Skip to main content
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Enjoy members-only rewards and discounts
  • Create and access a list of your products

ECS:3.5.x/3.6.xのCVE-2022-31231セキュリティ脆弱性に対処するソリューション

Summary: Identity and Access Management (IAM)モジュールの不適切なアクセス制御に対処します。リモートで承認されていない攻撃者がこの脆弱性を悪用し、許可されていないデータへの読み取りアクセスを取得する可能性があります。これは、すべてのECS 3.5.x.xおよびECS 3.6.x.xバージョンに影響します。

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.

Symptoms

CVE ID:CVE-2022-31231
重大度:中

Cause

IDENTITY and Access Management (IAM)モジュールの不適切なアクセス制御が原因です。

Resolution

この手順は誰が実行する必要がありますか?
Dellでは、xDoctorをアップグレードするこの手順とパッチのインストールは、お客様が行うようお願いしています。これは、この脆弱性への長期間の露出を回避するための最も迅速かつ安全な方法です。すべての手順については、このKBで詳しく説明しています。また、このKBに加えて、以下のリンクに記載されているビデオ ガイドも参考にできます。



手順による影響:
dataheadsvcサービスがノードごとに再起動されている間は、I/Oタイムアウトが発生する可能性があります。アプリケーションは、ロード バランサーを介してクラスターにアクセスする必要があり、I/Oタイムアウトを処理できる必要があります。この手順を実行する場合は、メンテナンス期間をお勧めします。

CASのみのバケットの例外:
以下でハイライト表示されているECS上の すべての バケットがCASのみである場合、このセキュリティ脆弱性の影響を受けません。したがって、このパッチを適用する必要も、このKBに従う必要もありません。

コマンド:

# svc_bucket list

Example:

admin@ecs-n1:~> svc_bucket list
svc_bucket v1.0.33 (svc_tools v2.5.1)                 Started 2022-07-08 08:49:11

                                                                                                                                       Bucket     Temp
                                                                 Replication         Owner            Owner           API     FS       Versioning Failed
Bucket Name                            Namespace                 Group               User             VDC             Type    Enabled  Enabled    (TSO)

cas_bucket                             region_ns                 RG1                 casuser          VDC1            CAS     false    Disabled   False
cas_bu                                 region_ns                 RG1                 cas_obj          VDC1            CAS     false    Disabled   False
test                                   region_ns                 RG1                 test1            VDC1            CAS     false    Disabled   False
test_cas                               region_ns                 RG1                 test_cas         VDC1            CAS     false    Disabled   False
test_bkt_cas                           region_ns                 RG1                 user_test        VDC1            CAS     false    Disabled   False
Friday_cas                             region_ns                 RG1                 Friday_cas       VDC1            CAS     false    Disabled   False


アクティビティーにかかる時間(概算):
サービスを再起動する間隔は、ノードごとにデフォルトで60秒の遅延が設定されています。準備、サービスの安定化、事後チェックに必要な仮想データ センター(VDC)内のノード数に60秒 + 30分を乗算した値。

例:
48ノードVDC ECSには約80分かかります。60
秒 X 48(VDCノード数) + 30分(準備) = 約

80分8ノードVDC ECSにかかる時間は約40分です。60
秒 x 8(VDCノードの数) + 30分(準備) = 約


40分よくある質問(FAQ):
問い: パッチはxDoctorリリースに含まれますか?
A:パッチ インストール スクリプトは、xDoctorリリース4.8-84以降に含まれます。xDoctorのダウンロードおよびパッチ インストール実行の手順は、解決手順に記載されています。

Q:複数のVDCを並列でアップデートすることはできますか?
A:いいえ、一度に1つのVDCにパッチを適用します。

Q:この手順を実行した後にECSをアップグレードする場合、アップグレード後にこの手順を再実行するのですか?
A: いいえ(恒久対策を含むDSA-2022-153で指定されたコード バージョンにアップグレードする場合)。はい(この同じDSAで指定されていないコード バージョンにアップグレードする場合)。

