Notes de mise à jour de VMware vCloud Networking and Security 5.1.4.3

vCloud Networking and Security 5.1.4.3 | 3 octobre 2014 | Build 2174081

Contenu des notes de mise à jour

Les notes de mise à jour couvrent les sujets suivants :

Nouveautés

La version vCloud Networking and Security 5.1.4.3 contient des correctifs pour tous les dispositifs vCloud Networking and Security. Ces correctifs corrigent la vulnérabilité de sécurité BASH Shellshock. VMware vous recommande d'effectuer une mise à niveau vers cette version.

Vous pouvez mettre à niveau vers cette version depuis les versions 5.1.x et 5.1.4.x.

Spécifications du système et installation

Pour obtenir des informations sur les spécifications système ou des instructions d'installation et de mise à niveau, consultez le Guide d'installation et de mise à niveau de vShield .

Problèmes connus

Les problèmes connus suivants ont été rencontrés lors de tests rigoureux. Nous espérons qu'ils vous aideront à comprendre certains désagréments que vous pourriez rencontrer dans cette version.

Les problèmes connus sont classés comme suit :

Problèmes de mise à niveau

Le client VPN SSL doit être désinstallé, puis réinstallé après la mise à niveau
Après la mise à niveau vers vShield 5.1.4.1, vous devez désinstaller le client VPN SSL, puis le réinstaller. Pour installer le client le plus récent, accédez à https:// ssl-vpn-ip-address, où ssl-vpn-ip-address est l'adresse IP de la liaison montante attribuée à l'interface Edge sur laquelle le service VPN SSL est configuré pour écouter.

Problèmes avec vShield Manager

vShield Manager enregistré dans vCenter en utilisant l'adresse IP plutôt que le FQDN
L'interface utilisateur de vShield Manager n'accepte pas le nom de domaine complet (FQDN) lors de l'enregistrement dans vCenter Server.
Solution : Utilisez l'adresse IP au lieu du FQDN.

La mise à niveau de vShield Manager échoue avec une erreur
Lorsque vShield Manager est mis à niveau de la version 4.1 vers la version 5.0, puis 5.1, vShield Manager ne parvient pas à se connecter à vCenter Server et l'interface utilisateur affiche une erreur de serveur interne.
Solution : entrez à nouveau les informations d'identification vCenter Server. Si la connectivité n'est pas restaurée, redémarrez vShield Manager.

L'erreur « Format de données non valide » s'affiche bien que la saisie du format des ports soit correcte
Lors de l'ajout ou de la création d'un service, le message d'erreur « Format de données non valide » peut s'afficher bien que la saisie du format des ports soit correcte. Ceci peut se produire lorsque le nombre de ports entrés dépasse la limite maximale de 15 ports.
Solution : si le service a plus de 15 ports, créez plusieurs services.

L'utilisateur doit se déconnecter pour afficher le rôle modifié ou ajouté
Lorsqu'un utilisateur ajoute ou modifie son rôle alors qu'il est connecté à une session, la session ne reflète pas les modifications apportées au rôle.
Solution : déconnectez-vous, puis reconnectez-vous pour afficher les affectations de rôle mises à jour.

Une « erreur de serveur interne » s'affiche à la suppression d'un utilisateur local ou d'une affectation de rôle pour un utilisateur vCenter
Solution : désactivez le compte utilisateur à supprimer.

Problèmes avec vShield App

Si vCenter Server devient non disponible lors de la mise à niveau de vShield App, la mise à niveau échoue et le lien de mise à jour n'est pas disponible
Consultez la rubrique Update link not available during vShield App upgrade.

Problèmes avec vShield Edge

Impossible de modifier un module d'installation VPN-Plus SSL
Lorsque vous modifiez un module d'installation VPN-Plus SSL, les modifications ne sont pas appliquées au module.
Solution : Suivez les étapes ci-dessous :

  1. Supprimez le module d'installation au lieu de l'éditer et créez un nouveau module d'installation avec d'autres paramètres.
  2. Si un client VPN SSL est installé sur l'ordinateur, supprimez-le.
  3. Redémarrez l'ordinateur.
  4. Installez le nouveau module d'installation.

