log4j2 の脆弱性のソフトウェア メンテナンス アップデートのインストール

Cisco DCNM OVA/ISO 展開へのソフトウェア メンテナンス アップデートのインストール

Cisco DCNM は、リリース 11.5(x)CVE-2021-45046 および CVE-2021-44228 の問題に対処するソフトウェア メンテナンス アップデート(SMU)を提供します。この SMU のインストールは、展開のためにリリース 11.5(1)、11.5(2)、および 11.5(3)でサポートされています。

ここでは、次の内容について説明します。

Cisco DCNM 11.5(x)CVE-2021-45046 および CVE-2021-44228スタンドアロン展開での SMU のインストール

このセクションでは、CVE-2021-45046 および CVE-2021-44228 の問題に対処するために Cisco DCNM OVA/ISO アプライアンスにソフトウェア メンテナンス アップデート(SMU)をインストールする手順について説明します。CVE-2021-45105 は重大度が低く、デフォルト設定の DCNM では使用されないため、ここでは取り上げません。

スタンドアロン展開モードの Cisco DCNM OVA/ISO のインストールにソフトウェア メンテナンス アップデート(SMU)を適用するには、次の手順を実行します。

Before you begin

  • DCNM アプライアンス内の appmgr backup コマンドを使用してアプリケーション データのバックアップを取得します。

    dcnm# appmgr backup

    DCNM サーバの外部にある安全な場所にバックアップ ファイルをコピーします。

  • Cisco DCNM アプライアンスが VMware 環境にインストールされている場合は、必ず全てのノードの VM スナップショットを作成してください。手順については、[Cisco DCNM リリース ノート(Cisco DCNM Release Notes)][VMware スナップショット サポート(VMware Snapshot Support)]の章をを参照してください。

  • SMU をインストールするためのメンテナンス ウィンドウを計画してください。

  • Cisco DCNM 11.5(x)CVE-2021-45046 および CVE-2021-44228 が稼働していることを確認します。

    この SMU のインストールは、展開のためにリリース 11.5(1)、11.5(2)、および 11.5(3)でサポートされています。


    Note


    SMU の Cisco DCNM リリース 11.5(x)CVE-2021-45046 および CVE-2021-44228 アプライアンスへのインストールは、 ルートユーザーのみ可能です。


Procedure


Step 1

SMU ファイルをダウンロードします。

  1. 次のサイトへ移動します:https://software.cisco.com/download/

    ダウンロード可能な Cisco DCNM の最新リリース ソフトウェアのリストが表示されます。

  2. 最新のリリース リストで、リリース 11.5(x)CVE-2021-45046 および CVE-2021-44228 を選択します。

    この SMU のインストールは、展開のためにリリース 11.5(1)、11.5(2)、および 11.5(3)でサポートされています。

  3. log4j2 CVE‐2021‐45046 and CVE‐2021‐44228 ファイル をアドレスするためにVMWare、KVM、ベアメタルとアプラアンス サーバーの DCNM 11.5.xメンテナンス アップデートを探し[ダウンロード(Download)] アイコンをクリックします。

  4. dcnm-va-patch.を保存します。SMU の適用を開始するときに見つけやすいように、11.5.x-p1.iso.zipファイルをディレクトリに保存します。

Step 2

dcnm-va-patch.を解凍します。11.5.x-p1.iso.zip ファイルを作成し、そのファイルを DCNM ノードの /root/ フォルダにアップロードします。

Step 3

SSH を使用して sysadmin として Cisco DCNM アプライアンスにログインします。

root ユーザーを有効にする su コマンドを実行します。

dcnm# su
Enter the root password: 
[root@dcnm]#

Step 4

次のコマンドを実行してスクリーン セッションを作成します。

[root@dcnm]# screen

これにより、コマンドを実行できるセッションが作成されます。このコマンドは、ウィンドウが表示されていない場合、または切断された場合でも実行し続けます。

Step 5

mkdir /mnt/iso コマンドを使用して、iso という名前のフォルダーを作成します。

[root@dcnm1]# mkdir -p /mnt/iso

Step 6

DCNM 11.5(x)CVE-2021-45046 および CVE-2021-44228SMU ファイルを /mnt/iso フォルダにマウントします。

[root@dcnm]# mount -o loop dcnm-va-patch.11.5.x-p1.iso /mnt/iso

Step 7

/scripts/ ディレクトリに移動します。

[root@dcnm]# cd /mnt/iso/packaged-files/scripts/

Step 8

./inline-upgrade.sh スクリプトを実行する

[root@dcnm]# ./inline-upgrade.sh

進行状況が画面に表示されます。SMU のインストールが完了したら、成功のメッセージが表示されます。

Note

 

SMU が正常にインストールされると、DCNM プロセスが再起動します。これにより、DCNM Web UI へのアクセスが一時的に失われます。

Step 9

appmgr status all コマンドを使用して、DCNM アプリケーションが機能していることを確認します。

[root@dcnm]# appmgr status all

Step 10

exit コマンドを使用して、screen セッションを終了します。

[root@dcnm]# exit

Step 11

dcnm-va-patchをマウント解除します。 DCNM セットアップからの 11.5.x-p1.iso ファイル。

Note

 

SMU ファイルをマウント解除する前に、screen セッションを終了する必要があります。

[root@dcnm]# umount /mnt/iso

Cisco DCNM 11.5(x)CVE-2021-45046 および CVE-2021-44228ネイティブ HA 展開での SMU のインストール

このセクションでは、CVE-2021-45046 および CVE-2021-44228 の問題に対処するために Cisco DCNM OVA/ISO アプライアンスにソフトウェア メンテナンス アップデート(SMU)をインストールする手順について説明します。CVE-2021-45105 は重大度が低く、デフォルト設定の DCNM では使用されないため、ここでは取り上げません。

ネイティブ HA 展開モードの Cisco DCNM OVA/ISO のインストールにソフトウェア メンテナンス アップデート(SMU)を適用するには、次の手順を実行します。

Before you begin

  • appmgr show ha-role コマンドを使用して、アクティブ サーバとスタンバイ サーバが動作していることを確認します。

    例:

    アクティブ ノードで次の操作を実行します。
    dcnm1# appmgr show ha-role
    Native HA enabled.
    Deployed role: Active
    Current role: Active
    スタンバイ ノードで次の操作を実行します。
    dcnm2# appmgr show ha-role
    Native HA enabled.
    Deployed role: Standby
    Current role: Standby
  • アクティブおよびスタンバイの両方のアプライアンスで appmgr backup コマンドを使用して、アプリケーション データのバックアップを取得します。

    dcnm1# appmgr backup
    dcnm2# appmgr backup

    DCNM サーバの外部にある安全な場所にバックアップ ファイルをコピーします。

  • Cisco DCNM アプライアンスが VMware 環境にインストールされている場合は、必ず全てのノードの VM スナップショットを作成してください。手順については、[Cisco DCNM リリース ノート(Cisco DCNM Release Notes)][VMware スナップショット サポート(VMware Snapshot Support)]の章をを参照してください。

  • SMU をインストールするためのメンテナンス ウィンドウを計画してください。

  • Cisco DCNM 11.5(x)CVE-2021-45046 および CVE-2021-44228現用系ピアとスタンバイ ピアの両方が稼働していることを確認します。

    この SMU のインストールは、展開のためにリリース 11.5(1)、11.5(2)、および 11.5(3)でサポートされています。

    ネイティブ HA モードの Cisco DCNM 仮想アプライアンスにこのソフトウェア メンテナンス更新を適用するには、現用系とスタンバイ アプライアンスにこの更新を適用します。アクティブ アプライアンスのロールが再びアクティブになるまで待ちます。後でスタンバイ アプライアンスに更新を適用します。

    ネイティブ HA クラスタ デプロイメントの場合、SMU を計算ノードにインストールする前に、現用系アプライアンスとスタンバイ アプライアンスに SMU をインストールします。


    Note


    SMU の Cisco DCNM リリース 11.5(x)CVE-2021-45046 および CVE-2021-44228 アプライアンスへのインストールは、 ルートユーザーのみ可能です。


Procedure


Step 1

SMU ファイルをダウンロードします。

  1. 次のサイトに移動します。https://software.cisco.com/download/

    ダウンロード可能な Cisco DCNM の最新リリース ソフトウェアのリストが表示されます。

  2. 最新のリリース リストで、リリース 11.5(x)CVE-2021-45046 および CVE-2021-44228 を選択します。

    この SMU のインストールは、展開のためにリリース 11.5(1)、11.5(2)、および 11.5(3)でサポートされています。

  3. log4j2 CVE‐2021‐45046 and CVE‐2021‐44228 ファイル をアドレスするためにVMWare、KVM、ベアメタルとアプラアンス サーバーのDCNM 11.5.xメンテナンス アップデートを探し[ダウンロード(Download)] アイコンをクリックします。

  4. dcnm-va-patch.を保存します。SMU の適用を開始するときに見つけやすいように、11.5.x-p1.iso.zipファイルをディレクトリに保存します。

Step 2

dcnm-va-patch.を解凍します。11.5.x-p1.iso.zip ファイル。そして、DCNM セットアップの現用系 ノードとスタンバイ ノードの両方の /root/ フォルダにファイルをアップロードします。

Note

 
例えば、アクティブおよびスタンバイ アプライアンスを dcnm1 および dcnm2 に個別に示します。

Step 3

SSH を使用して sysadmin として Cisco DCNM アプライアンスにログインします。

root ユーザーを有効にする su コマンドを実行します。

dcnm1# su
Enter the root password: 
[root@dcnm1]#
dcnm2# su
Enter the root password: 
[root@dcnm2]#

