Notes de mise à jour de vCloud Networking and Security 5.5.4.2

Mis à jour le : 2 mars 2016

vCloud Networking and Security 5.5.4.2 | 2 mars 2016 | Build 3601672

Contenu des notes de mise à jour

Les notes de mise à jour couvrent les sujets suivants :

Nouveautés

Cette version fournit un correctif pour résoudre la vulnérabilité de sécurité CVE-2015-7547 (« glibc »). Voir CVE-2015-7547.

Spécifications du système et installation

Pour obtenir des informations sur la configuration système requise ou des instructions d'installation et de mise à niveau, consultez le Guide d'installation et de mise à niveau de vShield.

Instructions de mise à niveau

Pour effectuer la mise à niveau, procédez comme suit :

  1. Procédez à une mise à niveau vers vCloud Networking and Security version 5.5.4.2. Reportez-vous au Guide d'installation et de mise à niveau de vShield.
  2. Si vous voulez passer au pilote vmxnet3 depuis e1000 pour appliquer le correctif du Problème connu 1429432, suivez les instructions dans l'article 2114813 de la base de connaissances VMware.

Problèmes connus

Les problèmes connus sont classés comme suit :

Problèmes de mise à niveau

Problème 1375343 : impossible de reconfigurer le serveur SSO après une mise à niveau
Lorsque le serveur SSO configuré sur vShield Manager est le serveur natif sur vCenter Server, vous ne pouvez pas reconfigurer les paramètres SSO sur vShield Manager après la mise à niveau de vCenter Server vers la version 6.0 et de vShield Manager vers la version 5.5.4.
Solution : Aucune.

Problème 1369782 : le tunnel L2VPN s'interrompt après la mise à niveau du serveur L2VPN vers la version 5.5.4
Si vous mettez à niveau vShield Manager et le serveur L2VPN vers la version 5.5.4 sans mettre à niveau le client L2VPN, le tunnel L2VPN s'interrompt. Les clients L2VPN des versions antérieures à la version 5.5.4 se connectaient via SSLv2 ou SSLv3, mais ces protocoles ne sont pas pris en charge par la version 5.5.4.
Solution : mettez à jour le client L2VPN vers la version 5.5.4. Le client peut ensuite se connecter au serveur à l'aide du protocole TLS.

Problème 1396592 : la spécification de déploiement avec version doit être mise à jour vers la version 6.0.x si vous utilisez vCenter Server 6.0 et ESX 6.0.
Les partenaires disposant de solutions NetX enregistrées avec vCloud networking and Security doivent mettre à jour leur inscription pour inclure VersionedDeploymentSpec for 6.0.x à l'OVF correspondant.
Solution : si la configuration de base est la version 5.5.x avec vSphere 5.5 et si l'infrastructure est mise à niveau avant vCloud networking and Security, procédez comme suit :

  1. Mettez à jour vSphere de la version 5.5 à 6.0.
  2. Ajoutez la spécification de déploiement avec version 6.0.x à l'aide de l'appel d'API suivant :
    POST https://<vCNS-IP>/api/2.0/si/service/<service-id>/servicedeploymentspec/versioneddeploymentspec
    <versionedDeploymentSpec>
    <hostVersion>6.0.x</hostVersion>
    <ovfUrl>http://engweb.eng.vmware.com/~netfvt/ovf/Rhel6-32bit-6.1svm/Rhel6-32bit-6.1svm.ovf</ovfUrl>
    <vmciEnabled>true</vmciEnabled>
    </versionedDeploymentSpec>
  3. Mettez à jour le service à l'aide de l'appel REST suivant
    POST https://<vsm-ip>/api/2.0/si/service/config?action=update
  4. Résolvez l'alarme EAM en procédant comme suit :
    1. Cliquez sur Page d'accueil sur vSphere Web Client.
    2. Cliquez sur Administration.
    3. Dans Solution, sélectionnez vCenter Server Extension.
    4. Cliquez sur vSphere ESX Agent Manager, puis sur l'onglet Gérer.
    5. Sur l'état d'agence en échec, cliquez avec le bouton droit et sélectionnez « Résoudre tous les problèmes ».

Problème 1291731 : échec de la mise à niveau ou de la désinstallation de vShield Endpoint avec l'erreur Le programme d'installation de vShield Endpoint a rencontré un problème lors de la désinstallation de vib : erreur de serveur interne
Échec de la mise à niveau ou de la désinstallation de vShield Endpoint avec erreur. La désinstallation de vib à partir de la ligne de commande ESXi échoue également avec le message d'erreur suivant :
 
[InstallationError]
Error in running rm /tardisks/epsec-mu.v00:
Return code: 1
Output: rm: cannot remove '/tardisks/epsec-mu.v00': Device or resource busy
It is not safe to continue. Please reboot the host immediately to discard the unfinished update. Please refer to the log file for more details.

