vCloud Networking and Security 5.5.4.1 | 30. April 2015 | Build 2673026

Inhalt dieser Versionshinweise

Diese Versionshinweise decken die folgenden Themen ab:

Neuigkeiten

Diese Version vervollständigt eine Reihe von Fixes für die Schwachstellen Skip-TLS (CVE-2014-6593), FREAK (CVE-2015-0204) und POODLE (CVE-2014-3566) sowie Fixes für andere Probleme. Weitere Informationen finden Sie in diesem Dokument im Abschnitt Behobene Probleme. Stellen Sie sicher, dass mögliche Drittanbieterkomponenten (z. B. Drittanbieter-Partnerlösungen) die in vCNS verwendeten aktualisierten JRE- und OpenSSL-Versionen unterstützen.

Weitere Informationen finden Sie unter:

 

Systemanforderungen und Installation

Weitere Informationen über Systemanforderungen und Installations- oder Upgrade-Anweisungen finden Sie im Installations- und Upgrade-Handbuch für vShield .

Anweisungen zum Upgrade

Führen Sie die folgenden Schritte aus, um das Upgrade durchzuführen:

  1. Aktualisieren Sie auf vCloud Networking and Security 5.5.4.1. Weitere Informationen hierzu finden Sie im Installations- und Upgrade-Handbuch für vShield.
  2. Wenn Sie zum vmxnet3-Treiber von e1000 wechseln möchten, um den Fix für Problem 1429432 anzuwenden, gehen Sie folgendermaßen vor:
    • Erstellen Sie eine Sicherung der aktuellen Manager-Appliance.
    • Stellen Sie eine neue 5.5.4.1-Version der Manager-Appliance bereit.
    • Fahren Sie die ursprüngliche Manager-Appliance herunter.
    • Stellen Sie die Sicherung wieder her und wenden Sie sie auf diese neue Manager-Appliance an.

 

Bekannte Probleme

Die bekannten Probleme gliedern sich in folgende Gruppen:

Upgrade-Probleme

Problem 1375343: SSO kann nach dem Upgrade nicht neu konfiguriert werden
Wenn es sich bei dem in vShield Manager konfigurierten SSO-Server um den nativen vCenter-Server handelt, können Sie nach dem Upgrade von vCenter Server auf Version 6.0 und dem Upgrade von vShield Manager auf Version 5.5.4 SSO-Einstellungen in vShield Manager nicht neu konfigurieren.
Problemumgehung: Keine.

Problem 1369782: L2VPN-Tunnel wird nach dem Upgrade des L2VPN-Servers auf Version 5.5.4 unterbrochen
Wenn Sie ein Upgrade von vShield Manager und L2VPN-Server auf Version 5.5.4 ohne Upgrade des L2VPN-Clients durchführen, wird der L2VPN-Tunnel unterbrochen. Ältere L2VPN-Clients als Version 5.5.4 stellten per SSLv2 oder SSLv3 eine Verbindung her, aber diese Protokolle werden in Version 5.5.4 nicht unterstützt.
Problemumgehung: Führen Sie ein Upgrade des L2VPN-Clients auf Version 5.5.4 durch. Der Client kann dann mithilfe des TLS-Protokolls eine Verbindung mit dem Server herstellen.

Problem 1396592: Bereitstellungsspezifikation mit Versionsangabe muss bei Verwendung von vCenter Server 6.0 und ESX 6.0 auf Version 6.0.x aktualisiert werden.
Partner, die NetX-Lösungen für vCloud Networking and Security registriert haben, müssen die Registrierung aktualisieren und eine Bereitstellungsspezifikation mit Versionsangabe (VersionedDeploymentSpec) für Version 6.0.x mit dem entsprechenden OVF einbinden.
Problemumgehung: Wenn die Basiskonfiguration aus Version 5.5.x mit vSphere 5.5 besteht und für die Infrastruktur vor dem Upgrade von vCloud Networking and Security ein Upgrade durchgeführt wird, führen Sie die folgenden Schritte aus:

