Code Section

Saturday, February 27, 2021

VMware 安全漏洞 - RCE (Remote Code Execution) 問題及解決方法

 iThome 近日(2021/02)揭露 vCenter Server 存在重大風險的 RCE 遠端程式碼執行 (Remote Code Execution) 安全漏洞,總共包含三個 CVE 漏洞,vCloud Foundation(VCF) 及 ESXi 也都有影響,因為 VCF 目前較少人使用,以下就暫先略過,有需要的人可自行參考官方資訊。

若有使用 VMware 產品並且仍為有效訂閱,應主動修正此安全問題,可計畫安排停機時間進行 ESXi/vCenter 的修正及升級。

VMware Security Patch 檔案下載需要 My VMware 帳號登入,至於 ESXi/vCenter 的 patch 修正檔安裝方法,網路上應可找到教學文章,若上述狀況有遇到困難的請告訴我,我會適時的提供技術協助及檔案下載。


<<問題及解決方法整理>>

(1)ESXi

影響版本:

ESXi 7.0、ESXi 6.7、ESXi 6.5 (包含修正檔編號前的所有 Update Version)


修正檔編號:

ESXi 7.0: VMware-ESXi-7.0U1c-17325551-depot (最新為 7.0 U1d)

Download Size:523.2 MB

Release Date: 12/17/2020

Build Number: 17325551

https://docs.vmware.com/en/VMware-vSphere/7.0/rn/vsphere-esxi-70u1c.html


ESXi 6.7: ESXi670-202102001

Download Size:343.2 MB

Release Date: 02/23/2021

Build Number: 17499825

https://docs.vmware.com/en/VMware-vSphere/6.7/rn/esxi670-202102001.html


ESXi 6.5: ESXi650-202102001

Download Size: 483.8 MB

Release Date: 02/23/2021

Build number: 17477841

https://docs.vmware.com/en/VMware-vSphere/6.5/rn/esxi650-202102001.html


(2)vCenter Server

影響版本:

vCenter Server 7.0 (vCSA)、vCenter Server 6.7 (Windows, vCSA)、vCenter Server 6.5 (Windows, vCSA)

(包含修正版號前的所有 Update Version)


修正版號:

vCenter Server 7.0 U1c (最新為 7.0 U1d)

https://my.vmware.com/web/vmware/downloads/details?downloadGroup=VC70U1C&productId=974

vCenter Server 6.7 U3l

https://my.vmware.com/web/vmware/downloads/details?downloadGroup=VC67U3L&productId=742

vCenter Server 6.5 U3n

https://my.vmware.com/web/vmware/downloads/details?downloadGroup=VC65U3N&productId=614


若 vCenter Server 暫時無法升級,VMware 提供 Workaround 方法及步驟,可參考以下連結:

VMware vCenter Server Workaround Instructions for CVE-2021-21972 and CVE-2021-21973 (82374)

https://kb.vmware.com/s/article/82374


<<參考資料>>

VMware修補vCenter RCE漏洞 | iThome

https://www.ithome.com.tw/news/142886


VMSA-2021-0002 | VMware security advisory

https://www.vmware.com/security/advisories/VMSA-2021-0002.html

Saturday, November 9, 2019

VMware 小工具 - 使用 RVTools 查看 vSphere 環境及發現潛在問題

接續上一篇「VMware 小工具 - 利用 RVTools 收集 vSphere 環境資訊」,繼續來聊聊常用到的 RVTools 實用功能。

以下介紹一些常用的 RVTools 各個功能頁籤,因為畫面或多或少都會包含環境資訊,為了避免整張截圖到處是馬賽克慘不忍睹,僅就以文字說明不抓圖囉,這些功能都很簡單易懂,實際上操作過應該都能很快上手。

<vPort 頁籤>
查看 Port Group/VMkernel Port 的歸屬 vSwitch,以及各個 Port Group/VMkernel Port 是否有指定 VLAN ID Tag;其他欄位還能看到關於 Port Group/VMkernel Port 的特性及故障切換、負載平衡規則等資訊。
常用欄位:Port Group, Switch, VLAN.