Step 4

次のコマンドを実行してスクリーン セッションを作成します。

[root@dcnm1]# screen

[root@dcnm2]# screen

これにより、コマンドを実行できるセッションが作成されます。このコマンドは、ウィンドウが表示されていない場合、または切断された場合でも実行し続けます。

Step 5

現用系ノードで、SMU をインストールします。

  1. mkdir /mnt/iso コマンドを使用して、iso という名前のフォルダーを作成します。

    [root@dcnm1]# mkdir -p /mnt/iso
  2. /mnt/iso フォルダの現用系ノードで DCNM 11.5(x)CVE-2021-45046 および CVE-2021-44228 SMUをマウントします。

    [root@dcnm1]# mount -o loop dcnm-va-patch.11.5.x-p1.iso /mnt/iso
  3. /scripts/ ディレクトリに移動します。

    [root@dcnm1]# cd /mnt/iso/packaged-files/scripts/
  4. ./inline-upgrade.sh スクリプトを実行する

    [root@dcnm1]# ./inline-upgrade.sh

    進行状況が画面に表示されます。SMU のインストールが完了したら、成功のメッセージが表示されます。

    Note

     

    SMU が正常にインストールされると、DCNM プロセスが再起動します。これにより、DCNM Web UI へのアクセスが一時的に失われます。

  5. appmgr status all コマンドを使用して、DCNM アプリケーションが機能していることを確認します。

    [root@dcnm1]# appmgr status all

    Note

     

    スタンバイ ノードに SMU を適用する前に、すべてのサービスが Cisco DCNM アクティブ ノードで稼働していることを確認します。

Step 6

スタンバイ ノードで、SMU をインストールします。

  1. mkdir /mnt/iso コマンドを使用して、iso という名前のフォルダーを作成します。

    [root@dcnm2]# mkdir -p /mnt/iso
  2. /mnt/iso フォルダのスタンバイ ノードで DCNM 11.5(x)CVE-2021-45046 および CVE-2021-44228 SMUをマウントします。

    [root@dcnm2]# mount -o loop dcnm-va-patch.11.5.x.iso /mnt/iso
  3. /scripts/ ディレクトリに移動します。

    [root@dcnm2]# cd /mnt/iso/packaged-files/scripts/
  4. ./inline-upgrade.sh スクリプトを実行します。

    [root@dcnm2]# ./inline-upgrade.sh --standby

    進行状況が画面に表示されます。SMU のインストールが完了したら、成功のメッセージが表示されます。

    Note

     

    SMU が正常にインストールされると、DCNM プロセスが再起動します。これにより、DCNM Web UI へのアクセスが一時的に失われます。

  5. appmgr status all コマンドを使用して、DCNM アプリケーションが機能していることを確認します。

    [root@dcnm2]# appmgr status all

Step 7

exit コマンドを使用して、screen セッションを終了します。

[root@dcnm1]# exit

[root@dcnm2]# exit

Step 8

dcnm-va-patchをマウント解除します。DCNM セットアップの現用系ノードとスタンバイ ノードの両方にある 11.5.x-p1.iso ファイル。

Note

 

SMU ファイルをマウント解除する前に、screen セッションを終了する必要があります。

[root@dcnm1]# umount /mnt/iso
[root@dcnm2]# umount /mnt/iso

Cisco DCNM 11.5(x)CVE-2021-45046 および CVE-2021-44228 コンピューティング ノードへの SMU のインストール

このセクションでは、CVE-2021-45046 および CVE-2021-44228 の問題に対処するために Cisco DCNM OVA/ISO アプライアンスにソフトウェア メンテナンス アップデート(SMU)をインストールする手順について説明します。CVE-2021-45105 は重大度が低く、デフォルト設定の DCNM では使用されないため、ここでは取り上げません。

Cisco DCNM クラスタのセットアップのコンピューティング ノードにソフトウェア メンテナンス アップデート (SMU) を適用するには、次の手順を実行します。

Before you begin

  • DCNM 計算ノードをアップグレードする前に、ネイティブ HA モードの Cisco DCNM サーバーに SMU をインストールする必要があります。

  • Cisco DCNM アプライアンスが VMware 環境にインストールされている場合は、必ず全てのノードの VM スナップショットを作成してください。手順については、[Cisco DCNM リリース ノート(Cisco DCNM Release Notes)][VMware スナップショット サポート(VMware Snapshot Support)]の章をを参照してください。

  • SMU をインストールするためのメンテナンス ウィンドウを計画してください。

  • Cisco DCNM 11.5(x)CVE-2021-45046 および CVE-2021-44228 が稼働していることを確認します。

    この SMU のインストールは、展開のためにリリース 11.5(1)、11.5(2)、および 11.5(3)でサポートされています。


    Note


    root ユーザーのみが Cisco DCNM リリース 11.5(x)CVE-2021-45046 および CVE-2021-44228 アプライアンスに SMU をインストールできます。


Procedure


Step 1

SMU ファイルをダウンロードします。

  1. 次のサイトに移動します。https://software.cisco.com/download/

    ダウンロード可能な Cisco DCNM の最新リリース ソフトウェアのリストが表示されます。

  2. 最新のリリース リストで、リリース 11.5(x)CVE-2021-45046 および CVE-2021-44228 を選択します。

    この SMU のインストールは、展開のためにリリース 11.5(1)、11.5(2)、および 11.5(3)でサポートされています。

  3. log4j2 CVE‐2021‐45046 and CVE‐2021‐44228 ファイル をアドレスするためにVMWare、KVM、ベアメタルとアプラアンス サーバーの DCNM 11.5.xメンテナンス アップデートを探し[ダウンロード(Download)] アイコンをクリックします。

  4. dcnm-va-patch.を保存します。SMU の適用を開始するときに見つけやすいように、11.5.x-p1.iso.zipファイルをディレクトリに保存します。

Step 2

dcnm-va-patch.を解凍します。11.5.x-p1.iso.zip ファイルを作成し、そのファイルを DCNM セットアップの 3 つすべてのコンピューティング ノードの /root/ フォルダにアップロードします。

たとえば、3つのコンピューティング ノードをそれぞれ Compute1、Compute2、および Compute3 と指定します。

Step 3

SSH を使用して sysadmin として Cisco DCNM アプライアンスにログインします。

root ユーザーを有効にする su コマンドを実行します。

dcnm-compute1# su
Enter the root password: 
[root@dcnm-compute1]#

Step 4

次のコマンドを実行してスクリーン セッションを作成します。

[root@dcnm-compute1]# screen

これにより、コマンドを実行できるセッションが作成されます。このコマンドは、ウィンドウが表示されていない場合、または切断された場合でも実行し続けます。

Step 5

Compute1 ノードで、SMU をインストールします。

  1. mkdir /mnt/iso コマンドを使用して、iso という名前のフォルダーを作成します。

    [root@dcnm-compute1]# mkdir -p /mnt/iso
  2. DCNM 11.5(x)CVE-2021-45046 および CVE-2021-44228SMU ファイルを /mnt/iso フォルダの Compute1 ノードにマウントします。

    [root@dcnm-compute1]# mount -o loop dcnm-va-patch.11.5.x-p1.iso /mnt/iso
  3. /scripts/ ディレクトリに移動します。

    [root@dcnm-compute1]# cd /mnt/iso/packaged-files/scripts/
  4. ./inline-upgrade.sh スクリプトを実行する

    [root@dcnm-compute1]# ./inline-upgrade.sh

    進行状況が画面に表示されます。SMU のインストールが完了したら、成功のメッセージが表示されます。

    一部のサービスがまだ実行されている場合は、サービスを停止するように促すプロンプトが表示されます。プロンプトが表示されたら、 y を押して続行します。

  5. appmgr status all コマンドを使用して、DCNM アプリケーションが機能していることを確認します。

    [root@dcnm-compute1]# appmgr status all

    Note

     

    dcnm-compute1 ノードですべてのサービスが稼働していることを確認します。

  6. exit コマンドを使用して、screen セッションを終了します。

    [root@dcnm-compute1]# exit

  7. dcnm-va-patch をアンマウントします。 Compute1 から 11.5.x-p1.iso ファイル。

    Note

     

    SMU ファイルをマウント解除する前に、screen セッションを終了する必要があります。

    [root@dcnm]# umount /mnt/iso

Step 6

他の 2 つのコンピューティング ノードにも SMU をインストールします。

ステップ Step 5 の説明の指示に従います。


What to do next

インストールが完了すると、各コンピューティング ノードが自動的にクラスタに結合します。Web UI で、[アプリケーション (Applications)] > [コンピューティング (Compute)] の順に選択して、コンピューティング ノードが [結合済み (Joined)] として表示されるかどうかを確認します。


Note


SMU を再度インストールしようとすると、パッチがすでに Cisco DCNM に適用されていることを示すエラー メッセージが表示されます。


Log4j の脆弱性に対処するコマンドの出力例

次に、Cisco DCNM リリース 11.5(x)CVE-2021-45046 および CVE-2021-44228 に SMU をインストールする際の出力例を示します。

この SMU のインストールは、展開のためにリリース 11.5(1)、11.5(2)、および 11.5(3)でサポートされています。

DCNM スタンドアロン展開に SMU をインストールするためのサンプル出力

この SMU のインストールは、展開のためにリリース 11.5(1)、11.5(2)、および 11.5(3)でサポートされています。

[root@dcnm]# ./inline-upgrade.sh 

============================================================
============ Inline Upgrade to DCNM 11.5(x)CVE-2021-45046 および CVE-2021-44228-p1 =============
============================================================

Upgrading from version: 11.5(x)CVE-2021-45046 および CVE-2021-44228
Upgrading from install option: LAN Fabric
System type: Standalone
Compute only: No

