Merhaba, VMware vCenter ve ESX-i hostları etkileyen yeni güvenlik açıklarını duyurdu. CVSSv3 skoru vCenter 9.8 critical ve ESX-i 8.8 important gibi yüksek skorlarda olduğundan alınması gereken önlemleri anlatacağım.
Etkilenen sistemlerin response matrix’i aşağıdaki gibidir.
| Product | Version | Running On | CVE Identifier | CVSSv3 | Severity | Fixed Version | Workarounds | Additional Documentation |
| [1] ESXi | 7.0 | Any | CVE-2021-21974 | 8.8 | Important | ESXi70U1c-17325551 | KB76372 | None |
| [1] ESXi | 6.7 | Any | CVE-2021-21974 | 8.8 | Important | ESXi670-202102401-SG | KB76372 | None |
| [1] ESXi | 6.5 | Any | CVE-2021-21974 | 8.8 | Important | ESXi650-202102101-SG | KB76372 | None |
| Product | Version | Running On | CVE Identifier | CVSSv3 | Severity | Fixed Version | Workarounds | Additional Documentation |
| [1] Cloud Foundation (ESXi) | 4.x | Any | CVE-2021-21974 | 8.8 | Important | 4.2 | KB76372 | None |
| [1] Cloud Foundation (ESXi) | 3.x | Any | CVE-2021-21974 | 8.8 | Important | [2] KB82705 | KB76372 | None |
vCenter için yapılacak çözüm önerisi:
Fonksiyonel etkisi: vRops appliance’ı otomatik olarak kurma ve yapılandırma seçeneği devre dışı kalacaktır. Ayrıca widget’ları görüntüleme problemi oluşmaktadır.
Geçici çözüm:
- SSH ile vCSA (vCenter) sunucusuna bağlanalım.
- Dosya dizinine gidelim ve yedeğini alalım.
/etc/vmware/vsphere-ui/compatibility-matrix.xml - Bu dosyanın içeriği aşağıdaki gibidir.
4. Bu dosyaya aşağıdaki satırı ekleyelim.
<PluginPackage id=”com.vmware.vrops.install” status=”incompatible”/>
5. Resimdeki gibi gözükecektir.
6. vsphere-ui service’i restart edelim.
service-control –restart vsphere-ui
7. Tarayıcıdan https://<VC-IP-or-FQDN>/ui/vropspluginui/rest/services/checkmobregister. adresine girelim.404 not found hatası verecektir.
8. vCenter client plugins sekmesinde vRops client plugins incompatible olduğunu görebiliriz.
9. Windows tabanlı vCenter sunucularında C:\ProgramData\VMware\vCenterServer\cfg\vsphere-ui\compatibility-matrix.xml bulunan xml dosyasına aşağıdaki satırı eklememiz gerekiyor.<PluginPackage id=”com.vmware.vrops.install” status=”incompatible”/>
10. Bu işlemleri geri almak için aşağıdaki satırı kaldırıp vCenter arayüz servisini tekrar çalıştırmanız yeterlidir.
<PluginPackage id=”com.vmware.vrops.install” status=”incompatible”/>
ESX-i hostlar için yapılacak çözüm önerisi:
Fonksiyonel etkisi: SLP kullanan CIM client’lar 427 portundan CIM sunuculara erişemeyecekler. CIM (Common Information Model) detaylı bilgi için tıklayınız.
Geçici çözüm:
- ESX-i hostumuza ssh yapıp SLP servisini durduralım.
/etc/init.d/slpd stop - SLP servisi kullanımda değil ise durdurabilirsiniz. Kontrol için şu komutu çalıştırabilirsiniz.
esxcli system slp stats get - Aşağıdaki komutu yazarak SLP servisi disable edelim.
esxcli network firewall ruleset set -r CIMSLP -e 0 - Yapılan değişikliğin hostların reboot edildiği zaman kalıcı olması için aşağıdaki komutları yazalım.
chkconfig slpd off
chkconfig –list | grep slpd - Yapılan değişikliklerin geri alınması için aşağıdaki komutları sırasıyla çalıştırabilirsiniz.
esxcli network firewall ruleset set -r CIMSLP -e 1
chkconfig slpd on
chkconfig –list | grep slpd
/etc/init.d/slpd start
Bu yazıda yararlandığım VMware kb linkleri 1 2
Umarım faydalı bir yazı olmuştur 🙂