<vSC+VMK 頁籤>
看各個 VMkernel Port 配置,最常看的是 Management Network 的 ESXi 管理 IP,再來是與 ESXi 系統相關的,像是 vMotion、iSCSI/NFS、Fault Tolerance... 等各種 VMkernel Port。
常用欄位:Host, Port Group, Device, IP Address, Subnet mask, Gateway, MTU.

<vNetwork 頁籤>
查看各個 VM 使用的 VM Network 及 vSwitch,如果 VM 是 Power On 並且有安裝 VMware Tools 的話,在 IP Address 欄位可以看到這個 Guest OS 所使用的 IP 資訊。
常用欄位:VM, Network, Switch, IP Address.

<vTools 頁籤>
可查看 VM Version 版號,可從 Tools 看出該 VM 是否有安裝 VMware Tools,檢查結果一目了然,迅速抓出沒安裝的漏網之魚。
VMware Tools 狀態大致分為以下幾種:
(1)toolsNotInstalled:沒有安裝。
(2)toolsNotRunning:安裝但未執行 (在 VM Power Off 時也會是顯示此狀態)。
(3)toolsOld:版本太舊,需要升級。
(4)toolsOK:正常執行中。
(5)空白無資訊:應該是沒安裝 VMware Tools 的特殊狀況,請自行查看該 VM 實際狀態。
常用欄位:VM, Powerstate, VM Version, Tools, Sync time, Cluster, Host.

<vHBA 頁籤>
可看出各個 Host 上的 HBA Adapter,種類包括 SAS, iSCSI, Fibre Channel。
常用欄位:Host, Device, Type, WWN.

<vMultiPath 頁籤>
Policy:檢查每個 Host 的存取路徑規則是否一致
Path X, Path X state:使用路徑及路徑狀態

<vHost 頁籤>
CPU Model, # CPU, Cores per CPU: 查看 Host 的 CPU 型號、數量、核心數
VM Memory Swapped: 應該要是 0,如果不是的話,請觀察是否有 VM 發生記憶體配置不足的狀況發生。
VM Memory Ballooned: 應該要是 0,如果不是的話,請觀察是否有發生 Host 記憶體不足以讓 VM 使用的情形發生。
Current EVC: 目前套用的 Cluster EVC 等級值
Max EVC: 這台機器的 CPU Family
Current/Max EVC 資訊可協助我們判斷 EVC 等級是否設定正確,以免將 EVC 設定得太低,造成 CPU 效能無法發揮

<vDatastore 頁籤>
Capacity MB, Provisioned MB:Over-provisioned
Free %:實際可用空間

以上是我透過 RVTools 常查看的功能,也協助我在不少環境中,發現一些 misconfigured 設定值,或是發生潛在不易被注意到的事件,尤其是這類事件在 vCenter Server 不一定會有 Warning/Error,對管理者來說更不容易注意到。如果大家還有其他常用到的功能,也可以在底下留言分享討論,之後如果還有發現其他好用的功能,會再與大家分享。


〈本文同步刊載於痞客邦部落格〉
VMware 小工具 - 使用 RVTools 查看 vSphere 環境及發現潛在問題 @ 狸貓先生愛廢話講堂 :: 痞客邦 ::

Saturday, January 26, 2019

HPE Storage 硬知識 - MSA 系列透過更換 SFP 讓你橫跨 FC 和 iSCSI

前幾代的 HPE MSA/P2000 機型,在 Controller 的 Host Port 種類選擇,只能選擇 FC、iSCSI、FC/iSCSI Combo 三擇一,其實還有一種是 SAS,但因為 SAS Controller 都是單一功能,接頭和接線和 FC/iSCSI 都不相同,這邊我們就暫時略過。若往後有不同的儲存設備存取需求,就只能把 Controller 整片換掉,如果是 Dual Controller 就需要兩片一起更換,而偏偏 Controller 又是整台 Storage System 成本佔比最高的一塊。

