vCloud Networking and Security 5.5.2.1 | 1. JULI 2014 | Build 1912200

Die Version vCloud Networking and Security 5.5.2.1 ersetzt Version 5.5.2.

Inhalt dieser Versionshinweise

Diese Versionshinweise decken die folgenden Themen ab:

Neuigkeiten

Die Version vCloud Networking and Security 5.5.2.1 enthält einen Fix für die bekannten OpenSSL-Probleme CVE-2014-0224, CVE-2014-0198, CVE-2010-5298 und CVE-2014-3470 sowie weitere Fehlerkorrekturen, die im Abschnitt Behobene Probleme beschrieben werden.

Kunden, die vCloud Networking and Security 5.5.2 oder früher verwenden, müssen sofort ein Upgrade auf Version 5.5.2.1 durchführen.

Systemanforderungen und Installation

Weitere Informationen zu den Systemanforderungen und den Installationsanweisungen finden Sie im Installations- und Upgrade-Handbuch für vShield .

Führen Sie die folgenden Schritte aus, um ein Upgrade auf diese Version durchzuführen.

  1. Aktualisieren Sie vShield Manager und alle virtuellen Maschinen mit vShield App und vShield Edge in Ihrer Umgebung auf die Version vCloud Networking and Security 5.5.2.1. Anweisungen finden Sie unter Aktualisieren von vShield im Installations- und Upgrade-Handbuch für vShield .
    Hinweis: Wenn Sie SSL VPN verwenden, müssen Sie den SSL VPN-Client nach dem Upgrade auf 5.5.2.1 deinstallieren und dann neu installieren. Zur Installation des neuen Clients gehen Sie zu https:// SSL_VPN-IP-Adresse, wobei SSL_VPN-IP-Adresse die der Edge-Schnittstelle zugewiesene Uplink-IP-Adresse ist, zu deren Überwachung der SSL VPN-Dienst konfiguriert wurde.
  2. Führen Sie die folgenden Schritte nur aus, wenn Sie ein Upgrade von vShield 5.5.1 oder früher vornehmen.
    Wenn Sie SSL VPN verwenden, erstellen Sie neue Zertifikate und Schlüssel für SSL VPN, indem Sie die folgenden Schritte ausführen.
    1. Fügen Sie ein neues Serverzertifikat hinzu.
      1. Wählen Sie im vSphere Client "Bestandsliste" > "Hosts und Cluster".
      2. Wählen Sie im Bestandslistenbereich eine Datencenterressource aus.
      3. Klicken Sie auf die Registerkarte "Netzwerkvirtualisierung" und anschließend auf den Link "Edges".
      4. Doppelklicken Sie auf eine vShield Edge-Instanz und klicken Sie dann auf die Registerkarte "Konfigurieren".
      5. Klicken Sie auf den Link "Zertifikate".
      6. Klicken Sie auf das Symbol "Hinzufügen" und wählen Sie "Zertifikate" aus.
      7. Fügen Sie den Inhalt des Zertifikats und den privaten Schlüssel ein.
      8. Klicken Sie auf "OK".
    2. Löschen Sie das alte Serverzertifikat.
      1. Wählen Sie das alte Zertifikat aus und klicken Sie auf das Symbol "Löschen".
      2. Klicken Sie auf OK.
    3. Geben Sie in der Konfiguration von SSL VPN das neue Zertifikat an.
      1. Klicken Sie auf die Registerkarte "SSL VPN-Plus".
      2. Klicken Sie im Bereich "Konfigurieren" auf "Servereinstellungen" und anschließend auf "Ändern".
      3. Wählen Sie in der Tabelle "Serverzertifikate" das neue Serverzertifikat aus und klicken Sie anschließend auf "OK".
    4. Wenden Sie sich an Ihren Zertifikatanbieter, um das alte Zertifikat sperren zu lassen.
  3. Führen Sie die folgenden Schritte nur aus, wenn Sie ein Upgrade von vShield 5.5.1 oder früher vornehmen.
    Entfernen Sie im Browser und im Betriebssystem das alte Zertifikat aus allen Listen für vertrauenswürdige Zertifikate. Stellen Sie außerdem sicher, dass die Prüfung des Sperrstatus für Ihr System aktiviert ist.
  4. Ändern Sie die Kennwörter für SSL VPN. Anweisungen finden Sie unter Verwalten des VPN-Diensts im vShield-Administratorhandbuch .

Bekannte Probleme

Die folgenden bekannten Probleme wurden beim Testen der Software erkannt. Sie helfen Ihnen, das Verhalten, auf das Sie in dieser Version treffen, besser zu verstehen.

