vCloud Networking and Security 5.1.4.1 | 1. JULI 2014 | Build 1912202

 

Die Version vCloud Networking and Security 5.1.4.1 ersetzt Version 5.1.4.

Inhalt dieser Versionshinweise

Diese Versionshinweise decken die folgenden Themen ab:

Neuigkeiten

Die Version vCloud Networking and Security 5.1.4.1 enthält einen Fix für die bekannten OpenSSL-Probleme CVE-2014-0224, CVE-2014-0198, CVE-2010-5298 und CVE-2014-3470 sowie weitere Fehlerkorrekturen, die im Abschnitt Behobene Probleme beschrieben werden.

Kunden, die vCloud Networking and Security 5.1.4 oder früher verwenden, müssen sofort ein Upgrade auf Version 5.1.4.1 durchführen.

Systemanforderungen und Installation

Weitere Informationen zu den Systemanforderungen und den Installationsanweisungen finden Sie im Installations- und Upgrade-Handbuch für vShield .

Führen Sie die folgenden Schritte aus, um ein Upgrade auf diese Version durchzuführen.

  1. Aktualisieren Sie vShield Manager und alle virtuellen Maschinen mit vShield App und vShield Edge in Ihrer Umgebung auf die Version vCloud Networking and Security 5.1.4.1. Anweisungen finden Sie unter Aktualisieren von vShield im Installations- und Upgrade-Handbuch für vShield .
    Hinweis: Wenn Sie SSL VPN verwenden, müssen Sie den SSL VPN-Client nach dem Upgrade auf 5.1.4.1 deinstallieren und dann neu installieren. Zur Installation des neuen Clients gehen Sie zu https:// SSL_VPN-IP-Adresse, wobei SSL_VPN-IP-Adresse die der Edge-Schnittstelle zugewiesene Uplink-IP-Adresse ist, zu deren Überwachung der SSL VPN-Dienst konfiguriert wurde.
  2. Führen Sie diesen Schritt nur aus, wenn Sie ein Upgrade von vShield 5.1.3 oder früher vornehmen.
    Ändern Sie die Zertifikate und Schlüssel für SSL VPN, indem Sie die folgenden Schritte ausführen.
    1. Fügen Sie ein neues Serverzertifikat hinzu.
      1. Wählen Sie im vSphere Client "Bestandsliste" > "Hosts und Cluster".
      2. Wählen Sie im Bestandslistenbereich eine Datencenterressource aus.
      3. Klicken Sie auf die Registerkarte "Netzwerkvirtualisierung" und anschließend auf den Link "Edges".
      4. Doppelklicken Sie auf eine vShield Edge-Instanz und klicken Sie dann auf die Registerkarte "Konfigurieren".
      5. Klicken Sie auf den Link "Zertifikate".
      6. Klicken Sie auf das Symbol "Hinzufügen" und wählen Sie "Zertifikate" aus.
      7. Fügen Sie den Inhalt des Zertifikats und den privaten Schlüssel ein.
      8. Klicken Sie auf "OK".
    2. Löschen Sie das alte Serverzertifikat.
      1. Wählen Sie das alte Zertifikat aus und klicken Sie auf das Symbol "Löschen".
      2. Klicken Sie auf OK.
    3. Geben Sie in der Konfiguration von SSL VPN das neue Zertifikat an.
      1. Klicken Sie auf die Registerkarte "SSL VPN-Plus".
      2. Klicken Sie im Bereich "Konfigurieren" auf "Servereinstellungen" und anschließend auf "Ändern".
      3. Wählen Sie in der Tabelle "Serverzertifikate" das neue Serverzertifikat aus und klicken Sie anschließend auf "OK".
    4. Wenden Sie sich an Ihren Zertifikatanbieter, um das alte Zertifikat sperren zu lassen.
  3. Führen Sie diesen Schritt nur aus, wenn Sie ein Upgrade von vShield 5.1.3 oder früher vornehmen.
    Entfernen Sie im Browser und im Betriebssystem das alte Zertifikat aus allen Listen für vertrauenswürdige Zertifikate. Stellen Sie außerdem sicher, dass die Prüfung des Sperrstatus für Ihr System aktiviert ist.
  4. Ändern Sie die Kennwörter für SSL VPN. Anweisungen finden Sie unter Verwalten des VPN-Diensts im vShield-Administratorhandbuch .

