Heartbleed זהו באג שנתגלה בגירסאות מסויימות של סיפריית OpenSSL. מכיוון שחלק ממוצרי VMware משתמשים בגירסאות עם הבאג, הם חשופים.
חדשות טובות – יצאו עדכונים (גם של OpenSSL וגם של VMware) שמתקנים את הבעייה.
מציע לכולכם לעבור על Security Advisory VMSA-2014-0004.7 שמכיל מידע על המוצרים שהושפעו ועל KB2076225 שמכיל רשימה מפורטת של גירסאות פגיעות ולא פגיעות.
רוצה לציין שמבחינת vSphere "טהור" הושפעו אך ורק vCenter ו-ESXi בגירסאות 5.5 / 5.5U1. מוצרים נלווים כגון Update Manager, Orchestrator לא דורשים התייחסות. Client Integration Plugin כן מושפע.
יצאו vCenter 5.5.0c ו-5.5U1a ו-patches שמתאימים ל-ESXi 5.5 בלי ועם ה-Update1.
vCenter Server 5.5 Update 1a Release Notes
VMware ESXi 5.5, Patch Release ESXi550-201404001 – מתאים רק לשרתים שהם כבר Update1!
vCenter Server 5.5.0c Release Notes
VMware ESXi 5.5, Patch Release ESXi550-201404020 – מתאים רק לשרתים שהם לפני Update1!
שימו לב לכמה דברים:
לאחר שידרוג ה-vCenter יש חייבים בנוסף:
1. להגריל certificate חדש עבור VMware Directory Service שהוא חלק מ-SSO
2. להחליף סיסמאות של administrator@vsphere.local ושל SSO users נוספים במידה ונוצרו
3. לשדרג את Client Integration Plugin
השלבים מופיעים ב-Resolving OpenSSL Heartbleed for VMware vCenter Server 5.5
בנוסף להתקנת ה-patch על שרתי ה-ESXi חייבים:
1. להגריל certificate של ESX – השרת יתנתק מה-vCenter ותצטרכו לעשות לו reconnect
2. להחליף סיסמא של root
השלבים מופיעים ב-Resolving OpenSSL Heartbleed for ESXi 5.5 – CVE-2014-0160
הערה חשובה:
אם אתם מריצים vCenter 5.1 אבל משתמשים ב-SSO / WebClient של גירסה 5.5, אתם חייבים לפעול לפי השלבים שקשורים ל-vCenter 5.5.
מיכאל.