 
Solution : Suivez les étapes ci-dessous :
  1. Connectez-vous à l'interface de ligne de commande ESXi.
  2. Dans le fichier /bootbank/boot.cfg, placez l'entrée epsec-mu.v00 à la suite de l'entrée sb.v00.
    Les entrées de module du fichier boot.cfg sont séparées par les délimiteurs ---. Par conséquent, après la modification, les entrées doivent ressembler à ceci sb.v00 --- epsec-mu.v00.
  3. Enregistrez le fichier /bootbank/boot.cfg.
  4. Placez l'hôte en mode de maintenance, puis redémarrez-le dans vCenter Server Web Client.
  5. Installez ou mettez à niveau vShield Endpoint.

Problèmes généraux

Problème 1411125 : impossible d'activer une machine virtuelle invitée
Lorsque vous activez une machine virtuelle invitée, l'erreur « Toutes les machines virtuelles agent requises ne sont pas actuellement déployées » peut s'afficher.
Solution : Suivez les étapes ci-dessous :

  1. Cliquez sur Page d'accueil sur vSphere Web Client.
  2. Cliquez sur Administration.
  3. Dans Solution, sélectionnez vCenter Server Extension.
  4. Cliquez sur vSphere ESX Agent Manager, puis sur l'onglet Gérer.
  5. Cliquez sur Résoudre.

Problème 1341573 : les ID utilisateur dont la longueur est supérieure à 7 caractères d'Extrême-Orient ou 10 caractères européens ne peuvent pas se connecter au portail de VPN SSL
Si la longueur de l'ID d'un utilisateur est supérieure à 63 caractères (pour les caractères ASCII ou non-ASCII) lors de la création de l'utilisateur VPN Plus SSL, une erreur « La longueur de l'ID utilisateur est supérieure à la limite de caractères maximale » s'affiche. Les ID utilisateur dont la longueur est inférieure à 63 caractères sont acceptés et créés.
Solution : VMware vous recommande de créer des ID utilisateur VPN SSL Plus uniquement composés de caractères ASCII. Si vos ID utilisateur doivent inclure des caractères non-ASCII, assurez-vous que chaque nom ne comporte pas plus de 7 caractères d'Extrême-Orient ou 10 caractères latins avec des marques diacritiques.

Problème 1311302 : si une carte réseau virtuelle est incluse dans un groupe de sécurité connecté à un réseau et que la machine virtuelle associée est déplacée vers un autre réseau, le groupe de sécurité ne peut pas être modifié dans l'interface utilisateur, et la carte réseau virtuelle reste membre du groupe de sécurité
Solution : supprimez la carte réseau virtuelle du groupe de sécurité en utilisant l'appel REST suivant
DELETE https://<vsm-ip>/api/2.0/services/securitygroup/<securityGroupId>/members/<vNicId>
Ensuite, vous pouvez modifier le groupe de sécurité dans l'interface utilisateur.

Problème 1303665 : suite à la préparation d'un cluster pour VXLAN, ESXi signale une perte de connectivité réseau sur vSwitch
La préparation d'un cluster pour VXLAN entraîne une perte temporaire de connectivité lorsque le pilote de la carte réseau est désinstallé, puis réinstallé afin d'activer RSS sur le cluster sur lequel VXLAN est activé. Ce problème se produit uniquement avec les pilotes Intel ixgbe.
Solution : aucune.

Problème 1056970 : impossible de se connecter à vShield Manager si le nom d'utilisateur inclut des caractères CJK ou ASCII étendus
Solution : Définissez le codage du navigateur sur UTF-8.

Problèmes avec vShield Manager

Problème 1405582/1310034 : L'utilisateur VPN SSL distant ne parvient pas à modifier ses informations d'identification d'utilisateur AD
Lorsque VPN SSL est authentifié à l'aide d'Active Directory, vous pouvez utiliser les informations d'identification de ce domaine pour vous connecter à VPN SSL pour accéder à un réseau d'entreprise (réseau privé). Lorsque l'utilisateur est à distance, il ne peut pas modifier le mot de passe AD.
Solution : il n'existe pas de solution spécifique dans la configuration VPN SSL. L'administrateur doit fournir un utilitaire externe pour modifier le mot de passe AD.