 

Impossible de configurer différents certificats pour deux fonctions différentes
Impossible de configurer différents certificats pour deux fonctions différentes. Par exemple, vous ne pouvez pas utiliser un certificat pour IPsec et un autre certificat pour VPN SSL.
Solution : utilisez le même certificat pour les fonctions, puis modifiez le certificat pour l'une des fonctions.

Impossible de créer une demande de signature de certificat (CSR) de 512/1 024 bits si vShield Manager est mis à niveau vers la version 5.1.x alors que la version du dispositif Edge est toujours 5.0.2
Lorsque vShield Manager est mis à niveau vers la version 5.1.x alors que la version du dispositif Edge est toujours 5.0.2, vous ne pouvez pas créer une demande de signature de certificat d'une taille de 512/1 024 bits.
Solution : Créez une demande de signature de certificat de 2 048/3 072 bits.

Problèmes résolus

Le problème suivant a été résolu dans la version 5.1.4.3.

  • Dispositifs NSX exposés à la vulnérabilité de sécurité BASH Shellshock
    Ce correctif met à jour les bibliothèques Bash des dispositifs NSX pour résoudre plusieurs problèmes de sécurité critiques, généralement appelés Shellshock. Le projet Common Vulnerabilities and Exposures (cve.mitre.org) a attribué les noms CVE-2014-6271, CVE-2014-7169, CVE-2014-7186 et CVE-2014-7187 à ces problèmes.
    Pour corriger cette vulnérabilité, vous devez mettre à niveau tous les composants vShield. Pour effectuer la mise à niveau, suivez les instructions du Guide d'installation et de mise à niveau de vShield .

Le problème suivant a été résolu dans la version 5.1.4.2.

  • Cette version contient un correctif Edge qui corrige une vulnérabilité susceptible d'entraîner la divulgation d'informations critiques.

Les problèmes suivants ont été résolus dans la version 5.1.4.1.

Les problèmes suivants ont été résolus dans la version 5.1.4.

  • La faille de sécurité OpenSSL CVE-2014-0160/CVE-2014-0346 (Heartbleed) applicable aux versions d'OpenSSL antérieures à 1.0.1 g entraîne une fuite du contenu de la mémoire du serveur vers le client, et inversement
  • Les machines virtuelles perdent la connectivité réseau
  • vShield Manager ne parvient pas à s'afficher après la mise à niveau de la version 5.1.2a vers la version 5.1.3 avec Cisco N1k
  • L'ajout d'un hôte ESX 5.1 à un système vCenter 5.5 exécutant un service NetX ne parvient pas à installer un vib de chemin d'accès rapide
  • Le service NTPD en cours d'exécution sur vShield Manager expose les variables NTP
  • Pour prendre en charge le déploiement d'un dispositif vShield Networking and Security sur NFS ou SAN, il est nécessaire d'augmenter la temporisation de la couche bloc scsi
  • vShield 5.1.3 tente de charger le vib de chemin d'accès rapide 5.5 dans un environnement vSphere 5.1
  • Un problème de rotation des journaux vShield App entraîne une utilisation de disque de 100 %
  • Le problème de rotation des journaux entraîne une utilisation de disque de 100 % sur la machine virtuelle vShield Edge secondaire
  • L'état des protocoles HTTP/HTTPS de l'équilibrage de charge est incohérent
  • Le débit réseau est faible dans l'environnement vShield
  • ISEC 8 : les chés de chiffrement sont stockées dans le code source
  • vShield Manager présente un risque de violation en raison du renforcement insuffisant des chiffrements de serveur Web
  • Diverses vulnérabilités XSS ont été détectées dans vShield 5.1.2

Les problèmes suivants ont été résolus dans la version 5.1.3.