Q:ノードの交換、再イメージ化、または拡張後に以前にインストールされたECSにパッチを再適用する必要がありますか?
ある:いいえ(VDCがDSA-2022-153で指定された恒久対策を含むコード バージョンである場合)。はい(この同じDSAで指定されていないコード バージョンを実行しているVDCに対してこれらのアクションのいずれかを実行する場合)。これらのシナリオでパッチが必要な場合は、問題のDellエンジニアがアップデートが必要であることを連絡します。

問い: レガシー ユーザーのみを使用していて、IAMを使用していない場合はどうなりますか?
ある:IAMではなくレガシー ユーザーのみを使用しているかどうかに関係なく、お客様はパッチを適用する必要があります。

問い: このKBのすべてのコマンドを実行するには、どのユーザーとしてログインする必要がありますか?
A:管理者

Q: svc_patchは、すべてのラックで実行する必要がありますか。または、VDC内に複数のラックがある特殊なマシン用ファイルを使用して実行する必要がありますか?
A:いいえ。複数のラックが存在する場合は自動検出され、そのVDC上のすべてのラックのすべてのノードがアップデートされます。

問い: ターゲットのxDoctorリリースが4.8-84.0でなくなったことに気付きました。これはどうしてですか?
A:xDoctorは頻繁にリリースされるため、常に最新リリース バージョンにアップグレードすることをお勧めします。ただし、以前に4.8-84.0を使用して修正を実行したことがある場合、ECSは脆弱性から完全に保護されているため、再実行する必要はありません。

解決策の概要:

  1. お使いのECS xDoctorソフトウェアをバージョン4.8.-84.0以降にアップグレードします。
  2. 事前チェックを実行します。
  3. xDoctorに含まれているsvc_patchツールを使用してパッチを適用します。
  4. 修正が適用されていることを確認します。
  5. トラブルシューティング。

解決策の手順:

  1. Eお使いのECS xDoctorソフトウェアを使用可能な最新バージョンにアップグレードします。

  1. ECSで実行されているxDoctorのバージョンを確認します。バージョンが4.8-84.0以降の場合は、手順2の「事前チェックの実行」に移動します。そうでない場合は、次の手順に進みます。
コマンド: 
# sudo xdoctor --version
Example:
admin@node1:~> sudo xdoctor --version
4.8-84.0
  1. Dellサポート サイトにサインインし、このダウンロード リンクに直接接続し、キーワード検索バーを使用してxDoctorを検索し、[xDoctor 4.8-84.0 RPM]リンクをクリックしてダウンロードします。リリース ノートを表示するには、リリース ノートに従って、サイドバーから[マニュアル]を選択し、そこからダウンロードできるようにします。
  2. RPMがダウンロードされたら、いずれかのリモートSCPプログラムを使用して、最初のECSノードの/home/adminディレクトリにファイルをアップロードします。
  3. アップロードが完了したら、adminを使用してECSの最初のノードにSSHで接続します。
  4. 新しく頒布されたバージョンを使用して、すべてのノードでxDoctorをアップグレードします。 
コマンド:
# sudo xdoctor --upgrade --local=/home/admin/xDoctor4ECS-4.8-84.0.noarch.rpm
Example:
admin@ecs-n1:~> sudo xdoctor --upgrade --local=/home/admin/xDoctor4ECS-4.8-84.0.noarch.rpm
2022-07-04 07:41:49,209: xDoctor_4.8-83.0 - INFO    : xDoctor Upgrader Instance (1:SFTP_ONLY)
2022-07-04 07:41:49,210: xDoctor_4.8-83.0 - INFO    : Local Upgrade (/home/admin/xDoctor4ECS-4.8-84.0.noarch.rpm)
2022-07-04 07:41:49,226: xDoctor_4.8-83.0 - INFO    : Current Installed xDoctor version is 4.8-83.0
2022-07-04 07:41:49,242: xDoctor_4.8-83.0 - INFO    : Requested package version is 4.8-84.0
2022-07-04 07:41:49,242: xDoctor_4.8-83.0 - INFO    : Updating xDoctor RPM Package (RPM)
2022-07-04 07:41:49,293: xDoctor_4.8-83.0 - INFO    :  - Distribute package
2022-07-04 07:41:50,759: xDoctor_4.8-83.0 - INFO    :  - Install new rpm package
2022-07-04 07:42:04,401: xDoctor_4.8-83.0 - INFO    : xDoctor successfully updated to version 4.8-84.0
  1. 環境がマルチラックVDCの場合は、新しいxDoctorパッケージを各ラックの最初のノードにインストールする必要があります。これらのラックのプライマリーを識別するには、次のコマンドを実行します。この例では、4台のラックがあるので4つのラック プライマリーがハイライト表示されています
  1. ラックのプライマリー ノードを検索します。
コマンド:
# svc_exec -m "ip address show private.4 |grep -w inet"
Example:
admin@ecsnode1~> svc_exec -m "ip address show private.4 |grep -w inet"
svc_exec v1.0.2 (svc_tools v2.1.0)                 Started 2021-12-20 14:03:33
 
