«
  1. Anasayfa
  2. VMware
  3. VMSA-2021-0002 VCenter&ESX-I Security

VMSA-2021-0002 VCenter&ESX-I Security

VMware-featured-2100x1200

VMware vCenter ve ESX-i hostları etkileyen yeni güvenlik açıklarını duyurdu. CVSSv3 skoru vCenter 9.8 critical ve ESX-i 8.8 important gibi yüksek skorlarda olduğundan alınması gereken önlemleri aşağıda anlatacağım.

Etkilenen sistemlerin response matrix’i aşağıdaki gibidir.

Product Version Running On CVE Identifier CVSSv3 Severity Fixed Version Workarounds Additional Documentation
vCenter Server 7.0 Any CVE-2021-21972 9.8 Critical  7.0 U1c KB82374 None
vCenter Server 6.7 Any CVE-2021-21972 9.8 Critical  6.7 U3l KB82374 None
vCenter Server 6.5 Any CVE-2021-21972 9.8 Critical  6.5 U3n KB82374 None
Product Version Running On CVE Identifier CVSSv3 Severity Fixed Version Workarounds Additional Documentation
Cloud Foundation (vCenter Server) 4.x Any CVE-2021-21972 9.8 Critical  4.2 KB82374 None
Cloud Foundation (vCenter Server) 3.x Any CVE-2021-21972 9.8 Critical  3.10.1.2 KB82374 None
Product Version Running On CVE Identifier CVSSv3 Severity Fixed Version Workarounds Additional Documentation
[1] ESXi 7.0 Any CVE-2021-21974 8.8 Important  ESXi70U1c-17325551 KB76372 None
[1] ESXi 6.7 Any CVE-2021-21974 8.8 Important  ESXi670-202102401-SG KB76372 None
[1] ESXi 6.5 Any CVE-2021-21974 8.8 Important  ESXi650-202102101-SG KB76372 None
Product Version Running On CVE Identifier CVSSv3 Severity Fixed Version Workarounds Additional Documentation
[1] Cloud Foundation (ESXi) 4.x Any CVE-2021-21974 8.8 Important  4.2 KB76372 None
[1] Cloud Foundation (ESXi) 3.x Any CVE-2021-21974 8.8 Important  [2] KB82705 KB76372 None

vCenter için yapılacak çözüm önerisi:

Fonksiyonel etkisi: vRops appliance’ı otomatik olarak kurma ve yapılandırma seçeneği devre dışı kalacaktır. Ayrıca widget’ları görüntüleme problemi oluşmaktadır.

Geçici çözüm:

SSH ile vCSA (vCenter) sunucusuna bağlanalım.
Dosya dizinine gidelim ve yedeğini alalım.
/etc/vmware/vsphere-ui/compatibility-matrix.xml
Bu dosyanın içeriği aşağıdaki gibidir.

Resim-1

Bu dosyaya aşağıdaki satırı ekleyelim.
<PluginPackage id=”com.vmware.vrops.install” status=”incompatible”/>

Resimdeki gibi gözükecektir.

Resim-2

vsphere-ui service’i restart edelim.
service-control –restart vsphere-ui

 

Tarayıcıdan

 

Resim-3

vCenter client plugins sekmesinde vRops client plugins incompatible olduğunu görebiliriz.

Resim-4

Windows tabanlı vCenter sunucularında C:\ProgramData\VMware\vCenterServer\cfg\vsphere-ui\compatibility-matrix.xml bulunan xml dosyasına aşağıdaki satırı eklememiz gerekiyor.<PluginPackage id=”com.vmware.vrops.install” status=”incompatible”/>

Bu işlemleri geri almak için aşağıdaki satırı kaldırıp vCenter arayüz servisini tekrar çalıştırmanız yeterlidir.
<PluginPackage id=”com.vmware.vrops.install” status=”incompatible”/>

ESX-i hostlar için yapılacak çözüm önerisi:

Fonksiyonel etkisi: SLP kullanan CIM client’lar 427 portundan CIM sunuculara erişemeyecekler. CIM (Common Information Model) detaylı bilgi için tıklayınız.

Geçici çözüm:

  • ESX-i hostumuza ssh yapıp SLP servisini durduralım.
    /etc/init.d/slpd stop
  • SLP servisi kullanımda değil ise durdurabilirsiniz. Kontrol için şu komutu çalıştırabilirsiniz.
    esxcli system slp stats get
  • Aşağıdaki komutu yazarak SLP servisi disable edelim.
    esxcli network firewall ruleset set -r CIMSLP -e 0
  • Yapılan değişikliğin hostların reboot edildiği zaman kalıcı olması için aşağıdaki komutları yazalım.
    chkconfig slpd off
    chkconfig –list | grep slpd
  • Yapılan değişikliklerin geri alınması için aşağıdaki komutları sırasıyla çalıştırabilirsiniz.
    esxcli network firewall ruleset set -r CIMSLP -e 1
    chkconfig slpd on
    chkconfig –list | grep slpd
    /etc/init.d/slpd start

https://kb.vmware.com/s/article/82374

https://kb.vmware.com/s/article/76372

Bir Cevap Yaz

Emre YILMAZ Hakkında

avatar

Emre YILMAZ

Hatay-Reyhanlı doğumluyum. İlk ve Orta öğrenimimi Malatya Zafer İlkokulu, Lise eğitimimi Denizli Anadolu Teknik Lisesi Elektrik bölümünde okudum. Üniversite eğitimimi Trakya Üniversitesi Bilgisayar Programcılığı bölümünde tamamladım. Hizmet verdiği sektörler de lider olan Türkiye’nin öncü kurumlarında, Danışman – Kıdemli Uzman – Sistem Yöneticisi – Sistem & Network Yöneticisi gibi pozisyonlarında görev aldım. Teknik uzmanlık alanlarım Microsoft (MCT – MCSE – MCSA – MCSA + S + M , MCSE + S + M),Veeam (VMCE), Cisco (CCNA), HPE, DellEMC ürün aileleridir. Microsoft ürünlerinden , Active Directory, Exchange Server, Skype for Business , FailOver Cluster ve IIS, ile ilgili planlama, kurulum ve yaygınlaştırma projelerini yürüttüm. Sanallaştırma ve yedeklilik katmanın da VMware, ve Veeam ürünlerini kullandım. Data Center projeleri kapsamında Hyper Converged (Hiper Bütünleşik) ve Traditional (Geleneksel) mimariler ile çalışabilme imkanım oldu. Manage Engine ServiceDesk Plus, AD Manager , AD Self Service , AD Audit ürünlerini kullandım. Aktif Bank Şirketinde Sistem Destek Senior Enterprise Architech olarak görev yapmaktayım.

Bir Cevap Yaz

E-posta hesabınız yayımlanmayacak. Gerekli alanlar işaretlendi *