HPE MSA 2050 不同於前幾代機型,它的 SAN Controller 只有一種,但可藉著將 Host Port 更換不同種類的 SFP,可達到不同的傳輸通訊協定功能,例如將 SFP 換成 16Gb FC,Host Port 就變成 16Gb FC;將 SFP 抽換成 10Gb iSCSI,Host Port 就變成 10Gb iSCSI。

這個功能會特別吸引我的注意,是因為目前市面上領導品牌廠牌的中高階儲存,與 Host 或 Switch 連接埠都是單一 FC 或 iSCSI,也就是說你所購買的擴充模組,要不就是 4 個 Port 全部都是 FC,不然就是 4 個全部都是 iSCSI,像 MSA 2050 這種彈性配置方式的,目前還比較少見。

不過要注意的,在配置上還是有些限制,以下為基本要求的重點筆記:
(1)單一 Controller 上的 Host Port 1 & 2 需相同,Host Port 3 & 4 需相同。
例如 Controller A-Host Port 3 是 8Gb FC,那 Controller A-Host Port 4 也要是 8Gb FC。
(2)兩個 Controller 相同號碼位置的 Host Port 必須是同一種類。
例如 Controller A-Host Port 2 是安裝 10Gb iSCSI SFP,那對應位置的 Controlller B-Host Port 2 也需安裝相同的 SFP。

至於其他詳細配置方式,可參考 QuickSpecs 文件的 Configuration Tables for mixing SFPs 章節。


<<參考資料>>
HPE MSA 2050 Storage (QuickSpecs/a00008276enw.pdf)
https://h20195.www2.hpe.com/v2/getdocument.aspx?docname=a00008276enw

HPE MSA 2050 Storage - Supported Configurations
https://support.hpe.com/hpsc/doc/public/display?docId=emr_na-a00028199en_us&docLocale=en_US

QuickSpecs - HPE MSA P2000 G3 Modular Smart Array Systems (c04168365.pdf)
https://h20195.www2.hpe.com/V2/getpdf.aspx/c04168365.pdf

〈本文同步刊載於痞客邦部落格〉
HPE Storage 硬知識 - MSA 系列透過更換 SFP 讓你橫跨 FC 和 iSCSI @ 狸貓先生愛廢話講堂 :: 痞客邦 ::

Saturday, August 25, 2018

VMware 小實驗 - 縮小虛擬機 Virtual Disk 隨手實測

<<前情提要>>
狸貓先生愛廢話講堂: VMware 小技巧 - 縮小 Workstation 的虛擬機 Virtual Disk 來釋放磁碟空間
在上篇文章中,介紹縮小虛擬機 Virtual Disk 的方法,剛好今天想到,隨手來實測一下各種方法的縮小效果,看是否有差異。

先聲明這只是個因為整天一直下雨,被困在家裡不知道要做啥,臨時想到的實測,沒有很嚴謹的條件,但有記錄下來的數據應該足夠給大家作參考。
實驗平台:Windows 7 Professional 64-bit, VMware Workstation 12.1.1。
實驗樣本:Windows 10 Enterprise 64-bit 虛擬機,用下載的 win10 enterprise version 1703 mar 2017 的 iso 檔安裝作業系統後,再安裝 VMware Tools 以及作完 Windows Update 後關機,這台 VM 在清理前佔的磁碟空間為 41.6 GB。

本次實驗分成三段,主要是要驗證 Clean Up Disks 的效果是否會比 Compact 好,所以將相同的樣本用三種方法各做一次:(1)Clean Up Disks。(2)Defragment & Compact。(3)Compact。底下就不囉嗦太多直接上圖。