Problème 1303278 : la page Regroupement se charge lentement lorsque plus de 1 100 adresses MAC sont définies et qu'elles sont susceptibles de comporter des entrées de ligne se chevauchant
Lorsque vShield Manager comporte un trop grand nombre d'adresses MAC définies (par exemple, plus de 1 100), la page Regroupement se charge lentement et les entrées de ligne d'adresses MAC se chevauchent, ce qui les rend illisibles. L'ajout d'une nouvelle adresse MAC prend plus de temps.
Solution : Maintenez le nombre d'entrées d'adresses MAC dans un groupe de sécurité sous la limite des 1 100.

Problème 1301688 : lors de la configuration de Lookup Service sur NSX Manager, il est impossible d'utiliser la barre oblique inverse entre un domaine et un nom d'utilisateur
Solution : utilisez le caractère arobase (@) plutôt que la barre oblique inverse entre le nom d'utilisateur et le domaine. Par exemple, tapez user@domain plutôt que domain\user.

Problème 1161237 : l'erreur « Format de données non valide » s'affiche lors de la création d'un service
Lors de l'ajout ou de la création d'un service, il se peut que l'erreur « Format de données non valide » s'affiche si vous entrez plus de 15 ports dans le service.
Solution : si le service a plus de 15 ports, créez plusieurs services.

Problème 1161214 : l'utilisateur doit se déconnecter pour afficher le rôle modifié ou ajouté
Lorsqu'un utilisateur ajoute ou modifie son rôle alors qu'il est connecté à une session, celle-ci ne reflète pas les modifications apportées au rôle.
Solution : déconnectez-vous, puis reconnectez-vous pour afficher les affectations de rôle mises à jour.

Problèmes avec vShield App

Problème 1197810 : après être revenu à une ancienne configuration de pare-feu, il est impossible d'ajouter une règle de pare-feu dans le tableau Flow Monitoring
Après avoir chargé une ancienne configuration de pare-feu, vous ne pouvez pas ajouter une règle dans le tableau Flow Monitoring. Cela est probablement dû au fait que la règle pour laquelle le flux a été détecté ne fait plus partie de la configuration de pare-feu actuelle.
Solution : aucune.

Problème 967277 : si l'instance de vCenter Server devient non disponible lors de la mise à niveau de vShield App, la mise à niveau échoue et le lien de mise à jour n'est pas disponible
Reportez-vous à l'article 'Update link not available during vShield App upgrade' dans la base de connaissances VMware.

Problème 1089671 : les règles de pare-feu avec la source/destination en tant que câble virtuel ne sont pas appliquées en cas d'ajout d'une nouvelle machine virtuelle au câble virtuel existant
Si les règles de pare-feu préconfigurées contiennent un câble virtuel dans la source/destination, elles ne sont pas appliquées à la nouvelle VM ajoutée à ce câble virtuel
Solution : après avoir ajouté la nouvelle VM au câble virtuel, republiez la configuration du pare-feu sur ce câble virtuel.

Problèmes avec vShield Edge

Problème 1405586/1311273 : l'écran de connexion au portail VPN SSL est vide.
L'un des fichiers javascript utilisés par le portail VPN SSL est corrompu sur vShield Edge. Ceci entraîne l'échec du rendu de la page du portail.
Solution : lorsque vous rencontrez ce problème, redéployez vShield Edge.

Problème 1165472 : impossible de créer une demande de signature de certificat ou un certificat si vShield Manager a été mis à niveau vers la version 5.1.3 et que vShield Edge est toujours à la version 5.0.2
Lorsque vShield Manager est mis à niveau vers la version 5.1.3 et que vShield Edge est d'une version antérieure, vous ne pouvez pas créer de demande de signature de certificat de 512/1 024 bits.
Solution : aucune.

Problèmes avec Service Insertion

Problème 1062057 : impossible de lier le profil du service au réseau
Impossible de lier un profil de service à un réseau disponible.
Solution : redémarrez vShield Manager.

Problèmes avec Data Security

Problème 1291748 : lorsque vous spécifiez des filtres de fichiers pour une analyse Data Security, vous ne pouvez pas sélectionner Date de dernière modification dans le calendrier
Lorsque vous tentez de sélectionner la date Avant pour exécuter une analyse Data Security, le calendrier est grisé.
Solution : dans votre navigateur, modifiez les préférences de langue en indiquant fr-FR, puis sélectionnez la date dans le champ Avant.

