一、概述
写这篇文章是因为VMware 7.0U2A之前版本有个bug,用户可根据LD(CVE-2021-22005)进行提权443端口,直接访问vCenter 443管理界面。然后想着将VMware 7.0U2A升级至最新版VMware 7.0U3C。具体的LD复现可根据KB去查找。
一、正文
此文档罗列出部分目录,正文部分尚未全部显示
目 录
1 原因和目的 4
1.1 变更原因和目的 4
1.1.1 变更原因 4
1.1.2 变更目的 4
1.2 变更影响 4
2 实施步骤和计划 4
2.1.1 vCenter现有环境 5
2.2 变更前备份 5
2.2.1 Vinchin备份 5
2.2.1 快照备份 5
2.3 实施计划、人员分工 7
2.4 实施步骤 7
2.4.1 vCenter配置备份 7
2.4.2 vCenter升级 8
3 实施后验证计划 12
3.1 验证步骤 13
4 应急、回退措施 13
4.1 操作前备份已有配置 13
4.2 vCenter版本回退 13
5 风险分析和规避措施 14
6 总结 14
三、升级前奏
1、登录VMware官网下载最新的补丁包:(需要注册VMware会员)
下载地址:
https://my.vmware.com/cn/group/vmware/patch#search
请根据当前vCenter实际版本选择,注意,该补丁不适合跨大版本,如6.5-6.7,6.7-7.0。但是支持如6.7U1-6.7U3,7.0.0-7.0.3。下载版本名称带有Patch,除非指定版本,否则选择发行日期最新的那个。
四、原因和目的
变更原因和目的
变更原因
2021年9月21日,VMware发布安全公告,公开披露了vCenter Server中的19个安全LOUDONG,
最为严重的LOUDONG为vCenter Server 中的任意文件上传LOUDONG(CVE-2021-22005),该LOUDONG存在于vCenter Server的分析服务中,其CVSSv3评分为 9.8。能够网络访问vCenter Server 上的 443 端口的gongji者可以通过上传eyi文件在 vCenter Server 上线远程执行代码。该LOUDONG无需经过身份验证即可远程利用,gongji复杂度低,且无需与用户交互。LOUDONG链接:Workaround Instructions for CVE-2021-22005 (85717) (vmware.com)
建议将现有VMware vCenter 7.0u2a版本升级至VMware vCenter 7.0U3C以解决相关问题。
变更目的
升级Mware vCenter至最新版本解决eyi上传执行代码获取vCenter443权限LOUDONG。
变更影响
此次变更升级时业务会中断,不影响用户数据.
实施步骤和计划
vCenter现有环境
vCenter升级
实施后验证计划
- 验证任务
验证步骤
应急、回退措施
操作前备份已有配置
vCenter版本回退
风险分析和规避措施
变更风险小,不影响云桌面业务连续性,不影响用户业务数据的安全。如遇紧急情况将会在第一时间通过备份或者快照恢复。
总结
此方案主要用于修复VCenter LOUDONG,
官方指出修复措施:
https://www.vmware.com/security/advisories/VMSA-2021-0025.html
https://kb.vmware.com/s/article/86292