Do you want to continue and perform the inline upgrade to 11.5(x)CVE-2021-45046 および CVE-2021-44228-p1? [y/n]: y
==== Fri Dec 17 11:26:51 PST 2021 - Task checkAfwStatus started ====
==== Fri Dec 17 11:26:51 PST 2021 - Task checkAfwStatus finished ====
==== Fri Dec 17 11:26:51 PST 2021 - Task updateAfwApps started ====
==== Fri Dec 17 11:26:51 PST 2021 - Updating AFW applications ====
Pausing Services that need to be patched
Deleted Containers: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Total reclaimed space: 1.418MB
pauseAfwApp: calling PUT with  {pause}
pauseAfwApp:  value of Wait:  false

HTTP/1.1 200 OK
Date : Fri, 17 Dec 2021 19:26:52 GMT
Content-Length : 99
Content-Type : text/plain; charset=utf-8
{
  "ResponseType": 0,
  "Response": "Application is Paused for elasticsearch_Cisco_afw. Check for status"
}
pauseAfwApp: calling PUT with  {pause}
pauseAfwApp:  value of Wait:  false

HTTP/1.1 200 OK
Content-Length : 96
Content-Type : text/plain; charset=utf-8
Date : Fri, 17 Dec 2021 19:27:12 GMT
{
  "ResponseType": 0,
  "Response": "Application is Paused for watchtower_Cisco_afw. Check for status"
}
pauseAfwApp: calling PUT with  {pause}
pauseAfwApp:  value of Wait:  false

HTTP/1.1 200 OK
Date : Fri, 17 Dec 2021 19:27:32 GMT
Content-Length : 91
Content-Type : text/plain; charset=utf-8
{
  "ResponseType": 0,
  "Response": "Application is Paused for eplui_Cisco_afw. Check for status"
}
pauseAfwApp: calling PUT with  {pause}
pauseAfwApp:  value of Wait:  false

HTTP/1.1 200 OK
Date : Fri, 17 Dec 2021 19:27:52 GMT
Content-Length : 100
Content-Type : text/plain; charset=utf-8
{
  "ResponseType": 0,
  "Response": "Application is Paused for elasticservice_Cisco_afw. Check for status"
}
Now Removing Images from Runtime
Untagged: 127.0.0.1:5001/dcnmelastic:6.8.3_11.5.2
Untagged: 127.0.0.1:5001/dcnmelastic@sha256:a872d49e3b5a0fc58ec9c1e8d8908c62604258cbfb1a02ac418227ed7f928128
Untagged: 127.0.0.1:5000/dcnmelastic:6.8.3_11.5.2
Untagged: 127.0.0.1:5000/dcnmelastic@sha256:a872d49e3b5a0fc58ec9c1e8d8908c62604258cbfb1a02ac418227ed7f928128
Untagged: dcnmelastic:6.8.3_11.5.2
Deleted: sha256:0173109c0612f48ed4165de7e5fa96f2243fe48756405bd0a0b4f12279785db1
Deleted: sha256:8d0b16f607caee532685643cf21550079881b67db9edf7d54a50ba4dec673c45
Deleted: sha256:63f9d6a3667c56f4a64d986b13b0059353fb983495b34f840b6a38c63e39938c
Deleted: sha256:af6e5eed783b56a675c53698ad4d374a77222218ebf706ad9891785b4ec2a537
Deleted: sha256:37dab1fa0ee831d1979104edd0ea820a1b3de3fe818aa75200021f868b221998
Deleted: sha256:cf1569581d9385a63ebd156e15dc795ab82de8d0a27fc5a3205dac339b591ee5
Deleted: sha256:3d293d026d9a7552a3630a75500d860083763a558191e1f28ebb6344c985b09d
Deleted: sha256:b285cfcb6bcb0850c0121d404c51ef0a333380cf332b3b776e75b45a94c2e8a7
Deleted: sha256:6e43279655973e51749e6c13dbf63733802071ff665927375f9f98827857b548
Deleted: sha256:544fc6ed244eef6449d95305179600648f339c0adbcbcbf93cc4f9e402122c53
Deleted: sha256:6810a2c88653fe864294296c70a5a657caa0f638689ff58f13493acc532f5c77
Untagged: 127.0.0.1:5001/elasticservice:1.3
Untagged: 127.0.0.1:5001/elasticservice@sha256:bf0293e69d144bbf2dbd4192f59884fb596629bb6b1b09522a75bd599b2461b2
Untagged: 127.0.0.1:5000/elasticservice:1.3
Untagged: 127.0.0.1:5000/elasticservice@sha256:bf0293e69d144bbf2dbd4192f59884fb596629bb6b1b09522a75bd599b2461b2
Untagged: elasticservice:1.3
Deleted: sha256:c6cd18e3bcc36ab60a3d741e8fa6ec166ec53de742cd959fbef572b2d6e75fdb
Deleted: sha256:be5892dd6be6e671d8dbf07949d2559cdd43ccc537a0cb4f18ee4b74f634238c
Deleted: sha256:e0f9a768f8fc9a173f00b6babcb017789713195b566f97470d9501bbbbba8e74
Deleted: sha256:213b03f962fe9b6df0da77ccabe174c74ccb790d084a25f7221076f45958ced9
Deleted: sha256:1ef5822648e60b2be83c8641db64375be04ecb6f5acd66a142919e14f8af3b4d
Untagged: 127.0.0.1:5001/watchtower:2.1
Untagged: 127.0.0.1:5001/watchtower@sha256:793aee652b615cd3161c8dd9c60eb89b6afd684fc89c6518f84ff71563bee99e
Untagged: 127.0.0.1:5000/watchtower:2.1
Untagged: 127.0.0.1:5000/watchtower@sha256:793aee652b615cd3161c8dd9c60eb89b6afd684fc89c6518f84ff71563bee99e
Untagged: watchtower:2.1
Deleted: sha256:b44bcfbcd001b7c85a2028e813ef6919e316d6af37732a092151639d1c3d2b45
Deleted: sha256:3d30de4d2f50296af6affe5baa20e58a91b84abab65f89cb379ac78308c47b1e
Deleted: sha256:a066f951d571bcead85b9a6530b14a7b82cca834a174c28de1bc037bb80a2edd
Deleted: sha256:cf95f9ed8314cec412869a95a1a50b7b7d04f29bbc5b8a3d149a424ca6c83e49
Untagged: 127.0.0.1:5001/eplui:2.2
Untagged: 127.0.0.1:5001/eplui@sha256:af90fd9362f9244ed03bdd13318f6123817a7be64e089c42f5094fd570ebb03d
Untagged: 127.0.0.1:5000/eplui:2.2
Untagged: 127.0.0.1:5000/eplui@sha256:af90fd9362f9244ed03bdd13318f6123817a7be64e089c42f5094fd570ebb03d
Untagged: eplui:2.2
Deleted: sha256:5cca4a674f345d289c814ae0a3f24ec9aac76937046beb4273b51cc29c4b6408
Deleted: sha256:d6886b2e02aaf7ebf7cfd0423bedffbd27905d12f81d0908d4ab02b2e9973cc1
Deleted: sha256:301f9eb3ba05164dbd29cab2c93dad24e5e1fea3cf2abd2f1585c25df6a75c34
Deleted: sha256:0af470c810372aa3ecee7f4f5b6cdbab0dc857ef371d658668bb43fb2e50f2ef
Checking and starting a writable registry
Error response from daemon: no such image: AfwAppRegistry: invalid reference format: repository name must be lowercase
f11dc4cb9677d2cb7e0fe215050f69fdbb60ed583762f3867290c8ae4a712b2a
Achieved Pause state for all services, Now Patching services
Loading Images into the writable registry
Loaded image: eplui:2.2
Loaded image: dcnmelastic:6.8.3_11.5.2
Loaded image: elasticservice:1.3
Loaded image: watchtower:2.1
The push refers to a repository [127.0.0.1:5000/dcnmelastic]
97da84f99ba3: Preparing
a0bb674f2b12: Preparing
1d07ed4e39fa: Preparing
8d8a48fd5741: Preparing
b14eb3458281: Preparing
f13999d3b63e: Preparing
d1c75bcbeb10: Preparing
f51f8d284b3b: Preparing
617b86abcd6d: Preparing
d3071a656898: Preparing
0bcab5b3cf37: Preparing
5d50c3ca45af: Preparing
9785ac5771f5: Preparing
d1c75bcbeb10: Waiting
d3071a656898: Waiting
f51f8d284b3b: Waiting
5d50c3ca45af: Waiting
617b86abcd6d: Waiting
fbb373121c59: Preparing
7b9f72883f99: Preparing
9785ac5771f5: Waiting
fbb373121c59: Waiting
5fb2dee77c93: Preparing
bc2717dd2942: Preparing
7b9f72883f99: Waiting
5fb2dee77c93: Waiting
bc2717dd2942: Waiting
0bcab5b3cf37: Waiting
1d07ed4e39fa: Pushed
97da84f99ba3: Pushed
a0bb674f2b12: Pushed
8d8a48fd5741: Pushed
b14eb3458281: Pushed
d1c75bcbeb10: Pushed
f13999d3b63e: Pushed
f51f8d284b3b: Pushed
617b86abcd6d: Pushed
d3071a656898: Layer already exists
0bcab5b3cf37: Layer already exists
5d50c3ca45af: Layer already exists
fbb373121c59: Layer already exists
9785ac5771f5: Layer already exists
7b9f72883f99: Layer already exists
5fb2dee77c93: Layer already exists
bc2717dd2942: Layer already exists
6.8.3_11.5.2: digest: sha256:0e407eefbc956a3e4c5b1705ab3add29c883e63da1b84d8e89f2345fe2fc557f size: 3882
The push refers to a repository [127.0.0.1:5000/elasticservice]
e9e60715acea: Preparing
83082b3681a8: Preparing
ec805d3c2de0: Preparing
fa8a90cb6518: Preparing
5d50c3ca45af: Preparing
9785ac5771f5: Preparing
fbb373121c59: Preparing
7b9f72883f99: Preparing
5fb2dee77c93: Preparing
bc2717dd2942: Preparing
fbb373121c59: Waiting
7b9f72883f99: Waiting
5fb2dee77c93: Waiting
bc2717dd2942: Waiting
9785ac5771f5: Waiting
5d50c3ca45af: Layer already exists
9785ac5771f5: Layer already exists
fbb373121c59: Layer already exists
fa8a90cb6518: Pushed
5fb2dee77c93: Layer already exists
bc2717dd2942: Layer already exists
e9e60715acea: Pushed
83082b3681a8: Pushed
7b9f72883f99: Layer already exists
ec805d3c2de0: Pushed
1.3: digest: sha256:ece5bb0b46547a166907f38f4958e40fd5202bf015728ea89dda2af342d28727 size: 2422
The push refers to a repository [127.0.0.1:5000/watchtower]
7bb58c00bab0: Preparing
69c967d71211: Preparing
ea7268754985: Preparing
5d50c3ca45af: Preparing
9785ac5771f5: Preparing
fbb373121c59: Preparing
7b9f72883f99: Preparing
5fb2dee77c93: Preparing
bc2717dd2942: Preparing
7b9f72883f99: Waiting
5fb2dee77c93: Waiting
bc2717dd2942: Waiting
fbb373121c59: Waiting
5d50c3ca45af: Layer already exists
9785ac5771f5: Layer already exists
7b9f72883f99: Layer already exists
fbb373121c59: Layer already exists
5fb2dee77c93: Layer already exists
bc2717dd2942: Layer already exists
7bb58c00bab0: Pushed
ea7268754985: Pushed
69c967d71211: Pushed
2.1: digest: sha256:2aeded0fa00d3c92c4e78a5339eb116e27b0ac5fbed36c241fd26676a6642d91 size: 2214
The push refers to a repository [127.0.0.1:5000/eplui]
4d33a08042c4: Preparing
a6480cd96594: Preparing
53cebfe822f4: Preparing
5d50c3ca45af: Preparing
9785ac5771f5: Preparing
fbb373121c59: Preparing
7b9f72883f99: Preparing
5fb2dee77c93: Preparing
bc2717dd2942: Preparing
7b9f72883f99: Waiting
fbb373121c59: Waiting
5fb2dee77c93: Waiting
9785ac5771f5: Layer already exists
5d50c3ca45af: Layer already exists
fbb373121c59: Layer already exists
4d33a08042c4: Pushed
53cebfe822f4: Pushed
7b9f72883f99: Layer already exists
bc2717dd2942: Layer already exists
5fb2dee77c93: Layer already exists
a6480cd96594: Pushed
2.2: digest: sha256:6a6b2266bb21bbcb88cd2fc3f01c7127d2793b663026ffa88d0665eb82f8d354 size: 2214
AfwAppRegistry
Loaded images, now unpausing services
pauseAfwApp: calling PUT with  {unpause}