  1. Führen Sie ein Upgrade für vSphere von Version 5.5 auf Version 6.0 durch.
  2. Fügen Sie die Bereitstellungsspezifikation mit Versionsangabe für Version 6.0.x mithilfe des folgenden API-Aufrufs hinzu:
    POST https://<vCNS-IP>/api/2.0/si/service/<Dienst-ID>/servicedeploymentspec/versioneddeploymentspec
    <versionedDeploymentSpec>
    <hostVersion>6.0.x</hostVersion>
    <ovfUrl>http://engweb.eng.vmware.com/~netfvt/ovf/Rhel6-32bit-6.1svm/Rhel6-32bit-6.1svm.ovf</ovfUrl>
    <vmciEnabled>true</vmciEnabled>
    </versionedDeploymentSpec>
  3. Aktualisieren Sie den Dienst mithilfe des folgenden REST-Aufrufs
    POST https://<vsm-ip>/api/2.0/si/service/config?action=update
  4. Beheben Sie den EAM-Alarm durch Ausführen der folgenden Schritte:
    1. Klicken Sie im vSphere Web Client auf „Home“.
    2. Klicken Sie auf „Verwaltung“.
    3. Wählen Sie in „Lösung“ die Option „vCenter Server-Erweiterungen“ aus.
    4. Klicken Sie auf „vSphere ESX Agent Manager“ und klicken Sie dann auf die Registerkarte „Verwalten“.
    5. Klicken Sie mit der rechten Maustaste auf den Agency-Status „Fehlgeschlagen“ und wählen Sie „Alle Probleme beheben“ aus.

 

Problem 1291731: Upgrade bzw. Deinstallation von vShield Endpoint wird mit dem Fehler Bei der Installation von vShield Endpoint ist ein Fehler bei der Deinstallation des VIBs aufgetreten: Interner Serverfehler abgebrochen
Das Upgrade bzw. die Deinstallation von vShield Endpoint wird mit einem Fehler abgebrochen. Die Deinstallation von vib über die ESXi-Befehlszeile wird ebenfalls mit dem folgenden Fehler abgebrochen:
 
[InstallationError]
Fehler beim Ausführen von rm /tardisks/epsec-mu.v00:
Rückgabecode: 1
Ausgabe: rm: '/tardisks/epsec-mu.v00' kann nicht entfernt werden: Gerät oder Ressource ist ausgelastet
Eine Fortsetzung des Vorgangs ist nicht sicher. Starten Sie den Host sofort neu, um das unvollständige Update zu verwerfen. Weitere Informationen finden Sie in der Protokolldatei.

 
Problemumgehung: Befolgen Sie die unten beschriebenen Schritte:

  1. Melden Sie sich bei der ESXi-CLI an.
  2. Verschieben Sie in der Datei /bootbank/boot.cfg den Eintrag epsec-mu.v00 hinter den Eintrag sb.v00.
    In den Moduleinträgen in boot.cfg wird als Trennzeichen --- verwendet. Nach Ausführen der Änderung sollten die Einträge also so aussehen: sb.v00 --- epsec-mu.v00.
  3. Speichern Sie die Datei /bootbank/boot.cfg.
  4. Versetzen Sie den Host in den Wartungsmodus und starten Sie ihn dann vom vCenter Server-Webclient aus neu.
  5. Führen Sie die Installation bzw. das Upgrade von vShield Endpoint durch.

 

Allgemeine Probleme

Problem 1411125: Einschalten der Gast-VM nicht möglich
Beim Einschalten einer Gast-VM wird möglicherweise die Fehlermeldung „Zurzeit sind nicht alle erforderlichen virtuellen Agent-Maschinen bereitgestellt“ angezeigt.
Problemumgehung: Befolgen Sie die unten beschriebenen Schritte:

  1. Klicken Sie im vSphere Web Client auf „Home“.
  2. Klicken Sie auf „Verwaltung“.
  3. Wählen Sie in „Lösung“ die Option „vCenter Server-Erweiterungen“ aus.
  4. Klicken Sie auf „vSphere ESX Agent Manager“ und klicken Sie dann auf die Registerkarte „Verwalten“.
  5. Klicken Sie auf "Auflösen".