Output from node: r1n1                                retval: 0
    inet 169.254.1.1/16 brd 169.254.255.255 scope global private.4
 
Output from node: r2n1                                retval: 0
    inet 169.254.2.1/16 brd 169.254.255.255 scope global private.4
 
Output from node: r3n1                                retval: 0
    inet 169.254.3.1/16 brd 169.254.255.255 scope global private.4
 
Output from node: r4n1                                retval: 0
    inet 169.254.4.1/16 brd 169.254.255.255 scope global private.4
  1. 以下に従って、ECS (R1N1)の最初のノードから他のラック プライマリーにパッケージをコピーします。
Example:
admin@ecs-n1:  scp xDoctor4ECS-4.8-84.0.noarch.rpm 169.254.2.1:/home/admin/
xDoctor4ECS-4.8-84.0.noarch.rpm                                                                                                                        100%   32MB  31.9MB/s   00:00
admin@ecsnode1~> scp xDoctor4ECS-4.8-84.0.noarch.rpm 169.254.3.1:/home/admin/
xDoctor4ECS-4.8-84.0.noarch.rpm                                                                                                                        100%   32MB  31.9MB/s   00:00
admin@ecsnode1~> scp xDoctor4ECS-4.8-784.0.noarch.rpm 169.254.4.1:/home/admin/
xDoctor4ECS-4.8-84.0.noarch.rpm                                                                                                                        100%   32MB  31.9MB/s   00:00
admin@ecsnode1~>
  1. 前述の手順1に従って、前述の各ラック プライマリーに対して同じxDoctorインストール コマンドを実行します。 
コマンド:
# sudo xdoctor --upgrade --local=/home/admin/xDoctor4ECS-4.8-84.0.noarch.rpm
 
  1. 事前チェックの実行
  1. svc_dtコマンドを使用して、DTが安定しているかどうかを確認します。「Unready #」列に0が表示されている場合、DTは安定しています。その場合は、次のチェックに進みます。そうでない場合は、15分待ってからもう一度確認します。DTが安定していない場合は、ECSサポート チームのサービス リクエストを作成します。
コマンド:
# svc_dt check -b
Example:
admin@ecs-n1: svc_dt check -b

svc_dt v1.0.27 (svc_tools v2.4.1)                 Started 2022-06-14 11:34:26

Date                     Total DT       Unknown #      Unready #      RIS Fail #     Dump Fail #    Check type     Time since check   Check successful

2022-06-14 11:34:09      1920           0              0              0              0              AutoCheck      0m 17s             True
2022-06-14 11:32:59      1920           0              0              0              0              AutoCheck      1m 27s             True
2022-06-14 11:31:48      1920           0              0              0              0              AutoCheck      2m 38s             True
2022-06-14 11:30:38      1920           0              0              0              0              AutoCheck      3m 48s             True
2022-06-14 11:29:28      1920           0              0              0              0              AutoCheck      4m 58s             True
2022-06-14 11:28:18      1920           0              0              0              0              AutoCheck      6m 8s              True
2022-06-14 11:27:07      1920           0              0              0              0              AutoCheck      7m 19s             True
2022-06-14 11:25:57      1920           0              0              0              0              AutoCheck      8m 29s             True
2022-06-14 11:24:47      1920           0              0              0              0              AutoCheck      9m 39s             True
2022-06-14 11:23:37      1920           0              0              0              0              AutoCheck      10m 49s            True
  1. svc_patchコマンドを使用して、すべてのノードがオンラインであることを確認します。すべてのノードがオンラインの場合は、次の手順に進みます。そうでない場合は、理由を調査し、オンラインに戻して、もう一度チェックを実行します。ノードをオンラインにできない場合は、調査のためにECSサポート チームのサービス リクエストを開きます。
コマンド:
# /opt/emc/xdoctor/patches/CVE-2022-31231_iam-fix/svc_patch status
Example:
admin@ecs-n1:~> /opt/emc/xdoctor/patches/CVE-2022-31231_iam-fix/svc_patch status
svc_patch Version 2.9.2