HTTP/1.1 200 OK
Date : Fri, 17 Dec 2021 19:30:22 GMT
Content-Length : 100
Content-Type : text/plain; charset=utf-8
{
  "ResponseType": 0,
  "Response": "Application is Running for elasticsearch_Cisco_afw. Check for status"
}
pauseAfwApp: calling PUT with  {unpause}

HTTP/1.1 200 OK
Date : Fri, 17 Dec 2021 19:30:43 GMT
Content-Length : 97
Content-Type : text/plain; charset=utf-8
{
  "ResponseType": 0,
  "Response": "Application is Running for watchtower_Cisco_afw. Check for status"
}
pauseAfwApp: calling PUT with  {unpause}

HTTP/1.1 200 OK
Date : Fri, 17 Dec 2021 19:31:04 GMT
Content-Length : 92
Content-Type : text/plain; charset=utf-8
{
  "ResponseType": 0,
  "Response": "Application is Running for eplui_Cisco_afw. Check for status"
}
pauseAfwApp: calling PUT with  {unpause}

HTTP/1.1 200 OK
Date : Fri, 17 Dec 2021 19:31:25 GMT
Content-Length : 101
Content-Type : text/plain; charset=utf-8
{
  "ResponseType": 0,
  "Response": "Application is Running for elasticservice_Cisco_afw. Check for status"
}
Nothing to Patch in NI Base image is not installed here
==== Fri Dec 17 11:30:45 PST 2021 - Task updateAfwApps finished ====
==== Fri Dec 17 11:30:45 PST 2021 - Task disableAppsOnStandby started ====

Stopping HA apps on Standby node
Stopping AFW Applications...
Stopping AFW Server Processes
Stopping AFW Agent Processes
Stopped Application Framework...
Stopping High-Availability services: Done.

==== Fri Dec 17 11:31:45 PST 2021 - Task disableAppsOnStandby finished ====

==== Fri Dec 17 11:31:45 PST 2021 - Task stopDcnmServer started ====
==== Fri Dec 17 11:31:45 PST 2021 - Trying to upgrade your DCNM, so stopping the dcnm to proceed... ====
Stopping FMServer (via systemctl):  [  OK  ]
==== Fri Dec 17 11:32:20 PST 2021 - Task stopDcnmServer finished ====
==== Fri Dec 17 11:32:20 PST 2021 - Task updatePackagedFiles started ====
==== Fri Dec 17 11:32:20 PST 2021 - Updating packaged-files ====
==== Fri Dec 17 11:32:20 PST 2021 - Task updatePackagedFiles finished ====
==== Fri Dec 17 11:32:20 PST 2021 - Task updateFmServer started ====
==== Fri Dec 17 11:32:20 PST 2021 - Updating FMServer ====
==== Fri Dec 17 11:32:20 PST 2021 - Backing up dcm.ear ====
==== Fri Dec 17 11:32:21 PST 2021 - Applying patch... ====
Patching ear file, please wait...
Patching war file, please wait...
==== Fri Dec 17 11:32:30 PST 2021 - Task updateFmServer finished ====
==== Fri Dec 17 11:32:30 PST 2021 - Task updatePatchList started ====
==== Fri Dec 17 11:32:30 PST 2021 - Task updatePatchList finished ====
==== Fri Dec 17 11:32:30 PST 2021 - Task startDcnmServer started ====
Started AFW Server Processes
Started AFW Agent Processes
Started applications managed by heartbeat..
Check the status using 'appmgr status all'
Starting High-Availability services: INFO:  Resource is stopped
Done.

==== Fri Dec 17 11:33:23 PST 2021 - Task startDcnmServer finished ====
==== Fri Dec 17 11:33:23 PST 2021 - Task completeUpgrade started ====

***********************************************************************************
Inline upgrade of this Standalone DCNM node is complete.

==== Sat Dec 17 11:33:23 PST 2021 - Task completeUpgrade finished ====
***********************************************************************************

DCNM ネイティブ HA 展開に SMU をインストールするためのサンプル出力

この SMU のインストールは、展開のためにリリース 11.5(1)、11.5(2)、および 11.5(3)でサポートされています。

現用系ノードでのリリース用11.5(x)CVE-2021-45046 および CVE-2021-44228 DCNM SMU のインストール
============================================================
============ Inline Upgrade to DCNM 11.5(x)CVE-2021-45046 および CVE-2021-44228-p1 =============
============================================================
Upgrading from version: 11.5(x)CVE-2021-45046 および CVE-2021-44228
Upgrading from install option: LAN Fabric
System type: HA
Compute only: No
Do you want to continue and perform the inline upgrade to 11.5(x)CVE-2021-45046 および CVE-2021-44228-p1? [y/n]: y

==== Fri Dec 17 11:26:51 PST 2021 - Task checkAfwStatus started ====
==== Fri Dec 17 11:26:51 PST 2021 - Task checkAfwStatus finished ====
==== Fri Dec 17 11:26:51 PST 2021 - Task updateAfwApps started ====
==== Fri Dec 17 11:26:51 PST 2021 - Updating AFW applications ====
Pausing Services that need to be patched
Deleted Containers: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 reclaimed space: 1.418MB

pauseAfwApp: calling PUT with {pause}
pauseAfwApp: value of Wait: false
HTTP/1.1 200 OK
Date : Fri, 17 Dec 2021 19:26:52 GMT
Content-Length : 99
Content-Type : text/plain; charset=utf-8
{
"ResponseType": 0,
"Response": "Application is Paused for elasticsearch_Cisco_afw. Check for status"
}

pauseAfwApp: calling PUT with {pause}
pauseAfwApp: value of Wait: false
HTTP/1.1 200 OK
Content-Length : 96
Content-Type : text/plain; charset=utf-8
Date : Fri, 17 Dec 2021 19:27:12 GMT
{
"ResponseType": 0,
"Response": "Application is Paused for watchtower_Cisco_afw. Check for status"
}

pauseAfwApp: calling PUT with {pause}
pauseAfwApp: value of Wait: false
HTTP/1.1 200 OK
Date : Fri, 17 Dec 2021 19:27:32 GMT
Content-Length : 91
Content-Type : text/plain; charset=utf-8
{
"ResponseType": 0,
"Response": "Application is Paused for eplui_Cisco_afw. Check for status"
}

pauseAfwApp: calling PUT with {pause}
pauseAfwApp: value of Wait: false
HTTP/1.1 200 OK
Date : Fri, 17 Dec 2021 19:27:52 GMT
Content-Length : 100
Content-Type : text/plain; charset=utf-8
{
"ResponseType": 0,
"Response": "Application is Paused for elasticservice_Cisco_afw. Check for status"
}