 

Problem 1341573: Für Benutzer-IDs mit mehr als 7 ostasiatischen Zeichen oder mehr als 10 europäischen Zeichen ist keine Anmeldung beim SSL VPN-Portal möglich
Wenn eine Benutzer-ID mehr als 63 Zeichen enthält (für ASCII- oder Nicht-ASCII-Zeichen), wird beim Erstellen des SSL VPN Plus-Benutzers die Fehlermeldung „Die Länge der Benutzer-ID hat die maximale Anzahl von Zeichen überschritten“ angezeigt. Benutzer-IDs mit weniger als 63 Zeichen werden akzeptiert und der Benutzer wird erstellt.
Problemumgehung: VMware empfiehlt die Erstellung von SSL VPN Plus-Benutzer-IDs, die ausschließlich aus ASCII-Zeichen bestehen. Falls Ihre Benutzer-IDs Nicht-ASCII-Zeichen enthalten müssen, stellen Sie sicher, dass jeder Benutzername maximal 7 ostasiatische Zeichen oder maximal 10 lateinische Zeichen mit diakritischen Zeichen enthält.

Problem 1311302: Wenn sich eine vNIC in einer mit einem Netzwerk verbundenen Sicherheitsgruppe befindet und die zugehörige virtuelle Maschine in ein anderes Netzwerk verschoben wird, kann die Sicherheitsgruppe nicht über die Benutzeroberfläche bearbeitet werden und die vNIC bleibt weiterhin ein Mitglied der Sicherheitsgruppe
Problemumgehung: Entfernen Sie die vNIC mit dem folgenden REST-Aufruf aus der Sicherheitsgruppe
DELETE https://<vsm-ip>/api/2.0/services/securitygroup/<Sicherheitsgruppen-ID>/members/<vNicId>
Anschließend können Sie die Sicherheitsgruppe in der Benutzeroberfläche bearbeiten.

Problem 1303665: Das Vorbereiten eines Clusters für VXLAN führt dazu, dass ESXi den Verlust der Netzwerkverbindung auf dem vSwitch meldet
Das Vorbereiten eines Clusters für VXLAN führt zu einem vorübergehenden Verlust der Netzwerkverbindung, wenn der Netzwerkkartentreiber deinstalliert und neu installiert wird, um RSS in dem VXLAN-fähigen Cluster zu aktivieren. Dieses Problem tritt nur bei Verwendung von Intel ixgbe-Treibern auf.
Problemumgehung: Keine.

Problem 1056970: Anmelden bei vShield Manager nicht möglich, wenn der Benutzername CJK- oder erweiterte ASCII-Zeichen enthält
Problemumgehung: Legen Sie die Browser-Codierung auf UTF-8 fest.

Probleme bei vShield Manager

Problem 1405582/1310034: SSL VPN-Remotebenutzer kann seine AD-Anmeldedaten nicht ändern
Wenn das SSL VPN über Active Directory authentifiziert wird, können Sie sich mithilfe dieser Domänenanmeldedaten beim SSL VPN anmelden, um auf ein Unternehmensnetzwerk (privates Netzwerk) zuzugreifen. Wenn sich der Benutzer nicht im Büro befindet, kann er sein AD-Kennwort nicht ändern.
Problemumgehung: Für die SSL VPN-Konfiguration gibt es keine spezielle Problemumgehung. Der Administrator sollte ein externes Dienstprogramm zum Ändern des AD-Kennworts bereitstellen.

Problem 1303278: Das Laden der Gruppierungsseite dauert lange, wenn mehr als 1100 MAC-Sätze vorhanden sind, und möglicherweise werden überlappende Zeileneinträge angezeigt
Wenn zu viele MAC-Sätze (z. B. mehr als 1100) in vShield Manager vorhanden sind, dauert das Laden der Gruppierungsseite lange und die Zeileneinträge für die MAC-Sätze überlappen sich mit anderen Einträgen, weshalb sie nicht gelesen werden können. Das Hinzufügen eines neuen MAC-Satzes dauert sehr lange.
Problemumgehung: Achten Sie darauf, dass maximal 1100 Einträge für MAC-Sätze in einer Sicherheitsgruppe vorhanden sind.