Die bekannten Probleme gliedern sich in folgende Gruppen:

Upgrade-Probleme

Der SSL VPN-Client muss nach einem Upgrade deinstalliert und neu installiert werden
Nach dem Upgrade auf vShield 5.5.2.1 müssen Sie den SSL VPN-Client deinstallieren und dann neu installieren. Zur Installation des neuen Clients gehen Sie zu https:// SSL_VPN-IP-Adresse, wobei SSL_VPN-IP-Adresse die der Edge-Schnittstelle zugewiesene Uplink-IP-Adresse ist, zu deren Überwachung der SSL VPN-Dienst konfiguriert wurde.

Allgemeine Probleme

Rolle für angemeldeten Benutzer kann nicht hinzugefügt oder bearbeitet werden
Beim Hinzufügen oder Bearbeiten einer Rolle für einen angemeldeten Benutzer überschreitet die Benutzersitzung das Zeitlimit.
Umgehung: Nachdem Änderungen an der Rolle für einen angemeldeten Benutzer durchgeführt wurden, muss sich der Benutzer ab- und wieder anmelden.

SVM-Bereitstellung auf physischen ESXi 5.x schlägt fehl, wenn verschachtelter ESX-Support auf physischen Hosts aktiviert ist
Wenn verschachtelter ESX-Support auf physischen Hosts aktiviert ist, wird ein virtualisierter Intel VT-/EPT-Fehler für vShield SVM angezeigt.
Umgehung: Keine.

Daten werden nicht gesichert, wenn das angegebene Sicherungsverzeichnis nicht vorhanden ist
Wenn Sie beim Sichern von vShield Manager-Daten ein ungültiges Verzeichnis angeben, wird keine Sicherungsdatei erstellt.
Umgehung: Stellen Sie sicher, dass das Sicherungsverzeichnis auf dem FTP-Server vorhanden ist.

Probleme bei vShield Manager

vShield Manager wurde bei vCenter mit der IP-Adresse anstelle des FQDN registriert
Die vShield Manager-Benutzeroberfläche akzeptiert während der Registrierung bei vCenter Server keinen vollqualifizierten Domänenname (Fully Qualified Domain Name, FQDN).
Problemumgehung: Verwenden Sie die IP-Adresse anstelle des FQDN.

vShield Manager-Upgrade schlägt fehl
Wenn ein Upgrade von vShield Manager von 4.1 auf 5.0 auf 5.1 durchgeführt wurde, schlägt die Verbindung von vShield Manager zum vCenter Server fehl und die Benutzeroberfläche zeigt einen internen Serverfehler an.
Problemumgehung: Geben Sie die Anmeldedaten für vCenter Server erneut ein. Wenn die Verbindung nicht wiederhergestellt wird, starten Sie vShield Manager neu.

Fehler "Ungültiges Datenformat" wird trotz der Eingabe des korrekten Portformats angezeigt
Beim Hinzufügen/Erstellen eines Dienstes erhalten Sie möglicherweise einen Fehler "Ungültiges Datenformat", obwohl die Ports im korrekten Format eingegeben wurden. Dies kann vorkommen, wenn die Anzahl der eingegebenen Ports die maximal zulässige Anzahl von 15 Ports überschreitet.
Umgehung: Wenn der Dienst mehr als 15 Ports verwendet, erstellen Sie mehrere Dienste.

Benutzer muss sich abmelden, um die geänderte oder hinzugefügte Rolle zu sehen
Wenn ein Benutzer seine Rolle hinzufügt oder ändert, während er sich in einer Sitzung befindet, zeigt die Sitzung nicht die Rollenänderungen an.
Problemumgehung: Melden Sie sich ab und wieder an, um die aktualisierten Rollenzuweisungen anzuzeigen.

Probleme bei vShield App

Eine Firewallregel aus Flow Monitoring-Tabelle kann nach Zurücksetzen auf eine ältere Firewallkonfiguration nicht hinzugefügt werden
Nachdem Sie eine ältere Firewallkonfiguration geladen haben, ist es nicht möglich, eine Regel aus der Flow Monitoring-Tabelle hinzuzufügen. Grund dafür ist, dass die Regel, für die der Flow erkannt wurde, nicht mehr zur aktuellen Firewallkonfiguration gehört.

Wenn der vCenter Server während des vShield App-Upgrade-Vorgangs nicht mehr verfügbar ist, schlägt das Upgrade fehl und der Link "Aktualisieren" ist nicht verfügbar.
Siehe Link "Aktualisieren" nicht verfügbar während des vShield App-Upgrades.