Verifying patch bundle consistency                    DONE
Detecting nodes in current VDC                        DONE
Reading in patch details (1 of 2)                     DONE
Reading in patch details (2 of 2)                     DONE
Validating nodes are online                           DONE
Checking Installed Patches and Dependencies           DONE

Patches/releases currently installed:
        n/a                                      (Base release)

Patches that need to be installed:
        CVE-2022-31231_iam-fix                                  (PatchID: 3525)

Files that need to be installed:
        /opt/storageos/conf/iam.object.properties               (from CVE-2022-31231_iam-fix)
        /opt/storageos/lib/storageos-iam.jar                    (from CVE-2022-31231_iam-fix)

The following services need to be restarted:
        dataheadsvc
 
  1. xDoctorに含まれているsvc_patchツールを使用してパッチを適用します。
  1. svc_patchコマンドを実行し、パッチのインストールを確認するプロンプトが表示されたら「y」と入力し、Enterキーを押します。このコマンドは、どのECSノードでも実行できます。 
コマンド:
# screen -S patchinstall
# unset TMOUT
# /opt/emc/xdoctor/patches/CVE-2022-31231_iam-fix/svc_patch install
例:
メモ:次の出力に、続行するプロンプトが表示されています。
admin@ecs-n1:~> screen -S patchinstall
admin@ecs-n1:~> unset TMOUT
admin@ecs-n1:~> /opt/emc/xdoctor/patches/CVE-2022-31231_iam-fix/svc_patch install
svc_patch Version 2.9.2

Verifying patch bundle consistency                    DONE
Detecting nodes in current VDC                        DONE
Reading in patch details (1 of 2)                     DONE
Reading in patch details (2 of 2)                     DONE
Validating nodes are online                           DONE
Checking Installed Patches and Dependencies           DONE

Patches/releases currently installed:
        n/a                                      (Base release)

Patches that will be installed:
        CVE-2022-31231_iam-fix                                  (PatchID: 3525)

Files that will be installed:
        /opt/storageos/conf/iam.object.properties               (from CVE-2022-31231_iam-fix)
        /opt/storageos/lib/storageos-iam.jar                    (from CVE-2022-31231_iam-fix)

The following services will be restarted:
        dataheadsvc

Patch Type:                                                     Standalone
Number of nodes:                                                5
Number of seconds to wait between restarting node services:     60
Check DT status between node service restarts:                  false

Do you wish to continue (y/n)?y


Distributing files to node 169.254.1.1
        Distributing patch installer to node '169.254.1.1'
Distributing files to node 169.254.1.2
        Distributing patch installer to node '169.254.1.2'
Distributing files to node 169.254.1.3
        Distributing patch installer to node '169.254.1.3'
Distributing files to node 169.254.1.4
        Distributing patch installer to node '169.254.1.4'
Distributing files to node 169.254.1.5
        Distributing patch installer to node '169.254.1.5'


Restarting services on 169.254.1.1
        Restarting dataheadsvc
        Waiting 60 seconds for services to stabilize...DONE
Restarting services on 169.254.1.2
        Restarting dataheadsvc
        Waiting 60 seconds for services to stabilize...DONE
Restarting services on 169.254.1.3
        Restarting dataheadsvc
        Waiting 60 seconds for services to stabilize...DONE
Restarting services on 169.254.1.4
        Restarting dataheadsvc
        Waiting 60 seconds for services to stabilize...DONE
Restarting services on 169.254.1.5
        Restarting dataheadsvc
        Waiting 60 seconds for services to stabilize...DONE