  • vShield Manager ne parvenait pas à s'afficher après la mise à niveau de la version 5.1.2a vers la version 5.1.3 avec Cisco N1k
  • L'ajout d'un hôte ESX 5.1 à un système vCenter 5.5 exécutant un service NetX ne parvient pas à installer un vib de chemin d'accès rapide à partir de vShield
  • Après avoir été déplacées entre des vApp, les machines virtuelles protégées par vShield App n'ont plus de connectivité réseau
  • Le débit réseau est faible dans un environnement vShield comportant un grand nombre de règles L2, chacune d'elles contenant des groupes de sécurité MAC
  • Impossible d'importer deux certificats d'autorité de certification racine intermédiaires dans vShield Manager version 5.1.1.
  • Amélioration du provisionnement des règles depuis la mise à niveau vers la version 5.1.2a.
  • Le CPU de vShield Manager indique une utilisation de 90 % car tous les threads du DCN bloquent lors du vidage des objets dans la transaction pour les grands inventaires.
  • La valeur du délai d'expiration TCP Edge peut être configurée à l'aide des API REST dans la version 5.1.3.
  • vShield Manager se heurte à une alerte de noyau lorsque le stockage sur lequel il est exécuté rencontre des problèmes ou n'est pas disponible en raison d'une valeur de délai d'expiration de disque basse. La nouvelle valeur est définie sur 120 secondes.
  • Les mises à jour des regroupements d'adresses MAC (mac-set) ne sont pas appliquées pour les groupes de ports membres des groupes de sécurité.
  • Les demandes de signature de certificat sont générées avec la valeur NULL dans les champs Nom de la ville et Nom de l'état.
  • Si la licence vCloud Director « vCloud Networking and Security - Networking for VCD » est utilisée, la création d'un réseau vDC d'organisation d'isolation échoue avec l'erreur suivante : « VSM response error (214): Not licensed for Entity : vcloud-netsec feature : vxlan : add on : ».
  • Les machines virtuelles perdent la connectivité réseau après avoir été migrées à l'aide de vMotion à partir d'un hôte ESXi sans vShield App vers un hôte ESXi avec vShield App
  • L'installation de vShield App échoue car vShield Manager envoie des UUID VNIC non valides dans un message VMInfo.
  • Les machines virtuelles ne parviennent pas à rejoindre le réseau et/ou à obtenir une adresse DHCP peu de temps après avoir été migrées à l'aide de vMotion. Une synchronisation forcée est requise pour qu'elles puissent obtenir une adresse DHCP.
  • La connectivité à des produits de transfert de traitement antivirus tiers est affectée lorsque vShield App est installé sur le même hôte ESXi.
  • Les machines virtuelles ne parviennent parfois pas à rejoindre le réseau peu de temps après avoir été migrées à l'aide de vMotion.
  • Le provisionnement des règles de pare-feu prend beaucoup de temps.
  • Le trafic se bloquait pour les machines virtuelles disposant de paquets avec des codes de fin Ethernet raccourcis.
  • vShield App bloque le trafic même si aucune règle n'est définie ou si toutes les règles sont définies sur Autoriser lorsque vSA ne peut pas communiquer entre les composants d'infrastructure clé en raison d'une mauvaise configuration utilisateur, par exemple en cas d'une combinaison de l'arrêt de vSM et/ou vSA, de la déconnexion des vNIC de vSA et/ou de l'arrêt de l'hôte ESXi entraînant un manque de synchronisation
  • vSA se heurte à une alerte de noyau lorsque le stockage sur lequel il est exécuté rencontre des problèmes, ou s'il n'est pas disponible en raison d'une valeur de délai d'expiration de disque basse. La nouvelle valeur de délai d'expiration de disque est définie sur 180 secondes.
  • Les machines virtuelles sur un vDS perdent leur connectivité réseau suite au déplacement d'un hôte ESXi d'un cluster à un autre.
