码农视点

苦逼码农的日常

CVE-2021-21972 and CVE-2021-219732021-03-07 23:14:27

vCenter Server 团队已调查 CVE-2021-21972 和 CVE-2021-21973,并且通过执行本文 Workworkund 部分中详述的步骤确定可以消除利用此漏洞的可能性。此解决办法旨在作为临时解决方案,直到可以部署 VMSA-2021-0002 中记录的更新。

影响和修复的 vCenter Server 版本:
版本受影响的版本固定版本发布日期VAMI/发行说明
内部版本		Client/MOB/vpxd.log
内部版本编号
 7.0  7.0 U1c 之前的所有版本 7.0 U1c(或更高版本)2020-12-1717327517(或更高版本)17327586(或更高版本)
 6.7 VCSA6.7 U3l 之前的所有版本6.7 U3l(或更高版本)2020-11-1917138064(或更高版本)17137327(或更高版本)
6.7 Windows6.7 U3l 之前的所有版本6.7 U3l(或更高版本)2020-11-1917138064(或更高版本)17137232(或更高版本)
 
版本影响的版本固定版本发布日期内部版本号
6.5(VCSA 和 Windows)6.5 U3n 之前的所有版本6.5 U3n(或更高版本)2021-02-2317590285(或更高版本)
 

以下链接详细说明了如何升级 VCSA 计算机。vSphere 6.7 https://communities.vmware.com/t5/vSphere-Upgrade-Install/Addressing-VMSA-2021-0002-for-vCenter-6-7/ta-p/2833192vSphere 7.0https://communities.vmware.com/t5/vSphere-Upgrade-Install/Addressing-VMSA-2021-0002-for-vCenter-7-0/ta-p/2833079




功能影响
影响仅限于使用 vRealize Operations 的环境。需要注意的是,无论 vRealize Operations 是否引入到环境中,vCenter Server 中都存在易受攻击的端点。

  • 新 vRealize Operations 客户将没有通过插件自动安装和配置 vRealize Operations Appliance 的置备/选项。

  • 在 vRealize Operations with vCenter 中配置 vCenter 适配器的客户将无法在 vSphere Client (HTML 5) 中显示衡量指标和警示详细信息(包括 vCenter Server 和 vSAN 概览小组件)。

 Resolution
《CVE-2021-21972 和 CVE-2021-21973 解决方案》 记录在 VMSA-2021-0002
 Workaround
要实施基于 Linux 的虚拟设备 (vCSA) 上 CVE-2021-21972 和 CVE-2021-21973 的解决办法,请执行以下步骤:

插件必须设置为"不兼容"。从 UI 中禁用插件不会保护系统免受此漏洞的影响。
在运行 vCenter High Availability (VCHA) 的环境中,需要同时在主动节点和被动节点上执行此解决办法

  1. 使用 SSH 会话和 root 凭据连接到 vCSA。

  2. 备份 /etc/vmware/vsphere-ui/compatibility-matrix.xml 文件:

cp -v /etc/vmware/vsphere-ui/compatibility-matrix.xml /etc/vmware/vsphere-ui/compatibility-matrix.xml.backup

  1. 在文本compatibility-matrix.xml 文件:

vi /etc/vmware/vsphere-ui/compatibility-matrix.xml

  1. 此文件的内容如下所示: 

/etc/vmware/vsphere-ui/compatibility-matrix.xml before 解决办法

  1. 添加以下条目:

<Matrix>
<pluginsCompatibility>
. . . . 
. . . . 
<PluginPackage id="com.vmware.vrops.install" status="incompatible"/>

</pluginsCompatibility>
</Matrix>

  1. 该文件应如下所示:

/etc/vmware/vsphere-ui/compatibility-matrix.xml (解决办法后)

  1. 通过键入:compatibility-matrix.xmlcompatibility-matrix.xml :wq!

  2. 重新启动 vsphere-ui 服务。使用命令: service-control --restart vsphere-ui.

