Merhaba, VMware vRealize Operations Manager (vROps) uygulamasını etkileyen yeni güvenlik açıklarını duyurdu. CVSSv3 skorları 8.6 ve 7.2 gibi yüksek skorlarda olduğundan alınması gereken önlemleri ve bu zafiyetleri önlemek için kullandığınız vROps versiyon’u son sürümüne güncellenmesi gerekmektedir. Örnek olması için vROps v.8.0 uygulamasını son çıkan v.8.3 sürümüne güncelleme adımlarını anlatacağım.
Zafiyetlerin ilki vROps api’sini server tarafın’a istek sahteciliği yaparak yönetici hesap bilgilerini elde etmeye çalışmaktadır. Diğer zafiyet ise rasgele dosya yazma güvenlik açığını içeriyor. Bu açıkla ilgili VMware güvenlik tavsiye linki için tıklayınız. Her iki zafiyet için vROps uygulamasının response matrixleri aşağıdaki gibidir.
| Product | Version | Running On | CVE Identifier | CVSSv3 | Severity | Fixed Version | Workarounds | Additional Documentation |
| vRealize Operations Manager | 8.3.0 | Any | CVE-2021-21975, CVE-2021-21983 | 7.2 – 8.6 | Critical | KB83210 | KB83210 | FAQ |
| vRealize Operations Manager | 8.2.0 | Any | CVE-2021-21975, CVE-2021-21983 | 7.2 – 8.6 | Critical | KB83095 | KB83095 | FAQ |
| vRealize Operations Manager | 8.1.1, 8.1.0 | Any | CVE-2021-21975, CVE-2021-21983 | 7.2 – 8.6 | Critical | KB83094 | KB83094 | FAQ |
| vRealize Operations Manager | 8.0.1, 8.0.0 | Any | CVE-2021-21975, CVE-2021-21983 | 7.2 – 8.6 | Critical | KB83093 | KB83093 | FAQ |
| vRealize Operations Manager | 7.5.0 | Any | CVE-2021-21975, CVE-2021-21983 | 7.2 – 8.6 | Critical | KB82367 | KB82367 | FAQ |
| vRealize Operations Manager | 7.0.0 | Any | CVE-2021-21975, CVE-2021-21983 | 7.2 – 8.6 | Critical | No patch planned | KB83287 | FAQ |
| Product | Version | Running On | CVE Identifier | CVSSv3 | Severity | Fixed Version | Workarounds | Additional Documentation |
| VMware Cloud Foundation (vROps) | 4.x | Any | CVE-2021-21975, CVE-2021-21983 | 7.2 – 8.6 | Critical | KB83260 | See ‘Response Matrix’ workaround column above | FAQ |
| VMware Cloud Foundation (vROps) | 3.x | Any | CVE-2021-21975, CVE-2021-21983 | 7.2 – 8.6 | Critical | KB83260 | See ‘Response Matrix’ workaround column above | FAQ |
| vRealize Suite Lifecycle Manager (vROps) | 8.x | Any | CVE-2021-21975, CVE-2021-21983 | 7.2 – 8.6 | Critical | KB83260 | See ‘Response Matrix’ workaround column above | FAQ |
Çözüm için vROps uygulamanızın sürümünü en son çıkan sürüm paketine yükseltme yapmanız gerekmekte. Bunun için VMware Patch Portal sayfasına login olalım ve .pak uzantılı dosya paketimizi indirelim.
vROPs versiyonumu 8.0 dan 8.3 versiyonuna güncellemeden önce uygulamanın çalıştığı sunucunun backup’ını alalım. Ardından yükseltme işlemi öncesi snapshot alıp kuruluma başlayalım.
vRealize Operations Manager Administrator arayüzüne https://FQDN-or-IP-address/admin url adresin’den login olalım.
Software Update’e tıklayalım açılan sayfada install’a software update’e tıklayalım.
Browse ile indirdiğimiz .pak uzantılı dosyayı seçip upload edelim.
Upload edilen dosya sunucu’da staging işlemi başlatıldı.
Yüklenecek sürümün bilgisi geldi. Next ile devam edelim.
Son kullanıcı lisans sözleşmesini kabul edelim.
Yükseltme ile ilgili bilgi ekranı next ile devam edelim.
Install ile kurulumu başlatalım.
vROps arayüzünde yükleme işlemini gösterir ekran görüntüsü. Yükseltme işlemi yaklaşık 15-20 dk sürebilmekte web arayüz sayfasını yenileyerek durumunu gözlemleyebilirsiniz.
vROps 8.3 versiyonuna güncelleme başarıyla tamamlandı.
Umarım faydalı bir yazı olmuştur.Konuyla ilgili VMware kb’si için tıklayınız.