Problem 1301688: Beim Konfigurieren von Lookup Service auf NSX Manager kann zwischen dem Domänen- und dem Benutzernamen kein umgekehrter Schrägstrich (\) verwendet werden
Problemumgehung: Verwenden Sie zwischen dem Benutzer- und dem Domänennamen @ anstelle des umgekehrten Schrägstrichs (\). Geben Sie also Benutzer@Domäne anstelle von Domäne\Benutzer ein.

Problem 1161237: Die Fehlermeldung „Ungültiges Datenformat“ wird beim Erstellen eines Diensts angezeigt
Beim Hinzufügen/Erstellen eines Diensts wird möglicherweise die Fehlermeldung „Ungültiges Datenformat“ angezeigt, falls Sie mehr als 15 Ports für den Dienst eingeben.
Problemumgehung: Wenn der Dienst mehr als 15 Ports verwendet, erstellen Sie mehrere Dienste.

Problem 1161214: Benutzer muss sich abmelden, um die geänderte oder hinzugefügte Rolle zu sehen
Wenn ein Benutzer seine Rolle hinzufügt oder ändert, während er sich in einer Sitzung befindet, zeigt die Sitzung nicht die Rollenänderungen an.
Problemumgehung: Melden Sie sich ab und wieder an, um die aktualisierten Rollenzuweisungen anzuzeigen.

Probleme bei vShield App

Problem 1197810: Eine Firewallregel aus der Flow Monitoring-Tabelle kann nach Zurücksetzen auf eine ältere Firewallkonfiguration nicht hinzugefügt werden
Nachdem Sie eine ältere Firewallkonfiguration geladen haben, ist es nicht möglich, eine Regel aus der Flow Monitoring-Tabelle hinzuzufügen. Grund dafür ist, dass die Regel, für die der Flow erkannt wurde, nicht mehr zur aktuellen Firewallkonfiguration gehört.
Problemumgehung: Keine.

Problem 967277: Wenn der vCenter Server während des vShield App-Upgrade-Vorgangs nicht mehr verfügbar ist, schlägt das Upgrade fehl und der Link „Aktualisieren“ ist nicht verfügbar
Weitere Informationen finden Sie im VMware-Knowledgebase-Artikel Link „Aktualisieren“ in vShield Manager ist nicht verfügbar, wenn das vShield App-Upgrade fehlschlägt.

Problem 1089671: Firewallregeln mit virtueller Leitung als Quelle/Ziel werden nicht angewendet, wenn eine neue VM zur bestehenden virtuellen Leitung hinzugefügt wird
Wenn vorkonfigurierte Firewallregeln virtuelle Leitungen als Quelle/Ziel enthalten, werden diese Regeln nicht auf die neue VM angewendet, die zur virtuellen Leitung hinzugefügt wird.
Problemumgehung: Veröffentlichen Sie die Firewallkonfiguration nach dem Hinzufügen der neuen VM zur virtuellen Leitung auf der virtuellen Leitung neu.

Probleme bei vShield Edge

Problem 1405586/1311273: Der Anmeldebildschirm des SSL VPN-Portals ist leer.
Eine der vom SSL VPN-Portal verwendeten JavaScript-Dateien wird in vShield Edge beschädigt. Dadurch schlägt das Rendern der Portalseite fehl.
Problemumgehung: Stellen Sie den vShield Edge erneut bereit, wenn dieses Problem auftritt.

Problem 1165472: Signaturanforderung/Zertifikat kann nicht erstellt werden, wenn ein Upgrade von vShield Manager auf Version 5.1.3 durchgeführt wird und Edge noch immer in der Version 5.0.2 vorhanden ist
Wenn ein Upgrade von vShield Manager auf Version 5.1.3 durchgeführt wird und Edge in einer älteren Version vorhanden ist, können Sie keine Signaturanforderung der Größe 512/1024 Bit erstellen.
Problemumgehung: Keine.

Service Insertion-Probleme

Problem 1062057: Dienstprofil kann nicht an Netzwerk gebunden werden
Es ist nicht möglich, ein Dienstprofil an ein verfügbares Netzwerk zu binden.
Problemumgehung: Starten Sie vShield Manager neu.