  3. 导航到 https://<VC-IP-or-FQDN>/ui/vropspluginui/rest/services/checkmobregister。此页面显示"404/未找到(如下所示)"错误。 

导航到 https://<VC-IP-or-FQDN>/ui/vropspluginui/rest/services/checkmobregister。此页面显示"404/未找到 (404/Not Found)"错误

  1. 在 vSphere Client (HTML5) 中,在管理 > Solutions > client-plugins 下,VMware vROPS Client 插件可能会显示为"不兼容",如下所示

在 h5-client 中,在 管理 > Solutions > client-plugins 下,VMware vROPS Client 插件可能会显示为"不兼容",如下所示

  1. 这可确认端点/ui/vropspluginui设置为"不兼容"。

要针对基于 Windows 的 vCenter Server 部署实施 CVE-2021-21972 和 CVE-2021-21973 的解决办法,请执行以下步骤:

插件必须设置为"不兼容"。从 UI 中禁用插件不会保护系统免受此漏洞的影响)
 

  1. 从 RDP 到基于 Windows 的 vCenter Server。

  2. 备份文件 – 

C:\ProgramData\VMware\vCenterServer\cfg\vsphere-ui\compatibility-matrix.xml

  1. 此文件的内容如下所示:

compatibility-matrix.xml before 解决办法

  1. 添加以下条目: 

<Matrix>
<pluginsCompatibility>
. . . . 
. . . . 
<PluginPackage id="com.vmware.vrops.install" status="incompatible"/>

</pluginsCompatibility>
</Matrix>

  1. 文件应如下所示:

compatibility-matrix.xml after 解决办法

  1. 使用命令重新启动 vsphere-ui 服务:C:\Program Files\VMware\vCenter Server\bin> service-control --restart vsphere-ui

  2. 从 Web 浏览器中,导航到:

https://<VC-IP-or-FQDN>/ui/vropspluginui/rest/services/checkmobregister.
页面显示"404/未找到(如下所示)"错误:
导航到 https://<VC-IP-or-FQDN>/ui/vropspluginui/rest/services/checkmobregister。此页面显示"404/未找到 (404/Not Found)"错误

  1. 在 vSphere Client (HTML 5) 中,在 管理 > Solutions > client-plugins 下,VMware vROPS Client 插件可能会显示为"不兼容",如下所示:

在 h5-client 中,VMware vROPS Client 插件在 管理 > Solutions > client-plugins 下可视为"不兼容"

  1. 这可确认端点/ui/vropspluginui 设置为"不兼容"。

要恢复在基于 Linux 的虚拟设备 (vCSA) 上 CVE-2021-21972 和 CVE-2021-21973 的解决办法,请执行以下步骤:
 

  1. 使用 SSH 会话和 root 凭据连接到 vCSA。

  2. 在文本compatibility-matrix.xml 文件:

vi /etc/vmware/vsphere-ui/compatibility-matrix.xml

  1. 移除该文件中的以下行。 

<Matrix>
<pluginsCompatibility>
. . . . 
. . . . 
<PluginPackage id="com.vmware.vrops.install" status="incompatible"/>

</pluginsCompatibility>
</Matrix>

  1. 重新启动 vsphere-ui service。使用命令 – service-control --restart vsphere-u

  2. 验证 vSphere-ui 服务已启动。

  3. VMware vROPS 客户端插件状态为已部署/已启用

要恢复基于 Windows 的 vCenter Server 部署中 CVE-2021-21972 和 CVE-2021-21973 的解决办法,请执行以下步骤:

  1. 连接到 Windows vCenter Server。

  2. 使用文本编辑器编辑文件:

C:\ProgramData\VMware\vCenterServer\cfg\vsphere-ui\compatibility-matrix.xml

  1. 移除该文件中的以下行。 

<Matrix>
<pluginsCompatibility>
. . . . 
. . . . 
<PluginPackage id="com.vmware.vrops.install" status="incompatible"/>

</pluginsCompatibility>
</Matrix>

  1. 使用命令重新启动 vsphere-ui 服务:C:\Program Files\VMware\vCenter Server\bin> service-control --restart vsphere-ui

  2. 验证 vSphere-ui service 已启动。

  3. VMware vROPS 客户端插件状态为已部署/已启用

 Related Information
有关 CVE-2021-21972 和 CVE-2021-21973 最新信息以及未来安全信息,请通过 mailing list Portal 登录 VMware 安全公告。RSS 源也可从公告自身获得。
如何在 VMware ESXi 上禁用/启用 CIM 服务器


作者:xaay | 分类:vsphere | 浏览:2209 | 评论:0

«    2024年9月    »
1
2345678
9101112131415
16171819202122
23242526272829
30
控制面板
您好,欢迎到访网站!
  查看权限
网站分类
搜索
  • Z-BlogPHP
  • 订阅本站的 RSS 2.0 新闻聚合