Now Removing Images from Runtime
Untagged: 127.0.0.1:5001/dcnmelastic:6.8.3_11.5.2
Untagged: 127.0.0.1:5001/dcnmelastic@sha256:a872d49e3b5a0fc58ec9c1e8d8908c62604258cbfb1a02ac418227ed7f928128
Untagged: 127.0.0.1:5000/dcnmelastic:6.8.3_11.5.2
Untagged: 127.0.0.1:5000/dcnmelastic@sha256:a872d49e3b5a0fc58ec9c1e8d8908c62604258cbfb1a02ac418227ed7f928128
Untagged: dcnmelastic:6.8.3_11.5.2
Deleted: sha256:0173109c0612f48ed4165de7e5fa96f2243fe48756405bd0a0b4f12279785db1
Deleted: sha256:8d0b16f607caee532685643cf21550079881b67db9edf7d54a50ba4dec673c45
Deleted: sha256:63f9d6a3667c56f4a64d986b13b0059353fb983495b34f840b6a38c63e39938c
Deleted: sha256:af6e5eed783b56a675c53698ad4d374a77222218ebf706ad9891785b4ec2a537
Deleted: sha256:37dab1fa0ee831d1979104edd0ea820a1b3de3fe818aa75200021f868b221998
Deleted: sha256:cf1569581d9385a63ebd156e15dc795ab82de8d0a27fc5a3205dac339b591ee5
Deleted: sha256:3d293d026d9a7552a3630a75500d860083763a558191e1f28ebb6344c985b09d
Deleted: sha256:b285cfcb6bcb0850c0121d404c51ef0a333380cf332b3b776e75b45a94c2e8a7
Deleted: sha256:6e43279655973e51749e6c13dbf63733802071ff665927375f9f98827857b548
Deleted: sha256:544fc6ed244eef6449d95305179600648f339c0adbcbcbf93cc4f9e402122c53
Deleted: sha256:6810a2c88653fe864294296c70a5a657caa0f638689ff58f13493acc532f5c77

Untagged: 127.0.0.1:5001/elasticservice:1.3
Untagged: 127.0.0.1:5001/elasticservice@sha256:bf0293e69d144bbf2dbd4192f59884fb596629bb6b1b09522a75bd599b2461b2
Untagged: 127.0.0.1:5000/elasticservice:1.3
Untagged: 127.0.0.1:5000/elasticservice@sha256:bf0293e69d144bbf2dbd4192f59884fb596629bb6b1b09522a75bd599b2461b2
Untagged: elasticservice:1.3

Deleted: sha256:c6cd18e3bcc36ab60a3d741e8fa6ec166ec53de742cd959fbef572b2d6e75fdb
Deleted: sha256:be5892dd6be6e671d8dbf07949d2559cdd43ccc537a0cb4f18ee4b74f634238c
Deleted: sha256:e0f9a768f8fc9a173f00b6babcb017789713195b566f97470d9501bbbbba8e74
Deleted: sha256:213b03f962fe9b6df0da77ccabe174c74ccb790d084a25f7221076f45958ced9
Deleted: sha256:1ef5822648e60b2be83c8641db64375be04ecb6f5acd66a142919e14f8af3b4d

Untagged: 127.0.0.1:5001/watchtower:2.1
Untagged: 127.0.0.1:5001/watchtower@sha256:793aee652b615cd3161c8dd9c60eb89b6afd684fc89c6518f84ff71563bee99e
Untagged: 127.0.0.1:5000/watchtower:2.1
Untagged: 127.0.0.1:5000/watchtower@sha256:793aee652b615cd3161c8dd9c60eb89b6afd684fc89c6518f84ff71563bee99e
Untagged: watchtower:2.1

Deleted: sha256:b44bcfbcd001b7c85a2028e813ef6919e316d6af37732a092151639d1c3d2b45
Deleted: sha256:3d30de4d2f50296af6affe5baa20e58a91b84abab65f89cb379ac78308c47b1e
Deleted: sha256:a066f951d571bcead85b9a6530b14a7b82cca834a174c28de1bc037bb80a2edd
Deleted: sha256:cf95f9ed8314cec412869a95a1a50b7b7d04f29bbc5b8a3d149a424ca6c83e49

Untagged: 127.0.0.1:5001/eplui:2.2
Untagged: 127.0.0.1:5001/eplui@sha256:af90fd9362f9244ed03bdd13318f6123817a7be64e089c42f5094fd570ebb03d
Untagged: 127.0.0.1:5000/eplui:2.2
Untagged: 127.0.0.1:5000/eplui@sha256:af90fd9362f9244ed03bdd13318f6123817a7be64e089c42f5094fd570ebb03d
Untagged: eplui:2.2

Deleted: sha256:5cca4a674f345d289c814ae0a3f24ec9aac76937046beb4273b51cc29c4b6408
Deleted: sha256:d6886b2e02aaf7ebf7cfd0423bedffbd27905d12f81d0908d4ab02b2e9973cc1
Deleted: sha256:301f9eb3ba05164dbd29cab2c93dad24e5e1fea3cf2abd2f1585c25df6a75c34
Deleted: sha256:0af470c810372aa3ecee7f4f5b6cdbab0dc857ef371d658668bb43fb2e50f2ef

Checking and starting a writable registry
Error response from daemon: no such image: AfwAppRegistry: invalid reference format:
repository name must be lowercase
f11dc4cb9677d2cb7e0fe215050f69fdbb60ed583762f3867290c8ae4a712b2a
Achieved Pause state for all services, Now Patching services
Loading Images into the writable registry
Loaded image: eplui:2.2
Loaded image: dcnmelastic:6.8.3_11.5.2
Loaded image: elasticservice:1.3
Loaded image: watchtower:2.1

The push refers to a repository [127.0.0.1:5000/dcnmelastic]
97da84f99ba3: Preparing
a0bb674f2b12: Preparing
1d07ed4e39fa: Preparing
8d8a48fd5741: Preparing
b14eb3458281: Preparing
f13999d3b63e: Preparing
d1c75bcbeb10: Preparing
f51f8d284b3b: Preparing
617b86abcd6d: Preparing
d3071a656898: Preparing
0bcab5b3cf37: Preparing
5d50c3ca45af: Preparing
9785ac5771f5: Preparing
d1c75bcbeb10: Waiting
d3071a656898: Waiting
f51f8d284b3b: Waiting
5d50c3ca45af: Waiting
617b86abcd6d: Waiting
fbb373121c59: Preparing
7b9f72883f99: Preparing
9785ac5771f5: Waiting
fbb373121c59: Waiting
5fb2dee77c93: Preparing
bc2717dd2942: Preparing
7b9f72883f99: Waiting
5fb2dee77c93: Waiting
bc2717dd2942: Waiting
0bcab5b3cf37: Waiting
1d07ed4e39fa: Pushed
97da84f99ba3: Pushed
a0bb674f2b12: Pushed
8d8a48fd5741: Pushed
b14eb3458281: Pushed
d1c75bcbeb10: Pushed
f13999d3b63e: Pushed
f51f8d284b3b: Pushed
617b86abcd6d: Pushed
d3071a656898: Layer already exists
0bcab5b3cf37: Layer already exists
5d50c3ca45af: Layer already exists
fbb373121c59: Layer already exists
9785ac5771f5: Layer already exists
7b9f72883f99: Layer already exists
5fb2dee77c93: Layer already exists
bc2717dd2942: Layer already exists
6.8.3_11.5.2: digest: sha256:0e407eefbc956a3e4c5b1705ab3add29c883e63da1b84d8e89f2345fe2fc557f size: 3882

The push refers to a repository [127.0.0.1:5000/elasticservice]
e9e60715acea: Preparing
83082b3681a8: Preparing
ec805d3c2de0: Preparing
fa8a90cb6518: Preparing
5d50c3ca45af: Preparing
9785ac5771f5: Preparing
fbb373121c59: Preparing
7b9f72883f99: Preparing
5fb2dee77c93: Preparing
bc2717dd2942: Preparing
fbb373121c59: Waiting
7b9f72883f99: Waiting
5fb2dee77c93: Waiting
bc2717dd2942: Waiting
9785ac5771f5: Waiting
5d50c3ca45af: Layer already exists
9785ac5771f5: Layer already exists
fbb373121c59: Layer already exists
fa8a90cb6518: Pushed
5fb2dee77c93: Layer already exists
bc2717dd2942: Layer already exists
e9e60715acea: Pushed
83082b3681a8: Pushed
7b9f72883f99: Layer already exists
ec805d3c2de0: Pushed
1.3: digest: sha256:ece5bb0b46547a166907f38f4958e40fd5202bf015728ea89dda2af342d28727 size: 2422

The push refers to a repository [127.0.0.1:5000/watchtower]
7bb58c00bab0: Preparing
69c967d71211: Preparing
ea7268754985: Preparing
5d50c3ca45af: Preparing
9785ac5771f5: Preparing
fbb373121c59: Preparing
7b9f72883f99: Preparing
5fb2dee77c93: Preparing
bc2717dd2942: Preparing
7b9f72883f99: Waiting
5fb2dee77c93: Waiting
bc2717dd2942: Waiting
fbb373121c59: Waiting
5d50c3ca45af: Layer already exists
9785ac5771f5: Layer already exists
7b9f72883f99: Layer already exists
fbb373121c59: Layer already exists
5fb2dee77c93: Layer already exists
bc2717dd2942: Layer already exists
7bb58c00bab0: Pushed
ea7268754985: Pushed
69c967d71211: Pushed
2.1: digest: sha256:2aeded0fa00d3c92c4e78a5339eb116e27b0ac5fbed36c241fd26676a6642d91 size: 2214