Cluster können nicht vorbereitet werden, wenn vShield App auf einem Host installiert ist
Die Vorbereitung eines Clusters für VXLAN verläuft nicht erfolgreich, da der Host nicht in den Wartungsmodus wechseln kann, wenn vShield App installiert ist.
Problemumgehung: Versetzen Sie den bzw. die Hosts manuell in den Wartungsmodus. Wenn dieser Modus manuell ausgelöst wird, werden die vShield App-Appliances heruntergefahren und die Clustervorbereitung kann durchgeführt werden. Im Anschluss daran beenden der bzw. die Hosts den Wartungsmodus, und die vShield App-Appliances werden wieder normal ausgeführt.

Firewallregeln mit virtueller Leitung als Quelle/Ziel werden nicht angewendet, wenn eine neue VM zur bestehenden virtuellen Leitung hinzugefügt wird
Wenn vorkonfigurierte Firewallregeln virtuelle Leitungen als Quelle/Ziel enthalten, werden diese Regeln nicht auf die neue VM angewendet, die zur virtuellen Leitung hinzugefügt wird.
Problemumgehung: Veröffentlichen Sie die Firewallkonfiguration nach dem Hinzufügen der neuen VM zur virtuellen Leitung auf der virtuellen Leitung neu.

Probleme bei vShield Edge

Änderung des Kennworts für SSL-Benutzer funktioniert nicht
Wenn Sie in Ihrer Umgebung vShield Manager 5.5.2.1 verwenden, vShield Edge aber in der Version 5.5.0 vorliegt, ändert die Option Kennwort bei nächster Anmeldung ändern das Kennwort für einen Benutzer nicht. Es wird kein Fehler angezeigt, jedoch kann sich der Benutzer mit dem neuen Kennwort nicht anmelden.
Umgehung: Führen Sie ein Upgrade von vShield Edge auf Version 5.5.1 oder höher durch.

Zertifikatsignieranforderung der Größe von 512/1024 Bit kann nicht erstellt werden, wenn ein Upgrade von vShield Manager auf Version 5.5.2.1 durchgeführt wird, Edge aber noch in der Version 5.0.2 vorhanden ist
Wenn ein Upgrade von vShield Manager auf Version 5.5.2.1 durchgeführt wird, Edge aber noch in der Version 5.0.2 vorhanden ist, können Sie keine Zertifikatsignieranforderung (Certificate Signing Request, CSR) der Größe 512/1024 Bit erstellen.
Umgehung: Erstellen Sie eine CSR der Größe 2048/3072 Bit.

Service Insertion-Probleme

Dienstprofil kann nicht an Netzwerk angebunden werden
Es ist nicht möglich, ein Dienstprofil an ein verfügbares Netzwerk anzubinden.
Umgehung: Starten Sie vShield Manager neu.

Behobene Probleme

Die folgenden Probleme wurden in der Version 5.5.2.1 behoben.

Das folgende Problem wurde in der Version 5.5.2 behoben.

OpenSSL-Sicherheitsproblem CVE-2014-0160/CVE-2014-0346 (Heartbleed), das OpenSSL 1.0.1 vor der Version 1.0.1g betrifft und zur Offenlegung von Speicherinhalten vom Server zum Client und umgekehrt führen kann

Die folgenden Probleme wurden in der Version 5.5.1 behoben.

  • Auf der Benutzeroberfläche erfolgt keine Angabe dazu, dass das Kennwort für vCenter abgelaufen ist.
  • Die Funktionalität zum Sichern/Wiederherstellen funktioniert nicht, nachdem ein Wiederherstellungsvorgang fehlgeschlagen ist.
  • DNS-Einstellungen bleiben bei einem Wiederherstellungsvorgang unverändert.
  • Firewall kann nicht bereitgestellt werden, wenn vNIC in Ethernet-Regeln verwendet wird.
  • Es ist nicht möglich, einer vorhandenen Firewallregel mit einem einzelnen Dienst mehrere Dienste hinzuzufügen.
  • Für zwei unterschiedliche Funktionen können keine zwei unterschiedlichen Zertifikate konfiguriert werden.
  • Die Namen von virtuellen VXLAN-Leitungen dürfen keine Sonderzeichen enthalten.
  • Neustart nach ESX-Upgrade auf Version 5.5 erforderlich
  • Virtuelle VXLAN-Leitung kann nach dem Upgrade des Hosts auf Version 5.5 nicht hinzugefügt werden.
  • Bei der Verwendung von Zertifikaten wird ein Fehler angezeigt.
  • Bei der Erstellung eines Anwendungsprofils mit Zertifikaten wird ein Fehler angezeigt und die Benutzeroberflächensitzung wird beendet. Die Benutzereinstellungen werden jedoch erfolgreich angewendet und die Funktionsweise der Anwendungsprofilkonfiguration ist nicht beeinträchtigt.
  • NetX 5.1-Dienste sind nicht mit vCloud Networking and Security 5.5 kompatibel