  • Les machines virtuelles déplacées d'un objet vCenter Server à un autre, tel qu'une vApp, un cluster ou un pool de ressources, n'héritent pas des règles de pare-feu appliquées à l'objet cible.
  • L'appliance vShield App redémarre lorsqu'une large plage d'adresses IP (par exemple, toute la classe A) est utilisée pour définir une règle.
  • Le trafic est abandonné en raison de l'expiration de sessions à des intervalles incorrects.
  • Flow Monitoring indique une source et une destination inversées pour certains types de trafic provenant de sources physiques.
  • Les groupes de sécurité peuvent être supprimés par inadvertance lors de la publication d'une règle de pare-feu si cette règle a été republiée à plusieurs reprises.
  • La publication de règles de pare-feu Ethernet (L2) échoue lorsque de grands MACsets sont utilisés.
  • Impossible d'ajouter l'adresse IP virtuelle (VIP) de l'équilibrage de la charge à vShield Edge si le serveur RSA ACE est également en cours d'exécution.
  • L'authentification RSA échoue après avoir appliqué les modifications de configuration vShield Edge, comme le redéploiement, la mise à niveau ou un événement HA.
  • Le client Mac pour VPN SSL ne peut pas se connecter lorsque le mot de passe approche du délai d'expiration configuré dans la règle de mot de passe.
  • Les instances de vShield Edge configurées en mode HA se heurtent simultanément à une alerte de noyau.
  • Le service DHCP de vShield Edge ne fonctionne pas sur une VNIC sur laquelle deux adresses IP et sous-réseaux distincts sont définis avec un sous-réseau, tel que 0.0.0.0/32.
  • Les deux instances de vShield Edge d'une paire HA passent en mode actif.
  • vShield Edge ne parvient pas à rétablir les tunnels VPN IPSEC abandonnés après avoir rencontré une condition de mémoire insuffisante.
  • La mise à niveau de vShield Edge échoue si un pool de ressources sur lequel vShield Edge a été initialement déployé n'est plus disponible.
  • Les instances vShield Edge sur lesquelles HA est activé et qui utilisent les services VPN SSL indiquent une utilisation de CPU élevée et basculent plusieurs fois dans un petit laps de temps.
  • La configuration des liaisons statiques DHCP dans l'interface utilisateur est affichée comme étant vide pour les instances vShield Edge connectées à un câble virtuel.
  • Débit faible et performances basses rencontrés avec vShield Edge.
  • Option ajoutée pour déployer 4 vCPU vShield Edge.
  • Problèmes de chemin d'accès aux données lors de l'utilisation d'un tunnel VPN SSL L2.
  • La règle SNAT sur un tunnel VPN vSE L2 empêche les machines virtuelles situées derrière vSE d'atteindre des adresses IP publiques.
  • L'appliance vShield Edge ne prend pas en charge l'enregistrement des vidages de mémoire. Commande debug crashdump ajoutée à l'interface de ligne de commande.
  • Les tunnels IPsec sont régulièrement abandonnés lorsque PFS est activé.
  • La configuration ou la modification de la méthode de persistance de l'équilibrage de la charge dans l'interface utilisateur ne parvient pas à appliquer les modifications.
  • L'équilibrage de la charge se bloque lorsque la méthode de persistance est définie sur SSL_SESSION_ID.
  • L'installation du client VPN SSL échoue sur OSX 10.9 (Mavericks).
  • Comportement incohérent entre l'interface utilisateur et REST lors de l'utilisation des groupes de sécurité dans les règles de pare-feu.
  • Les workflows de configuration, d'installation et de mise à niveau de vShield Edge signalent ces erreurs.
  • Une réponse non valide a été reçue d'un agent VIX.
  • L'agent VIX n'est is pas connecté à VC.
  • Les tunnels IPsec avec mode de certificat ne peuvent pas être établis.