The push refers to a repository [127.0.0.1:5000/eplui]
4d33a08042c4: Preparing
a6480cd96594: Preparing
53cebfe822f4: Preparing
5d50c3ca45af: Preparing
9785ac5771f5: Preparing
fbb373121c59: Preparing
7b9f72883f99: Preparing
5fb2dee77c93: Preparing
bc2717dd2942: Preparing
7b9f72883f99: Waiting
fbb373121c59: Waiting
5fb2dee77c93: Waiting
9785ac5771f5: Layer already exists
5d50c3ca45af: Layer already exists
fbb373121c59: Layer already exists
4d33a08042c4: Pushed
53cebfe822f4: Pushed
7b9f72883f99: Layer already exists
bc2717dd2942: Layer already exists
5fb2dee77c93: Layer already exists
a6480cd96594: Pushed
2.2: digest: sha256:6a6b2266bb21bbcb88cd2fc3f01c7127d2793b663026ffa88d0665eb82f8d354 size: 2214

AfwAppRegistry
Loaded images, now unpausing services
pauseAfwApp: calling PUT with {unpause}
HTTP/1.1 200 OK
Date : Fri, 17 Dec 2021 19:30:22 GMT
Content-Length : 100
Content-Type : text/plain; charset=utf-8
{
"ResponseType": 0,
"Response": "Application is Running for elasticsearch_Cisco_afw. Check for status"
}

pauseAfwApp: calling PUT with {unpause}
HTTP/1.1 200 OK
Date : Fri, 17 Dec 2021 19:30:43 GMT
Content-Length : 97
Content-Type : text/plain; charset=utf-8
{
"ResponseType": 0,
"Response": "Application is Running for watchtower_Cisco_afw. Check for status"
}

pauseAfwApp: calling PUT with {unpause}
HTTP/1.1 200 OK
Date : Fri, 17 Dec 2021 19:31:04 GMT
Content-Length : 92
Content-Type : text/plain; charset=utf-8
{
"ResponseType": 0,
"Response": "Application is Running for eplui_Cisco_afw. Check for status"
}

pauseAfwApp: calling PUT with {unpause}
HTTP/1.1 200 OK
Date : Fri, 17 Dec 2021 19:31:25 GMT
Content-Length : 101
Content-Type : text/plain; charset=utf-8
{
"ResponseType": 0,
"Response": "Application is Running for elasticservice_Cisco_afw. Check for status"
}

Nothing to Patch in NI Base image is not installed here
==== Fri Dec 17 11:30:45 PST 2021 - Task updateAfwApps finished ====
==== Fri Dec 17 11:30:45 PST 2021 - Task disableAppsOnStandby started ====
Stopping HA apps on Standby node
Stopping AFW Applications...
Stopping AFW Server Processes
Stopping AFW Agent Processes
Stopped Application Framework...
Stopping High-Availability services: Done.

==== Fri Dec 17 11:31:45 PST 2021 - Task disableAppsOnStandby finished ====
==== Fri Dec 17 11:31:45 PST 2021 - Task stopDcnmServer started ====
==== Fri Dec 17 11:31:45 PST 2021 - Trying to upgrade your DCNM, so stopping the dcnm to proceed... ====
Stopping FMServer (via systemctl): [ OK ]
==== Fri Dec 17 11:32:20 PST 2021 - Task stopDcnmServer finished ====
==== Fri Dec 17 11:32:20 PST 2021 - Task updatePackagedFiles started ====
==== Fri Dec 17 11:32:20 PST 2021 - Updating packaged-files ====
==== Fri Dec 17 11:32:20 PST 2021 - Task updatePackagedFiles finished ====
==== Fri Dec 17 11:32:20 PST 2021 - Task updateFmServer started ====
==== Fri Dec 17 11:32:20 PST 2021 - Updating FMServer ====
==== Fri Dec 17 11:32:20 PST 2021 - Backing up dcm.ear ====
==== Fri Dec 17 11:32:21 PST 2021 - Applying patch... ====

Patching ear file, please wait...
Patching war file, please wait...

==== Fri Dec 17 11:32:30 PST 2021 - Task updateFmServer finished ====
==== Fri Dec 17 11:32:30 PST 2021 - Task updatePatchList started ====
==== Fri Dec 17 11:32:30 PST 2021 - Task updatePatchList finished ====
==== Fri Dec 17 11:32:30 PST 2021 - Task startDcnmServer started ====

Started AFW Server Processes
Started AFW Agent Processes
Started applications managed by heartbeat..
Check the status using 'appmgr status all'
Starting High-Availability services: INFO: Resource is stopped
Done.
==== Fri Dec 17 11:33:23 PST 2021 - Task startDcnmServer finished ====
==== Fri Dec 17 11:33:23 PST 2021 - Task completeUpgrade started ====
***********************************************************************************
Inline upgrade of this Active DCNM node is complete.
Please wait until this node is Active again
before upgrading the Standby node.
==== Sat Dec 17 11:33:23 PST 2021 - Task completeUpgrade finished ====
スタンバイ ノードでのリリース用11.5(x)CVE-2021-45046 および CVE-2021-44228 DCNM SMU のインストール
[root@dcnm2]# ./inline-upgrade.sh --standby

============================================================
============ Inline Upgrade to DCNM 11.5(x)CVE-2021-45046 および CVE-2021-44228-p1 =============
============================================================
Upgrading from version: 11.5(x)CVE-2021-45046 および CVE-2021-44228
Upgrading from install option: LAN Fabric
System type: HA
Compute only: No
Do you want to continue and perform the inline upgrade to 11.5(x)CVE-2021-45046 および CVE-2021-44228-p2? [y/n]: y

==== Fri Dec 17 18:15:05 PST 2021 - Task checkAfwStatus started ====
==== Fri Dec 17 18:15:05 PST 2021 - Task checkAfwStatus finished ====
==== Fri Dec 17 18:15:05 PST 2021 - Task updateAfwApps started ====
==== Fri Dec 17 18:15:05 PST 2021 - Task updateAfwApps finished ====
==== Fri Dec 17 18:15:05 PST 2021 - Task disableAppsOnStandby started ====
==== Fri Dec 17 18:15:05 PST 2021 - Task disableAppsOnStandby finished ====
==== Fri Dec 17 18:16:05 PST 2021 - Task stopDcnmServer started ====
==== Fri Dec 17 18:16:05 PST 2021 - Task stopDcnmServer finished ====
==== Fri Dec 17 18:16:05 PST 2021 - Task updatePackagedFiles started ====
==== Fri Dec 17 18:16:05 PST 2021 - Updating packaged-files ====
==== Fri Dec 17 18:16:05 PST 2021 - Task updatePackagedFiles finished ====
==== Fri Dec 17 18:16:05 PST 2021 - Task updateFmServer started ====
==== Fri Dec 17 18:16:05 PST 2021 - Updating FMServer ====
==== Fri Dec 17 18:16:05 PST 2021 - Backing up dcm.ear ====
==== Fri Dec 17 18:16:07 PST 2021 - Applying patch... ====

Patching ear file, please wait...
Patching war file, please wait...

==== Fri Dec 17 18:16:21 PST 2021 - Task updateFmServer finished ====
==== Fri Dec 17 18:16:21 PST 2021 - Task updatePatchList started ====
==== Fri Dec 17 18:16:21 PST 2021 - Task updatePatchList finished ====
==== Fri Dec 17 18:16:21 PST 2021 - Task startDcnmServer started ====

updating the Navigation file
Started AFW Server Processes
Started AFW Agent Processes
Started applications managed by heartbeat..
Check the status using 'appmgr status all'
Starting High-Availability services: INFO: Resource is stopped
Done.
==== Fri Dec 17 18:16:25 PST 2021 - Task startDcnmServer finished ====
==== Fri Dec 17 18:16:25 PST 2021 - Task completeUpgrade started ====

***********************************************************************************
Inline upgrade of the HA DCNM system is complete.
***********************************************************************************
==== Fri Dec 17 18:16:25 PST 2021 - Task completeUpgrade finished ===

DCNM コンピューティング ノードに SMU をインストールするためのサンプル出力

この SMU のインストールは、展開のためにリリース 11.5(1)、11.5(2)、および 11.5(3)でサポートされています。

[root@dcnm-compute1]# ./inline-upgrade.sh
============================================================
============ Inline Upgrade to DCNM 11.5(x)CVE-2021-45046 および CVE-2021-44228-p1 =============
============================================================

Upgrading from version: 11.5(x)CVE-2021-45046 および CVE-2021-44228
Upgrading from install option: N/A
System type: HA
Compute only: Yes

*************************************************************************
ALERT: AFTER THE UPGRADE MAKE SURE COMPUTE NODE IS BACK IN JOINED STATE.
USE DCNM "APPLICATIONS->COMPUTE" GUI TO CHECK STATUS
*************************************************************************

Do you want to continue and perform the inline upgrade to 11.5(x)CVE-2021-45046 および CVE-2021-44228-p1? [y/n]: y

==== Fri Dec 17 20:36:14 PST 2021 - Task updatePackagedFiles started ====
==== Fri Dec 17 20:36:14 PST 2021 - Updating packaged-files ====
==== Fri Dec 17 20:36:14 PST 2021 - Task updatePackagedFiles finished ====
==== Fri Dec 17 20:36:14 PST 2021 - Task updatePatchList started ====
==== Fri Dec 17 20:36:14 PST 2021 - Task updatePatchList finished ====
==== Fri Dec 17 20:36:14 PST 2021 - Task completeUpgrade started ====
***********************************************************************************
Inline updgrade of this compute is complete
***********************************************************************************
==== Fri Dec 17 20:36:14 PST 2021 - Task completeUpgrade finished ==== 

Log4j2 脆弱性のスキャン

https://github.com/logpresso/CVE-2021-44228-Scannerからスキャナー(logpresso など)をダウンロードします。