Patching complete. 
  1. 上記の出力に従ってアップデートが完了したら、画面セッションを終了します。
Example:
admin@node1:/> exit
logout

[screen is terminating]
admin@node1:/>
注:誤ってPuTTYセッションを閉じた場合は、同じノードに再度ログインし、次のコマンドを実行して再接続します。
 
コマンド:
admin@node 1:~> screen -ls
There is a screen on:
        113275.pts-0.ecs-n3     (Detached)
1 Socket in /var/run/uscreens/S-admin.
前の出力からデタッチされたセッションに再接続します。
admin@node1:~> screen -r 113277.pts-0.ecs-n3
 
  1. 修正が適用されていることを確認します。
  1. 以下の出力は、修正が適用されたECSからの出力です。
コマンド:
# /opt/emc/xdoctor/patches/CVE-2022-31231_iam-fix/svc_patch status
Example:
admin@ecs-n1:~> /opt/emc/xdoctor/patches/CVE-2022-31231_iam-fix/svc_patch status
svc_patch Version 2.9.2

Verifying patch bundle consistency                    DONE
Detecting nodes in current VDC                        DONE
Reading in patch details (1 of 2)                     DONE
Reading in patch details (2 of 2)                     DONE
Validating nodes are online                           DONE
Checking Installed Patches and Dependencies           DONE

Patches/releases currently installed:
        CVE-2022-31231_iam-fix                   (PatchID: 3525)        Fix for ECS iam vulnerability CVE-2022-31231
        n/a                                      (Base release)

Patches that need to be installed:

        No files need to be installed.


The following services need to be restarted:
        No services need to be restarted.
  1. 以下の出力は、修正が適用されていないECSからの出力です。
Example: 
admin@ecs-n1:~> /opt/emc/xdoctor/patches/CVE-2022-31231_iam-fix/svc_patch status
svc_patch Version 2.9.2

Verifying patch bundle consistency                    DONE
Detecting nodes in current VDC                        DONE
Reading in patch details (1 of 2)                     DONE
Reading in patch details (2 of 2)                     DONE
Validating nodes are online                           DONE
Checking Installed Patches and Dependencies           DONE

Patches/releases currently installed:
        n/a                                      (Base release)

Patches that need to be installed:
        CVE-2022-31231_iam-fix                                  (PatchID: 3525)

Files that need to be installed:
        /opt/storageos/conf/iam.object.properties               (from CVE-2022-31231_iam-fix)
        /opt/storageos/lib/storageos-iam.jar                    (from CVE-2022-31231_iam-fix)

The following services need to be restarted:
        dataheadsvc


トラブルシューティング

  1. 事前チェックの実行中に、パッチで以下のエラーが報告されます。このシナリオでは、リモート サポートに連絡して、特定の環境用の分離パッチをお客様に提供してもらう
Example: 
admin@ecs-n1 /opt/emc/xdoctor/patches/CVE-2022-31231_iam-fix/svc_patch status
svc_patch Version 2.9.2

Verifying patch bundle consistency                    DONE
Detecting nodes in current VDC                        DONE
Reading in patch details (1 of 2)                     DONE
Reading in patch details (2 of 2)                     DONE
Validating nodes are online                           DONE
Checking Installed Patches and Dependencies           FAILED
Fatal:  Currently installed version of storageos-iam.jar is unknown.
        This likely means that a custom Isolated Patch is installed.
        Please contact your next level of support for further steps, and
        include this information
        Detected md5sum:  6ec26421d426365ecb2a63d8e0f8ee4f
  1. パッチの適用中に既知のホストのリストにホストを追加できませんでした。
Example: 
svc_patch Version 2.9.2

Verifying patch bundle consistency                    DONE
Detecting nodes in current VDC                        DONE
Reading in patch details (1 of 2)                     DONE
Reading in patch details (2 of 2)                     DONE
Validating nodes are online                           FAILED

