WARNING: 1 computed checksum did NOT match
# sudo sed -i '/svc_base.py/d' /opt/emc/xdoctor/patches/CVE-2022-31231_iam-fix/MD5SUMS.bundle # sudo sed -i '/MD5SUMS.bundle/d' /opt/emc/xdoctor/.xdr_chksum