警告


このユーティリティは、脆弱性のスキャンにのみ使用してください。システム内の何かを修正するために使用しないでください。



注意    


SMU をインストールしたら、DCNM Web UI が稼働していることを確認します。また、appmgr status all コマンドを使用して、すべてのプロセスが稼働していることを確認します。[アプリケーション(Applications)] > [コンピューティング(Compute)] に、すべてのノードが結合状態で表示されていることを確認します。


スキャンを再度実行する前に、次のコマンドを使用して、使用されなくなった古い docker イメージを消去します。

docker ps -aで終了状態のコンテナが多数表示される場合は、最初に次を実行します:

docker container prune
WARNING! This will remove all stopped containers.
Are you sure you want to continue? [y/N] y
Deleted Containers:
33d2a44706663870d062b7ee8b4aba18ea94ea6fdc285b6ba1d133334f226d73
9fba3140120f7fbc41993a97d0bc6bec254ffed638da1445e3a91fb04614cba6
67d4cd575d1febdec54fe161d716334908eb18d1a9a5d053a8f21ed1e3089d8c
4b8f2463cf899341fd5a028078a3d6b98790807db1ba6f6ece13a5a0a7783749
5b066b6eb334986d0cb0442249218d8582936439f8c8b3a3c81426ab81beaac3
14b965917498dcaaaa3e586d0d65e702d884c3cef7e425e60215a192cbff9945
359ab2ca568d10c42e406fec6a6f7499637936080b0ca109e307c51ca9431532
a18a752de7208d3802989f9209893140cac404cf33dcdf5cb362ebbddbde4e04
519e0e7654ecff8601f868c2a55fd1507a9ce52d137c33c79067fe3d7f834048
03e0c0ccaa35e2b4d07c6afae90c758f3db5ea639528afcc550a26e9c1ef1b43
Total reclaimed space: 155.4MB

終了状態のコンテナがない場合は、次のように docker image prune を直接実行して古いイメージをクリーンアップできます:

docker image prune –a
WARNING! This will remove all images without at least one container associated to them.
Are you sure you want to continue? [y/N] y
Deleted Images:
untagged: 127.0.0.1:5001/eplui:2.1
untagged: 127.0.0.1:5001/eplui@sha256:6b788e837561f5b56378d9872885abd078105b6e18f17f8b28ff7d58106288ed
deleted: sha256:9a9bb56bcf9e5807e25743522e7cc3b7946ca39b875418b5f85894b383443276
deleted: sha256:d09c3547766a3130d2e48d85d5c33304fd912abbcc0fd8f6d877ca4a5a7513d8
deleted: sha256:19acc971e6674459c817bd011ed8e5969bc4f47f3f733fe9ffb617227d5081e0
deleted: sha256:5f5a7996ee7ba7d79772caa9a24f95cceb8463bab030c7ed8f534b14eda099db
untagged: 127.0.0.1:5001/elasticservice:1.1
untagged: 127.0.0.1:5001/elasticservice@sha256:b7b7a082aa225301e92c55ab93647a7f4e5b49e28152733075995a6b237aa798
deleted: sha256:f9078f534739f1367d9a67187f14f4c32cc9fc904c8fd6579564c848b06f9185
deleted: sha256:f0e44e2f9afc9e180056d5bc6fceed743c2d2e4936a71ae8feb2c5e317ccea25
deleted: sha256:0cab6e9119a4779b58e3f8a2ab48ec892db599ca53a784a63ed2d03aa422a87e
deleted: sha256:60546313de31095f5363f479ea12b74ff02375f96cb5ab5ba23e85027f3be2c4
deleted: sha256:c9d22e3ec2ce60122c9da1d8e8bafb18dd9b61db39c3e8e8ad70be6ec907c48c
untagged: dcnmelastic:6.8.3_11.4.1
deleted: sha256:9e6493318e1189b662683cb288532e9b3177464684e9c17f06ebcd1a6bd3c317
deleted: sha256:f1b3c86a97ad0767ffcc89c31b73d34643a2bb838e317c82f00167bb8cfb270e
deleted: sha256:19c89e64341aff41ec5508ebb2b73107fee9581d71d78b0787279817dd14facc
deleted: sha256:907f6e93fa619661d70a65dc3fd12d0257e3d7afb0ced3961620fa419c5dd792
deleted: sha256:044e562105291191158e417ae9d33dd16022a881562114a970d1fadb116e8e5a
deleted: sha256:48c418ce6e32de81f4171ae073e79b04b3c227afe5f4013e6a0bd5932eee3853
deleted: sha256:7b6c7e6083bffb94f1b9acd4f83acec0f4cdc0685efda47fb6a9735fb0c3ec65
deleted: sha256:59908c99dea86854472cb0d7b64236e4a903f815d652845f56ec30204a12f550
deleted: sha256:11124a752156a4ec945d79172f11be3f025c96f1989886dff9b0b3608303dc3e
untagged: kibana:2.0
deleted: sha256:ea95ed7a67f68301e64e46653af6864cb6e18e496e725432505595936b560f26
deleted: sha256:b153b99c46885f4cd2b05173fb1b5481bda9f10c39130e5cbb38b7cd18884508
deleted: sha256:02033d4e0a299ba71df33ceaff68959d74d4a62fc0be69b689a01e6322f8e64c
deleted: sha256:9ed6d76808f43ff63909ba38cdda9430109b4848c4cb5b7e8db63e9a9f5e9f7e
deleted: sha256:c4ca19d8d6603e6020c28b9eefba5fe056bab61099a7c15a1b0793281601ea54
deleted: sha256:eac1498f3113436c89751c285e6d52c13edfa05810abce2dc042c9750f4b64b6
deleted: sha256:5f265142267b87373fafa5ccff18c1d7f2c7ce8b25ad870263dba4a9ff3a8540
deleted: sha256:f98eb78bb8712f2786ef0580037d916d4ff0d3bf398900f093c94301cad4d705
deleted: sha256:6262d3d4d32bb0a107cfac0c58c563426fdc657116c903e36334a452a4818d68
deleted: sha256:045f4e8b3ed31fb7d27aa34e59cfdd2e8aa5b24d9cde5b84de18635a5b7f3765
deleted: sha256:af643141c457d060c8c88f4b3901d8404bab5b93abdcba1c5050666de50765e2
untagged: watchtower:2.1
deleted: sha256:0a54bd9e96a8483fdb76042b7906909aa1f3fd4deb513a5a7194a8aaf86af7dc
deleted: sha256:f8f11cb198e25e36212a5650d5b8fbcc9f4a515afe91e6d4e678d71c60d6040d
deleted: sha256:224ec704095b7d5d185a405f0e468bc015d6cb9c50cd3ab4ca9de092763ddc5a
deleted: sha256:45268517a253b8f483eedfa7f9f2641361d3f40d5e6f235f179ee3f583ebfc38
untagged: compliance:4.0.0
deleted: sha256:d6750c132fb5e9059f86d0d6b1f54bebd0f00d0b84ab9688813526bd63c6ced8
deleted: sha256:4d10e42b5db7aafabef673b889c6916e79c9f1cf6a5411304b02e158dfac0cbc
deleted: sha256:7ffadb4dd9f304c2d5314f66461d351622fe72e6c2a043942e0cd7fcc8aa2b66
deleted: sha256:516e697bbb7ff9ec971280964b9383fa22cc72ced415362720903ad5281c0852
deleted: sha256:0ef534a6e063d02b7bc5f1ff0a0053478502a8bc76f88cd2dddb58b8225c80a4
deleted: sha256:4a7f56d08ea1e6fcda2d9fd2b37c85eee0e963c9d8c6275997a4028171a15c07
deleted: sha256:544c874de2ace981da4bd06ee33cd8a00d03059b598cc4a02fc4ab9b57610133
deleted: sha256:5f0a9421371e6f218eaf9788eccfc987d40cc7c66291536465f271cf0abdcd04
deleted: sha256:c1968f6e62beccbad147b8f8d0a239b4d308133ee0bc77cd4ee9cfc941f29e50
deleted: sha256:aa9e87a76c7b54bb7dba91db45a84a23542bf647751fe1211764f1395f97ec6f
Total reclaimed space: 794.1MB

その後、log4j スキャナー ツールを実行できます。パッチ実行後のサンプル出力を以下に示します:

サンプル結果の CLI スナップ - CVE-2021-44228 脆弱性スキャンナ 2.3.6 (2021-12-20)