Bekannte Probleme

Die folgenden bekannten Probleme wurden beim Testen der Software erkannt. Sie helfen Ihnen, das Verhalten, auf das Sie in dieser Version treffen, besser zu verstehen.

Die bekannten Probleme gliedern sich in folgende Gruppen:

Upgrade-Probleme

Der SSL VPN-Client muss nach einem Upgrade deinstalliert und neu installiert werden
Nach dem Upgrade auf vShield 5.1.4.1 müssen Sie den SSL VPN-Client deinstallieren und dann neu installieren. Zur Installation des aktuellen Clients gehen Sie zu https:// SSL_VPN-IP-Adresse, wobei SSL_VPN-IP-Adresse die der Edge-Schnittstelle zugewiesene Uplink-IP-Adresse ist, zu deren Überwachung der SSL VPN-Dienst konfiguriert wurde.

Probleme bei vShield Manager

vShield Manager wurde bei vCenter mit der IP-Adresse anstelle des FQDN registriert
Die vShield Manager-Benutzeroberfläche akzeptiert während der Registrierung bei vCenter Server keinen vollqualifizierten Domänenname (Fully Qualified Domain Name, FQDN).
Problemumgehung: Verwenden Sie die IP-Adresse anstelle des FQDN.

vShield Manager-Upgrade schlägt fehl
Wenn ein Upgrade von vShield Manager von 4.1 auf 5.0 auf 5.1 durchgeführt wurde, schlägt die Verbindung von vShield Manager zum vCenter Server fehl und die Benutzeroberfläche zeigt einen internen Serverfehler an.
Problemumgehung: Geben Sie die Anmeldedaten für vCenter Server erneut ein. Wenn die Verbindung nicht wiederhergestellt wird, starten Sie vShield Manager neu.

Fehler "Ungültiges Datenformat" wird trotz der Eingabe des korrekten Portformats angezeigt
Beim Hinzufügen/Erstellen eines Dienstes erhalten Sie möglicherweise einen Fehler "Ungültiges Datenformat", obwohl die Ports im korrekten Format eingegeben wurden. Dies kann vorkommen, wenn die Anzahl der eingegebenen Ports die maximal zulässige Anzahl von 15 Ports überschreitet.
Umgehung: Wenn der Dienst mehr als 15 Ports verwendet, erstellen Sie mehrere Dienste.

Benutzer muss sich abmelden, um die geänderte oder hinzugefügte Rolle zu sehen
Wenn ein Benutzer seine Rolle hinzufügt oder ändert, während er sich in einer Sitzung befindet, zeigt die Sitzung nicht die Rollenänderungen an.
Problemumgehung: Melden Sie sich ab und wieder an, um die aktualisierten Rollenzuweisungen anzuzeigen.

Beim Löschen eines lokalen Benutzers oder einer Rollenzuweisung für einen vCenter-Benutzer wird 'Interner Serverfehler' angezeigt
Problemumgehung: Deaktivieren Sie das Benutzerkonto, das gelöscht werden soll.

Probleme bei vShield App

Wenn der vCenter Server während des vShield App-Upgrade-Vorgangs nicht mehr verfügbar ist, schlägt das Upgrade fehl und der Link "Aktualisieren" ist nicht verfügbar.
Siehe Link "Aktualisieren" nicht verfügbar während des vShield App-Upgrades.

Cluster können nicht vorbereitet werden, wenn vShield App auf einem Host installiert ist
Die Vorbereitung eines Clusters für VXLAN verläuft nicht erfolgreich, da der Host nicht in den Wartungsmodus wechseln kann, wenn vShield App installiert ist.
Problemumgehung: Versetzen Sie den bzw. die Hosts manuell in den Wartungsmodus. Wenn dieser Modus manuell ausgelöst wird, werden die vShield App-Appliances heruntergefahren und die Clustervorbereitung kann durchgeführt werden. Im Anschluss daran beenden der bzw. die Hosts den Wartungsmodus, und die vShield App-Appliances werden wieder normal ausgeführt.