ERROR: Could not execute commands on the object-main container on 169.254.x.x
  Output was 'Failed to add the host to the list of known hosts (/home/admin/.ssh/known_hosts).
:patchtest:'

Patching is unable to continue with unreachable nodes.  To proceed:
 - Resolve problems accessing node(s) from this one.
 - Manually pass a MACHINES file containing the list of working nodes to patch (not recommended).
 - Contact your next level of support for other options or assistance.
解決策:
/home/admin/.ssh/known_hostsファイルのユーザーは、デフォルトでadminである必要があるが、これがrootであったことが原因である可能性があります。 
 
Example: 
admin@node1:~> ls -l  /home/admin/.ssh/known_hosts
-rw------- 1 root root 1802 Jul 23  2019 /home/admin/.ssh/known_hosts
admin@ecs:~>
 
この問題を解決するには、PuTTYを介して報告されたノードにログインし、各ノードで次のコマンドを使用して、ユーザーをrootから管理者に切り替えます。

コマンド:
#  sudo chown admin:users /home/admin/.ssh/known_hosts
Example:
admin@node1:~> sudo chown admin:users /home/admin/.ssh/known_hosts
 ここで、svc_patchコマンドをもう一度再実行すると、成功するはずです
admin@node1:~> /opt/emc/xdoctor/patches/CVE-2022-31231_iam-fix/svc_patch install
 
  1. /home/admin/.ssh/known_hostsのホスト キーが正しくないため、169.254.x.xのオブジェクトメイン コンテナでコマンドを実行できませんでした。
Example:
svc_patch Version 2.9.2

Verifying patch bundle consistency                    DONE
Detecting nodes in current VDC                        DONE
Reading in patch details (1 of 2)                     DONE
Reading in patch details (2 of 2)                     DONE
Validating nodes are online                           FAILED

ERROR: Could not execute commands on the object-main container on 169.254.x.x
  Output was '@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@    WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED!     @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!
Someone could be eavesdropping on you right now (man-in-the-middle attack)!
It is also possible that a host key has just been changed.
The fingerprint for the ECDSA key sent by the remote host is
SHA256:RcwOsFj7zPA5p5kSeYovF4UlZTm125nLVeCL1zCqOzc.
Please contact your system administrator.
Add correct host key in /home/admin/.ssh/known_hosts to get rid of this message.
Offending ECDSA key in /home/admin/.ssh/known_hosts:14
You can use following command to remove the offending key:
ssh-keygen -R 169.254.x.x -f /home/admin/.ssh/known_hosts
Password authentication is disabled to avoid man-in-the-middle attacks.
Keyboard-interactive authentication is disabled to avoid man-in-the-middle attacks.
:patchtest:'

Patching is unable to continue with unreachable nodes.  To proceed:
 - Resolve problems accessing node(s) from this one.
 - Manually pass a MACHINES file containing the list of working nodes to patch (not recommended).
 - Contact your next level of support for other options or assistance.
 
解決策:
 解決策については、ECSサポートにお問い合わせください。

 

  1. xDoctorバージョン4.8-85.0リリースを事前チェックで使用している場合、またはこのパッチを適用する場合、「md5sum does not match for svc_base.py:
# /opt/emc/xdoctor/patches/CVE-2022-31231_iam-fix/svc_patch status 
svc_patch Version 2.9.3

Verifying patch bundle consistency                    FAILED

Patch bundle consistency check failed - md5sums for one or more files
in the patch bundle were invalid, or files were not found.

svc_patch will attempt to validate files in the patch using MD5SUMS.bundle, which
is bundled with the patch.

Output from md5sum was:
./lib/libs/svc_base.py: FAILED
md5sum: WARNING: 1 computed checksum did NOT match
 
  
解決策:
パッチを適用してmd5sumをアップデートする前に、次のコマンドを実行します。
# sudo sed -i '/svc_base.py/d' /opt/emc/xdoctor/patches/CVE-2022-31231_iam-fix/MD5SUMS.bundle
# sudo sed -i '/MD5SUMS.bundle/d' /opt/emc/xdoctor/.xdr_chksum
Article Properties
Article Number: 000200962
Article Type: Solution
Last Modified: 21 Oct 2024
Version:  25
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.