[root@dcnm]# ./log4j2-scan /
Logpresso CVE-2021-44228 Vulnerability Scanner 2.3.6 (2021-12-20)
Scanning directory: /, ./log4j2-scan, / (without devtmpfs, tmpfs, shm)
Running scan (10s): scanned 4653 directories, 41925 files, last visit: /usr/local/cisco/dcm/fm/download
[*] Found CVE-2021-45105 (log4j 2.x) vulnerability in /usr/local/cisco/dcm/wildfly-14.0.1.Final/standalone/sandeployments/dcm.ear (lib/log4j-core-2.16.0.jar), log4j 2.16.0
Running scan (26s): scanned 6980 directories, 62226 files, last visit: /usr/local/cisco/dcm/wildfly-14.0.1.Final/standalone/sandeployments
[*] Found CVE-2021-45105 (log4j 2.x) vulnerability in /usr/local/cisco/dcm/wildfly-14.0.1.Final/standalone/tmp/vfs/deployment/deploymentb8b48c896c390adc/log4j-core-2.16.0.jar-f0e6535d462979bf/log4j-core-2.16.0.jar, log4j 2.16.0
Running scan (36s): scanned 9856 directories, 90359 files, last visit: /usr/local/cisco/dcm/wildfly-14.0.1.Final/modules/system/layers/base/org/infinispan/main
[*] Found CVE-2021-45105 (log4j 2.x) vulnerability in /root/packaged-files/pmn/pmn-telemetry.jar, log4j 2.16.0
[*] Found CVE-2021-44228 (log4j 2.x) vulnerability in /root/patch-11.4.1-p2.backup/dcm.ear (lib/log4j-core-2.8.2.jar), log4j 2.8.2
Running scan (52s): scanned 24714 directories, 141807 files, last visit: /root/patch-11.4.1-p2.backup
[*] Found CVE-2021-45105 (log4j 2.x) vulnerability in /tmp/.inline-upgrade.16121/fmserver-patch/log4j-core-2.16.0.jar, log4j 2.16.0
[*] Found CVE-2021-45105 (log4j 2.x) vulnerability in /tmp/.inline-upgrade.16121/fmserver-patch/dcm.ear (lib/log4j-core-2.16.0.jar), log4j 2.16.0
Running scan (62s): scanned 30813 directories, 183000 files, last visit: /usr/share/elasticsearch/modules/lang-groovy
Running scan (72s): scanned 34709 directories, 216946 files, last visit: /usr/local/cisco/dcm/smis/client/lib
[*] Found CVE-2021-45105 (log4j 2.x) vulnerability in /usr/local/cisco/dcm/wildfly-14.0.1.Final/standalone/sandeployments/dcm.ear (lib/log4j-core-2.16.0.jar), log4j 2.16.0
Running scan (88s): scanned 36975 directories, 231284 files, last visit: /usr/local/cisco/dcm/wildfly-14.0.1.Final/standalone/sandeployments
[*] Found CVE-2021-45105 (log4j 2.x) vulnerability in /usr/local/cisco/dcm/wildfly-14.0.1.Final/standalone/tmp/vfs/deployment/deploymentb8b48c896c390adc/log4j-core-2.16.0.jar-f0e6535d462979bf/log4j-core-2.16.0.jar, log4j 2.16.0
Running scan (98s): scanned 39835 directories, 259398 files, last visit: /usr/local/cisco/dcm/wildfly-14.0.1.Final/modules/system/layers/base/org/bouncycastle/main
[*] Found CVE-2021-45105 (log4j 2.x) vulnerability in /root/packaged-files/pmn/pmn-telemetry.jar, log4j 2.16.0
[*] Found CVE-2021-44228 (log4j 2.x) vulnerability in /root/patch-11.4.1-p2.backup/dcm.ear (lib/log4j-core-2.8.2.jar), log4j 2.8.2
Running scan (114s): scanned 54709 directories, 310865 files, last visit: /root/patch-11.4.1-p2.backup
[*] Found CVE-2021-45105 (log4j 2.x) vulnerability in /tmp/.inline-upgrade.16121/fmserver-patch/log4j-core-2.16.0.jar, log4j 2.16.0
[*] Found CVE-2021-45105 (log4j 2.x) vulnerability in /tmp/.inline-upgrade.16121/fmserver-patch/dcm.ear (lib/log4j-core-2.16.0.jar), log4j 2.16.0
Scanned 59990 directories and 338115 files
Found 12 vulnerable files
Found 0 potentially vulnerable files
Found 0 mitigated files
Completed in 124.16 seconds 

(注)  


Cisco DCNM に SMU をインストールすると、CVE-2021-44228 および CVE-2021-45046 に対応します。CVE-2021-45105 は重大度が低く、デフォルトの出荷設定で Cisco DCNM で使用されていない設定の問題を示しています。したがって、CVE-2021-45105 は、この SMU インストールでは対処されていません。


バックアップには、依然として脆弱な元の変更されていないファイルが含まれています。それらは使用されませんが、参照として保持されます。削除を選択した場合、機能に影響はありません。コンテナ ファイルシステム レイヤ内にあるファイルはほとんどありません。これらのファイルは、コンテナ ファイル システムへの変更を記録し、「マージされた」コンテナ ファイルに表示されなくなるまで問題になりません。これらのファイルは、実行時にプロセスに使用できません。マージされた結果のコンテナ ファイル システムには、脆弱なファイルはありません。

この SMU のインストールは、展開のためにリリース 11.5(1)、11.5(2)、および 11.5(3)でサポートされています。

他の DCNM リリースに SMU をインストールする手順については、以前のバージョンからの DCNM リリース11.5(x)の CVE-2021-45046 および CVE-2021-44228のアップグレード を参照してください。リリース 11.0 以降から複数のホップを介して DCNM リリースにアップグレードできます。log4j2 スキャナは、古い docker / オーバーレイ に関連するファイル システムの問題にフラグを立てます。SMU のインストールを検証してください。詳細については、SMU インストールの検証を参照してください。


(注)  


DCNM HA フェールオーバー後、log4j2 スキャンでいくつかの脆弱性が示される場合があります。これは、スタンバイ サーバーの古い docker イメージ パッケージ バンドルが原因で、どのプロセスの実行時にも使用できません。CVE レポートが引き続き表示される場合は、docker image prune -a コマンドを実行します。これにより、スタンバイ ノードの古いエントリがクリアされます。古いエントリをクリアすると、その後の DCNM HA フェール オーバー中に問題は発生しません。スキャン レポートに CVE エラーが引き続き表示される場合は、Cisco TAC にお問合せすることをお勧めします。


SMU インストールの検証

この SMU のインストールは、展開のためにリリース 11.5(1)、11.5(2)、および 11.5(3)でサポートされています。

パッチが Cisco DCNM アプライアンスおよびコンピューティング ノードに正常に適用されたことを検証するには、/root/packaged-files/properties/dcnm-version.txt にあるファイルの内容を確認します。パッチが正常に適用されると、次に示すように、追加の行が dcnm-version.txt に含まれます:

PATCH_LIST=X

値は次のとおりです。

X は、Cisco DCNM アプライアンスにインストールされているパッチの数です。


(注)  


SMU をインストールすると、ヘルス モニタ アプリケーション(以前は Watchtower と呼ばれていました)に古いデータも新しいデータも表示されなくなります。


以前のバージョンからの DCNM リリース11.5(x)CVE-2021-45046 および CVE-2021-44228のアップグレード

古い DCNM 11.x バージョンから 11.5(x)CVE-2021-45046 および CVE-2021-44228 以降にアップグレードする場合、アップグレードおよびパッチ適用後に、log4j スキャナは、/var/lib/docker/overlay ファイル システムの結果に関連するより多くの脆弱性を示す場合があります。SMU をインストールした後、DCNM 11.2(1) から 11.5(1) にアップグレードしたシステムの出力例を次に示します。サンプル出力は、docker/overlay ファイル システムのすべての複数の脆弱性を示しています。Elasticsearch の docker/overlay2 ファイルシステムに見られる 2 つの脆弱性は、問題を引き起こしません。

この SMU のインストールは、展開のためにリリース 11.5(1)、11.5(2)、および 11.5(3)でサポートされています。

./log4j2-scan /
Logpresso CVE-2021-44228 Vulnerability Scanner 2.2.0 (2021-12-18)
Scanning directory: / (without devtmpfs, tmpfs, shm)
[*] Found CVE-2021-44228 (log4j 2.x) vulnerability in 
/var/lib/docker/overlay/2a7db7cebfce3ac7ca67206122b55e813ea19801593c433b5fd730c69d0a1b69/root/
usr/share/elasticsearch/lib/log4j-core-2.9.1.jar, log4j 2.9.1
[*] Found CVE-2021-44228 (log4j 2.x) vulnerability in /var/lib/docker/overlay/2811b1325950ad4c
438cdd1b2631adb0a1adfa0b49e474279f3499cfd2e49ad3/root/usr/share/elasticsearch/lib/log4j-core-2.9.1.jar, log4j 2.9.1
[*] Found CVE-2021-44228 (log4j 2.x) vulnerability in /var/lib/docker/overlay/8b6416f75366e50688
1755714e39a6f23e581bb5886386eaab935f5d8ed923ad/root/usr/share/elasticsearch/lib/log4j-core-2.9.1.jar, log4j 2.9.1
.
..
...
Running scan (95s): scanned 223603 directories, 1965175 files, last visit: /tmp/.inline-upgrade.11270/fmserver-patch
Running scan (107s): scanned 236660 directories, 2034298 files, last visit: /usr/local/cisco/dcm/
wildfly-14.0.1.Final/standalone/sandeployments
[*] Found CVE-2021-44228 (log4j 2.x) vulnerability in /root/patch-11.5.1-p1.backup/dcm.ear (lib/
log4j-core-2.8.2.jar), log4j 2.8.2
Running scan (117s): scanned 243726 directories, 2095783 files, last visit: /root/patch-11.5.1-p1.backup
Scanned 243914 directories and 2096444 files
Found 29 vulnerable files
Found 0 potentially vulnerable files
Found 0 mitigated files
Completed in 117.36 seconds

DCNM リリース 11.3(1) 以降、アプリケーション フレームワークは docker に overlay2 ファイル システムを使用します。次のコマンドを使用して確認します。

docker info | grep overlay2
Storage Driver: overlay2              /* above command must display this output*/

上記のコマンドの出力で、docker が overlay2 を使用していることが示された場合、ディレクトリ /var/lib/docker/overlay は使用されないため、scanner によって報告されたエラーは残りであり、DCNM で実行中のサービスでは使用されません。これらの残骸をクリーンアップするには、エラーが報告されたノードで次の手順を実行してください。

次のコマンドを使用して、追加の脆弱性が報告されているノードの残りを削除します。

rm -rf /var/lib/docker/overlay

注意    


上記のコマンドを正しく実行してください。overlay2 が誤って削除された場合、DCNM サービスは動作しなくなります。


log4j スキャナーを実行します。表示された出力は、/var/lib/docker/overlay に関連するすべての脆弱性が削除されたことを示しています。

Back to TopBack to Top