Probleme bei vShield Edge

Für zwei unterschiedliche Funktionen können keine zwei unterschiedlichen Zertifikate konfiguriert werden
Für zwei unterschiedliche Funktionen können keine zwei unterschiedlichen Zertifikate konfiguriert werden. Sie können beispielsweise nicht Zertifikat a für IPsec und Zertifikat b für SSL VPN verwenden.
Problemumgehung: Verwenden Sie dasselbe Zertifikat für beide Funktionen und ändern Sie anschließend das Zertifikat für eine der Funktionen.

Zertifikatsignieranforderung der Größe von 512/1024 Bit kann nicht erstellt werden, wenn ein Upgrade von vShield Manager auf Version 5.1.x durchgeführt wird, Edge aber noch in der Version 5.0.2 vorhanden ist
Wenn ein Upgrade von vShield Manager auf Version 5.1.x durchgeführt wird, Edge aber noch in der Version 5.0.2 vorhanden ist, können Sie keine Zertifikatsignieranforderung (Certificate Signing Request, CSR) der Größe 512/1024 Bit erstellen.
Umgehung: Erstellen Sie eine CSR der Größe 2048/3072 Bit.

Behobene Probleme

Die folgenden Probleme wurden in der Version 5.1.4.1 behoben.

Die folgenden Probleme wurden in der Version 5.1.4 behoben.

  • OpenSSL-Sicherheitsproblem CVE-2014-0160/CVE-2014-0346 (Heartbleed), das OpenSSL 1.0.1 vor der Version 1.0.1g betrifft und zur Offenlegung von Speicherinhalten vom Server zum Client und umgekehrt führen kann
  • Die Netzwerkverbindung virtueller Maschinen geht verloren.
  • vShield Manager startet nach einem Upgrade von Version 5.1.2a auf Version 5.1.3 mit Cisco N1k nicht mehr.
  • Beim Hinzufügen eines ESX-Hosts der Version 5.1 zu vCenter 5.5 schlägt die Installation von Fast-Path-VIB fehl, wenn ein NetX-Dienst ausgeführt wird.
  • Eine NTPD-Instanz, die unter vShield Manager ausgeführt wird, legt NTP-Variablen offen.
  • Um die Bereitstellung von vShield Networking and Security-Appliances auf NFS oder SAN zu unterstützen, muss die Zeitüberschreitung des SCSI-Block-Layers erhöht werden.
  • In einer vSphere-Umgebung der Version 5.1 versucht vShield 5.1.3, Fast-Path-VIB 5.5 zu laden.
  • Ein Fehler in der Rotation der vShield App-Protokolle führt zu einer Datenträgerauslastung von 100 %.
  • Ein Fehler in der Protokollrotation führt auf der sekundären virtuellen vShield Edge-Maschine zu einer Datenträgerauslastung von 100 %.
  • Inkonsistenter Status der HTTP/HTTPS-Protokolle des Lastausgleichs
  • Geringer Netzwerkdurchsatz in der vShield-Umgebung
  • ISEC 8: Verschlüsselungsschlüssel im Quellcode gespeichert
  • Möglichkeit eines Angriffs in vShield Manager aufgrund unzureichender Stärke der Webserverschlüssel
  • Verschiedene XSS-Sicherheitslücken, die in vShield 5.1.2 gefunden wurden

Die folgenden Probleme wurden in der Version 5.1.3 behoben.