(1) Clean Up Disks:花費約 10 分鐘 (16:48-16:58),動作前容量 41.6 GB,動作後 26.8 GB。

(2) Defragment & Compact:Defragment 花費約 6 分 (18:13-18:19),Compact 花費約 9 分鐘 (19:04-19:13),動作前容量 41.6 GB,動作後 26.8 GB。

(3) Compact:花費約 9 分鐘 (21:36-21:45),動作前容量 41.6 GB,動作後 26.8 GB。

以上三種方法實測結果,壓縮動作後的容量大小都是 26.8 GB,推測應該是在 VM 內只有安裝作業系統,再加上 Windows Update,大部分行為都是新增檔案,並沒有新增後再刪除的情形,所以檔案區塊排列算是整齊,三種方法都達到相同的減肥效果。

不過還是如同前情提要的文章說的,Windows VM 依然會推薦使用 Clean Up Disks,因為會提供預估可回收空間 (Reclaimable space),比上 Defragment & Compact 花費時間少了許多,就算只比上 Compact 也是差不多的時間。

這次的簡單小實驗就到這,提供給大家作參考,我們下回見!


〈本文同步刊載於痞客邦部落格〉
VMware 小實驗 - 縮小虛擬機 Virtual Disk 隨手實測 @ 狸貓先生愛廢話講堂 :: 痞客邦 ::

Tuesday, August 21, 2018

Cisco Server 小罷格 - 瀏覽器無法開啟 CIMC 頁面

在 Cisco UCS 伺服器中內建 Cisco Integrated Management Controller (CIMC) 管理功能,讓管理者可由遠端控制及查看系統資訊,甚至是 Remote KVM 功能 (遠端螢幕顯示、鍵盤、滑鼠),都可透過瀏覽器於遠端進行管理,提供管理效率。

在 Cisco UCS M3 (第三代)的伺服器,因為這是屬於上一代機種,CIMC 出廠預載版本可能會是 1.5.x 版或更舊的版本。
使用瀏覽器連線到 CIMC 1.5.x 時會需要兩個 Plug-in:
(1) Flash:在顯示登入畫面時,沒安裝 Flash 會無法輸入登入資訊。
(2) JRE:Java Runtime Environment,使用 Remote KVM 時會呼叫 JRE 來顯示模擬螢幕,沒安裝 JRE 無法使用。

而連線到 CIMC 1.5(4d) 時偶爾會遇到一個問題,瀏覽器會出現 Secure Connection Failed 錯誤訊息而無法開啟,錯誤代碼 Error Code: SSL_ERROR_RX_MALFORMED_SERVER_KEY_EXCH。

★★!!提醒!!★★
此種修改 Firefox 的 Workaround 避開問題方法可能會造成其他 https 網頁無法正常開啟,使用 CIMC 後記得修改回來,要使用此方法者需注意,若有風險請自行負責。

這個問題可以透過 HUU (Host Update Utility)進行 Update Firmware & CIMC 修正,但 HUU 需要重開機才能進行。但如果 UCS Server 暫時無法安排重開機,以下提供一個 Workaround 方法,讓你可以透過修改 Firefox 瀏覽器設定值,暫時連上 CIMC 進行管理作業。


(1) 在網址列輸入”about:config”,並按下”I accept the risk!”開始進行設定值修改。

(2) 在搜尋列 Search 輸入”tls”,找到”security.tls.version.max”數值,由預設的 3 改為 2 後,關閉 Firefox 再重新執行。

(3) 重新連線至 CIMC,因為 https 憑證為自我簽發,需要信任此憑證才能瀏覽此網頁,請依照步驟將此憑證加入例外清單,方便以後瀏覽。

(4) 可以看到正常登入頁面,此時就可以開始使用 CIMC 囉。

★★!!提醒!!★★
此種修改 Firefox 的 Workaround 避開問題方法可能會造成其他 https 網頁無法正常開啟,使用 CIMC 後記得修改回來,要使用此方法者需注意,若有風險請自行負責。