Probleme bei Data Security

Problem 1291748: Beim Festlegen der Dateifilter für die Data Security-Prüfung kann „Datum der letzten Änderung“ nicht aus dem Kalender ausgewählt werden
Während des Versuchs, das Vor-Datum für die Ausführung einer Data Security-Prüfung auszuwählen, ist der Kalender grau dargestellt.
Problemumgehung: Ändern Sie in Ihrem Browser die Spracheinstellung auf „en-US“ und wählen Sie dann das Datum im Feld Vor aus.

Behobene Probleme

Die folgenden Probleme wurden in der Version 5.5.4.1 behoben:

Problem 1414763: vShield SSL VPN implementiert keine Codesignierung auf einem OSX Yosemite-Client
Mit der Yosemite-Version fügt OSX Codevalidierung für alle auf ein System geladenen Kernal-Erweiterungen (kexts) ein. Der OSX-Client implementiert keine Codesignierung und ist nicht betriebsbereit.

Problem 1429432: Die Bereitstellung eines Multi-Maschinen-Blueprints schlägt fehl, wenn vShield Manager nicht mehr reagiert
Die Bereitstellung eines Multi-Maschinen-Blueprints schlägt fehl, wenn vShield Manager den VMXnet3-Adapter nicht erkennen kann. Wenn dies geschieht, verbleibt vShield Manager in einem Zustand, in dem es nicht mehr reagiert. Dieser Fix ersetzt den Netzwerkadapter der vCNS Manager-Appliance durch einen vmxnet3-Adapter. Die Schritte zum Anwenden des Fix finden Sie im Abschnitt Anweisungen zum Upgrade.

Problem 1424601: Die Sicherheitsschwachstellen Skip-TLS und Poodle
OpenSSL wurde auf Version 0.9.8zd aktualisiert. Das Oracle (Sun) JRE-Paket wurde auf 1.7.0_75 aktualisiert. Mit dem Update werden mehrere Sicherheitsprobleme in den früheren Versionen von Oracle (Sun) JRE behoben. Oracle hat die in JRE 1.7.0_75 verwendeten CVE-Bezeichner im Oracle Java SE Critical Patch Update Advisory für Januar 2015 dokumentiert. Dieser Fix deaktiviert SSLv3 in vShield Manager.

Die folgenden Probleme wurden in Version 5.5.4 behoben:

Problem 1343847/1343842/1362763: Fixes für die Schwachstelle CVE-2014-3566 "POODLE"
Die Version 5.5.4 umfasste zwei Änderungen in Bezug auf die Schwachstelle CVE-2014-3566 (die SSLv3-Schwachstelle, die als "POODLE" bekannt ist):

  • Ein Update der SSL-Bibliothek des vShield Edge-Systems auf OpenSSL 0.9.8zc und
  • eine aktualisierte API-Methode, mit der Administratoren die POODLE-Schwachstelle auf dem vShield Edge beseitigen können.

Mit dieser API-Methode können Sie die SSLv3-Unterstützung auf bestimmten vShield Edges in Ihrer Umgebung. Dazu verwenden Sie den Parameter sslVersionList im folgenden API-Aufruf, um die gewünschte(n) SSL-Version(en) auf einem NSX Edge auf die Whitelist zu setzen.

API-Methode:

POST https://<vsm-ip>/api/3.0/edges/<edge-id>/sslvpn/config/server/
                      

Beispielanforderungstext:

In diesem Beispiel aktivieren wir SSLv3, TLSv1, TLSv1_2 und TLSv1_1:

<serverSettings>
   <ip>SSLVPN-Server IP</ip>
   <port>443</port>
   <cipherList>
      <cipher>RC4-MD5</cipher>
   </cipherList>
   <sslVersionList>
      <version>SSLv3</version>
      <version>TLSv1</version>
      <version>TLSv1_2</version>
      <version>TLSv1_1</version>
   </sslVersionList>
</serverSettings>
                        

Wird der Parameter "sslVersionList" leer gelassen, werden alle im oben dargestellten Beispiel aufgeführten SSL-Versionen auf die Whitelist gesetzt.