  • vShield Manager startet nach einem Upgrade von Version 5.1.2a auf Version 5.1.3 mit CiscoN1k nicht mehr.
  • Beim Hinzufügen eines ESX-Hosts der Version 5.1 zu vCenter 5.5 schlägt die Installation von Fast-Path-VIB für vShield fehl, wenn ein NetX-Dienst ausgeführt wird.
  • Keine Netzwerkverbindung in virtuellen Maschinen, die mit vShield App geschützt werden, nachdem zwischen vApps gewechselt wurde
  • Geringer Netzwerkdurchsatz in der vShield-Umgebung bei einer großen Anzahl an L2-Regeln, wenn jede Regel MAC-Sicherheitsgruppen enthält
  • Import von zwei Zwischen-Stamm-ZS-Zertifikaten in Version 5.1.1 von vShield Manager nicht möglich
  • Zunahme der Regelbereitstellung seit Upgrade auf Version 5.1.2a
  • Die Nutzung der vShield Manager-CPU liegt bei über 90 Prozent, da alle DCN-Threads beim Leeren der Objekte in der Transaktion für große Bestandslisten stehen bleiben
  • Der Edge TCP-Zeitüberschreitungswert bei Leerlauf kann mit REST APIs in 5.1.3 konfiguriert werden
  • vShield Manager löst eine Kernelpanik aus, wenn der Speicher, auf dem das Programm ausgeführt wird, Probleme aufweist bzw. aufgrund eines niedrigen Datenträger-Zeitüberschreitungswerts nicht verfügbar ist. Als neuer Wert werden 120 Sekunden festgelegt.
  • Aktualisierungen der Mac-Adressengruppierung (mac-set) werden bei Portgruppen, die Mitglieder von Sicherheitsgruppen sind, nicht durchgeführt
  • Zertifikatssignierungsanforderungen (Certificate Signing Requests, CSR) werden unter Angabe des Werts NULL in den Feldern "Ortsname" und "Name des Bundesstaats" generiert.
  • Wenn die vCloud Director-Lizenz "vCloud Networking and Security - Networking for VCD" verwendet wird, kann kein neues Org-VDC-Isolierungsnetzwerk erstellt werden, und der Vorgang schlägt mit der folgenden Fehlermeldung fehl: "VSM response error (214): Not licensed for Entity : vcloud-netsec feature : vxlan : add on :".
  • Die Netzwerkkonnektivität virtueller Maschinen wird nach der Migration mit vMotion von einem ESXi-Host ohne vShield App auf einen ESXi-Host mit vShield App unterbrochen
  • Die vShield App-Installation schlägt fehl, weil der vShield Manager ungültige VNIC UUIDs in der VMInfo-Meldung sendet
  • Virtuelle Maschinen können sich kurz nach ihrer Migration mit vMotion nicht mit dem Netzwerk verbinden und/oder erhalten keine DHCP-Adresse. Damit diese eine DHCP-Adresse erhalten können, muss eine Synchronisierung erzwungen werden.
  • Die Konnektivität mit ausgelagerten Antivirusprodukten externer Anbieter wird beeinträchtigt, wenn vShield App auf demselben ESXi-Host installiert wird
  • Virtuelle Maschinen können sich in einigen Fällen kurz nach der Migration mit vMotion nicht mit dem Netzwerk verbinden.
  • Die Bereitstellung von Firewallregeln dauert lange
  • Datenverkehr ist für virtuelle Maschinen, die Pakete mit verkürzten Ethernet-Trailern enthalten, blockiert
  • vShield App blockiert den Datenverkehr, obwohl keine Regeln konfiguriert bzw. alle Regeln so konfiguriert wurden, dass sie zulassen, dass die vSA-VNICs getrennt werden und/oder der ESXi-Host ausgeschaltet wird, wenn die vSA aufgrund einer Fehlkonfiguration durch einen Endbenutzer (z.B. die kombinierte Ausschaltung der vSM und/oder der vSA) nicht zwischen den wesentlichen Infrastrukturkomponenten kommunizieren kann, was einen nicht synchronisierten Zustand verursacht
  • Die vSA löst eine Kernelpanik aus, wenn der Speicher, auf dem diese ausgeführt wird, Probleme aufweist oder aufgrund eines niedrigen Datenträger-Zeitüberschreitungswerts nicht mehr verfügbar ist. Als neuer Datenträger-Zeitüberschreitungswert werden 180 Sekunden festgelegt.