Problèmes résolus

Les problèmes suivants ont été résolus dans la version 5.5.4.2 :

Problème corrigé : Correctif visant à éliminer la vulnérabilité de sécurité CVE-2015-7547 (« glibc »). Voir CVE-2015-7547.

Problème corrigé 1338234 : La publication des règles de pare-feu échoue avec le message d'erreur Échec de la communication avec la machine virtuelle vShield Edge. Trop de commandes en attente dans la file d'attente pour le dispositif Edge.

Problème corrigé 1355070 : Utilisation élevée de CPU signalée avec vShield Manager dans VMware vCloud Networking and Security 5.5.x
Le correctif résout le problème qui se produit à cause du nombre de demandes d'API POST et GET à vShield Manager de la part du composant MUX de la solution Endpoint Security (EPSec). Consultez l'article 2135299 de la base de connaissances VMware.

Problème corrigé 1576598 : le code VDL2 échoue avec l'erreur #PF lors de la déconnexion d'un port
Ce correctif résout l'erreur de sortie de la commande Net-vdl2.

Les problèmes suivants ont été résolus dans la version 5.5.4.1 :

Problèmes corrigés 1424601 et 1362763 : Correctifs visant à éliminer les vulnérabilités Skip-TLS (CVE-2014-6593), FREAK (CVE-2015-0204) et POODLE (CVE-2014-3566), ainsi que des correctifs d'autres problèmes.
Vérifiez que les composants tiers (par exemple, les solutions de partenaires tiers) prennent en charge les versions mises à jour de JRE et d'OpenSSL utilisées dans vCNS.

Problème corrigé 1414763 : vShield SSL VPN ne met pas en œuvre la signature de code sur un client OSX Yosemite
Dans la version de Yosemite, OSX ajoute une validation de code pour toutes les extensions de noyau (kexts) chargées sur un système. Le client OSX ne met pas en œuvre de signature de code et ne peut donc pas fonctionner.

Problème corrigé 1429432 : le déploiement du Blueprint multi-machines échoue lorsque vShield Manager ne répond plus
Le déploiement d'un Blueprint multi-machines échoue lorsque vShield Manager ne peut pas reconnaître l'adaptateur VMXnet3. vShield Manager ne répond plus lorsque cela se produit. Ce correctif remplace l'adaptateur réseau e1000 de vCNS Manager Appliance par un adaptateur vmxnet3. Dans les nouvelles installations de vCNS 5.5.4.1 et versions ultérieures, ce correctif est automatiquement appliqué. Si vous effectuez une mise à niveau vers vCNS 5.5.4.1 ou version ultérieure, vous devez appliquer manuellement le correctif comme expliqué dans l'article 2114813 de la base de connaissances VMware.

Problème corrigé 1424601 : Correctifs visant à éliminer les vulnérabilités CVE-2014-6593 « Skip-TLS » et CVE-2015-0204 « FREAK »
Ce correctif résout les problèmes généralement connus sous le nom « SMACK » (State Machine AttaCKs). FREAK affecte les clients OpenSSL en les autorisant à être leurrés pour utiliser des suites de chiffrement de niveau exportation. Les clients SSL VPN ont été mis à jour avec OpenSSL version 0.9.8zd pour résoudre ce problème. OpenSSL sur NSX Edge a été mis à jour à la version 0.9.8zd également. Le module JRE Oracle (Sun) est mis à jour vers la version 1.7.0_75 (version 1.7.0 Update 75), car Skip-TLS affectait les versions de Java antérieures à Update 75. Oracle a répertorié les identifiants CVE résolus dans JRE 1.7.0_75 sur la page Oracle Java SE Critical Patch Update Advisory de janvier 2015. Ce correctif désactive SSLv3 sur vShield Manager.

Les problèmes suivants ont été résolus dans la version 5.5.4 :

Problèmes corrigés 1343847/1343842/1362763 : correctifs de résolution de la vulnérabilité CVE-2014-3566 « POODLE »
La version 5.5.4 inclut deux modifications permettant de résoudre la vulnérabilité CVE-2014-3566 (vulnérabilité SSLv3 nommée « POODLE ») :

  • Mise à jour de la bibliothèque SSL du système vShield Edge vers OpenSSL 0.9.8zc ; et
  • Mise à jour de la méthode API qui permet aux administrateurs de résoudre la vulnérabilité POODLE sur des dispositifs vShield Edge en y désactivant le chiffrement SSLv3. VMware vous recommande de désactiver le chiffrement SSLv3 sur tous les dispositifs vShield Edge. Pour obtenir des instructions, consultez l'article 2115288 de la base de connaissances VMware.