VMSA-2021-0002漏洞修复

 admin   2023-03-20 12:37   169 人阅读  0 条评论

功能影响
影响仅限于使用 vRealize Operations 的环境。需要注意的是,无论 vRealize Operations 是否引入到环境中,vCenter Server 中都存在易受攻击的端点。

  • 新 vRealize Operations 客户将没有通过插件自动安装和配置 vRealize Operations Appliance 的置备/选项。

  • 在 vRealize Operations with vCenter 中配置 vCenter 适配器的客户将无法在 vSphere Client (HTML 5) 中显示衡量指标和警示详细信息(包括 vCenter Server 和 vSAN 概览小组件)。

图片.png

           

Resolution


《CVE-2021-21972 和 CVE-2021-21973 解决方案》 记录在 VMSA-2021-0002



           

Workaround


要实施基于 Linux 的虚拟设备 (vCSA) 上 CVE-2021-21972 和 CVE-2021-21973 的解决办法,请执行以下步骤:

插件必须设置为"不兼容"。从 UI 中禁用插件不会保护系统免受此漏洞的影响。
在运行 vCenter High Availability (VCHA) 的环境中,需要同时在主动节点和被动节点上执行此解决办法

  1. 使用 SSH 会话和 root 凭据连接到 vCSA。

  2. 备份 /etc/vmware/vsphere-ui/compatibility-matrix.xml 文件:

cp -v /etc/vmware/vsphere-ui/compatibility-matrix.xml /etc/vmware/vsphere-ui/compatibility-matrix.xml.backup


  1. 在文本compatibility-matrix.xml 文件:

vi /etc/vmware/vsphere-ui/compatibility-matrix.xml


  1. 此文件的内容如下所示: 


  1. 添加以下条目:

<Matrix>


<pluginsCompatibility>


. . . . 


. . . . 


<PluginPackage id="com.vmware.vrops.install" status="incompatible"/>



</pluginsCompatibility>


</Matrix>


  1. 该文件应如下所示:


  1. 通过键入:compatibility-matrix.xmlcompatibility-matrix.xml :wq!

  2. 重新启动 vsphere-ui 服务。使用命令: service-control --restart vsphere-ui.

  3. 导航到 https://<VC-IP-or-FQDN>/ui/vropspluginui/rest/services/checkmobregister。此页面显示"404/未找到(如下所示)"错误。 


  1. 在 vSphere Client (HTML5) 中,在管理 > Solutions > client-plugins 下,VMware vROPS Client 插件可能会显示为"不兼容",如下所示


  1. 这可确认端点/ui/vropspluginui设置为"不兼容"。

要针对基于 Windows 的 vCenter Server 部署实施 CVE-2021-21972 和 CVE-2021-21973 的解决办法,请执行以下步骤:

插件必须设置为"不兼容"。从 UI 中禁用插件不会保护系统免受此漏洞的影响)
 

  1. 从 RDP 到基于 Windows 的 vCenter Server。

  2. 备份文件 – 

C:\ProgramData\VMware\vCenterServer\cfg\vsphere-ui\compatibility-matrix.xml


  1. 此文件的内容如下所示:


  1. 添加以下条目: 

<Matrix>

<pluginsCompatibility>


. . . . 


. . . . 


<PluginPackage id="com.vmware.vrops.install" status="incompatible"/>



</pluginsCompatibility>


</Matrix>


  1. 文件应如下所示:


  1. 使用命令重新启动 vsphere-ui 服务:C:\Program Files\VMware\vCenter Server\bin> service-control --restart vsphere-ui

  2. 从 Web 浏览器中,导航到:

https://<VC-IP-or-FQDN>/ui/vropspluginui/rest/services/checkmobregister.
页面显示"404/未找到(如下所示)"错误:


  1. 在 vSphere Client (HTML 5) 中,在 管理 > Solutions > client-plugins 下,VMware vROPS Client 插件可能会显示为"不兼容",如下所示:


  1. 这可确认端点/ui/vropspluginui 设置为"不兼容"。

要恢复在基于 Linux 的虚拟设备 (vCSA) 上 CVE-2021-21972 和 CVE-2021-21973 的解决办法,请执行以下步骤:

 


  1. 使用 SSH 会话和 root 凭据连接到 vCSA。

  2. 在文本compatibility-matrix.xml 文件:

vi /etc/vmware/vsphere-ui/compatibility-matrix.xml


  1. 移除该文件中的以下行。 

<Matrix>


<pluginsCompatibility>


. . . . 


. . . . 


<PluginPackage id="com.vmware.vrops.install" status="incompatible"/>



</pluginsCompatibility>


</Matrix>


  1. 重新启动 vsphere-ui service。使用命令 – service-control --restart vsphere-u

  2. 验证 vSphere-ui 服务已启动。

  3. VMware vROPS 客户端插件状态为已部署/已启用

要恢复基于 Windows 的 vCenter Server 部署中 CVE-2021-21972 和 CVE-2021-21973 的解决办法,请执行以下步骤:

  1. 连接到 Windows vCenter Server。

  2. 使用文本编辑器编辑文件:

C:\ProgramData\VMware\vCenterServer\cfg\vsphere-ui\compatibility-matrix.xml


  1. 移除该文件中的以下行。 

<Matrix>


<pluginsCompatibility>


. . . . 


. . . . 


<PluginPackage id="com.vmware.vrops.install" status="incompatible"/>



</pluginsCompatibility>


</Matrix>


  1. 使用命令重新启动 vsphere-ui 服务:C:\Program Files\VMware\vCenter Server\bin> service-control --restart vsphere-ui

  2. 验证 vSphere-ui service 已启动。

  3. VMware vROPS 客户端插件状态为已部署/已启用


本文地址:https://liuchunjie.top/?id=533
版权声明:本文为原创文章,版权归 admin 所有,欢迎分享本文,转载请保留出处!

 发表评论


表情

还没有留言,还不快点抢沙发?