  • Virtuelle Maschinen auf einem vDS verlieren die Netzwerkkonnektivität infolge der Verschiebung eines ESXi-Hosts auf einen anderen Cluster
  • Virtuelle Maschinen, die von einem vCenter Server-Objekt zu einem anderen Objekt (z. B. vApp, Cluster oder Ressourcenpool) verschoben werden, übernehmen die auf das Zielobjekt angewendeten Firewallregeln nicht
  • Die vShield App-Appliance wird neu gestartet, wenn ein großer IP-Adressenbereich (z. B. die gesamte Klasse A) zum Definieren einer Regel verwendet wird
  • Der Datenverkehr geht aufgrund von Zeitüberschreitungen von Sitzungen in falschen Intervallen verloren
  • Flow Monitoring meldet die Umkehr von Quelle und Ziel für einige Arten von Datenverkehr, der aus physischen Quellen stammt
  • Sicherheitsgruppen können versehentlich gelöscht werden, wenn eine Firewallregel veröffentlicht wird, nachdem diese Regel bereits mehrere Male erneut veröffentlicht wurde
  • Die Veröffentlichung von Ethernet- (L2-) Firewallregeln schlägt bei Verwendung großer MACsets fehl
  • Eine virtuelle IP (VIP) für einen Lastausgleichsdienst kann nicht zu einer vShield Edge hinzugefügt werden, wenn ebenfalls ein RSA ACE-Server ausgeführt wird
  • Die RSA-Authentifizierung schlägt fehl, nachdem die Änderungen der vShield Edge-Konfiguration übernommen wurden, z. B. bei Wiederbereitstellung, Upgrade oder HA-Ereignis
  • Der Mac-Client für SSL VPN kann sich nicht anmelden, wenn das Kennwort kurz vor dem Erreichen der ablaufbedingten, in der Kennwortrichtlinie konfigurierten Zeitüberschreitung steht
  • Im HA-Modus konfigurierte vShield Edges lösen gleichzeitig eine Kernelpanik aus
  • vShield Edge-DHCP kann nicht auf einer VNIC ausgeführt werden, auf der zwei separate IP-Adressen und Subnetze mit einem Subnetz als 0.0.0.0/32 definiert sind
  • Beide vShield Edges in einem HA-Paar wechseln in den aktiven Modus
  • vShield Edge kann IPSEC-VPN-Tunnel nicht wiederherstellen, die nach dem Eintreten eines Zustands unzureichenden Arbeitsspeichers (Out of Memory, OoM) verloren gegangen sind
  • Das vShield Edge-Upgrade schlägt fehl, wenn ein Ressourcenpool, auf dem die vShield Edge anfänglich bereitgestellt wurde, nicht mehr verfügbar ist
  • HA-aktivierte vShield Edges, die SSL-VPN-Dienste verwenden, weisen innerhalb kurzer Zeit mehrmals eine hohe CPU-Auslastung und Failover auf
  • Für vShield Edges, die mit einer virtuellen Leitung verbunden sind, wird eine leere Konfiguration der statischen DHCP-Bindung in der Benutzeroberfläche angezeigt
  • Bei vShield Edge treten geringer Durchsatz und niedrige Leistung auf
  • Es wurde eine Option für die Bereitstellung von 4-vCPU vShield Edge hinzugefügt
  • Datenpfadprobleme beim Passieren eines SSL-L2-VPN-Tunnels
  • SNAT-Regel über einen vSE-L2-VPN-Tunnel verhindert, dass VMs hinter vSE öffentliche IPs erreichen
  • vShield Edge-Appliance unterstützt keine Speicherung von Core-Dumps. Der Befehl "debug crashdump" wurde zur Befehlszeilenschnittstelle hinzugefügt
  • IPsec-Tunnel gehen häufig verloren, wenn PFS aktiviert ist
  • Nachdem die Persistenzmethode für den Lastausgleich über die Benutzeroberfläche festgelegt oder geändert wurde, werden die Änderungen nicht übernommen
  • Der Lastausgleich stürzt ab, wenn als Persistenzmethode SSL_SESSION_ID festgelegt wurde
  • Der SSL VPN-Client kann nicht auf OSX 10.9 (Mavericks) installiert werden
  • Inkonsistentes Verhalten zwischen der Benutzeroberfläche und REST beim Verwenden von Sicherheitsgruppen in Firewallregeln
  • Bei den vShield Edge-Workflows für Konfiguration/Installation/Upgrade werden diese Fehler gemeldet
  • Eine ungültige Antwort des VIX-Agenten wurde empfangen
  • Der VIX-Agent ist nicht mit VC verbunden
  • IPsec-Tunnel mit Zertifikatmodus können nicht eingerichtet werden