Versionshinweise zu VMware vCloud Networking and Security 5.5.3.1

vCloud Networking and Security 5.5.3.1 | 3. Oktober 2014 | Build 2175697

 

Inhalt dieser Versionshinweise

Diese Versionshinweise decken die folgenden Themen ab:

Neuigkeiten

vCloud Networking and Security 5.5.3.1 enthält Patches für alle vCloud Networking and Security-Appliances. Diese Patches beheben die mit BASH Shellshock entstandene Sicherheitslücke. VMware empfiehlt die Ausführung eines Upgrades auf diese Version.

Sie können von den Versionen 5.1.x, 5.1.4.x und 5.5x ein Upgrade auf diese Version ausführen.

Systemanforderungen und Installation

Weitere Informationen über Systemanforderungen und Installations- oder Upgrade-Anweisungen finden Sie im Installations- und Upgrade-Handbuch für vShield .

Bekannte Probleme

Die bekannten Probleme gliedern sich in folgende Gruppen:

Upgrade-Probleme

Upgrade oder Deinstallation von vShield Endpoint wird abgebrochen mit dem Fehler Bei der Installation von vShield Endpoint tritt ein Fehler während der Deinstallation von vib auf:Interner Serverfehler
Das Upgrade bzw. die Deinstallation von vShield Endpoint wird mit einem Fehler abgebrochen. Die Deinstallation von vib über die ESXi-Befehlszeile wird ebenfalls mit dem folgenden Fehler abgebrochen:
[InstallationError]
Fehler beim Ausführen von rm /tardisks/epsec-mu.v00:
Rückgabecode: 1
Ausgabe: rm: '/tardisks/epsec-mu.v00' kann nicht entfernt werden: Gerät oder Ressource ist ausgelastet
Eine Fortsetzung des Vorgangs ist nicht sicher. Starten Sie den Host sofort neu, um das unvollständige Update zu verwerfen. Weitere Informationen finden Sie in der Protokolldatei.

Problemumgehung: Befolgen Sie die unten beschriebenen Schritte.

  1. Melden Sie sich bei der ESXi-CLI an.
  2. Verschieben Sie in der Datei /bootbank/boot.cfg den Eintrag epsec-mu.v00 hinter den Eintrag sb.v00.
    Als Trennzeichen in den Moduleinträgen in boot.cfg wird --- verwendet. Nach Ausführen der Änderung sollten die Einträge also so aussehen: sb.v00 --- epsec-mu.v00.
  3. Speichern Sie die Datei /bootbank/boot.cfg.
  4. Versetzen Sie den Host in den Wartungsmodus und starten Sie ihn dann vom vCenter Web Client aus neu.
  5. Führen Sie die Installation bzw. das Upgrade von vShield Endpoint durch.

 

Allgemeine Probleme

Wenn sich eine vNIC in einer in einem Netzwerk erstellten Sicherheitsgruppe befindet und die zugehörige virtuelle Maschine in ein anderes Netzwerk verschoben wird, kann die Sicherheitsgruppe nicht über die Benutzeroberfläche bearbeitet werden und die vNIC bleibt weiterhin ein Mitglied der Sicherheitsgruppe
Umgehung: Entfernen Sie die vNIC mit dem folgenden REST-Aufruf aus der Sicherheitsgruppe:
DELETE https:/<vsm-ip>/api/2.0/services/securitygroup/<Sicherheitsgruppen-ID>/members/<vNicId>
Anschließend können Sie die Sicherheitsgruppe in der Benutzeroberfläche bearbeiten.

Das Vorbereiten eines Clusters für VXLAN führt dazu, dass ESXi den Verlust der Netzwerkverbindung auf dem vSwitch meldet
Das Vorbereiten eines Clusters für VXLAN führt zu einem vorübergehenden Verlust der Netzwerkverbindung, wenn der Netzwerkkartentreiber deinstalliert und neu installiert wird, um RSS in dem VXLAN-fähigen Cluster zu aktivieren. Dieses Problem tritt nur bei Verwendung von Intel ixgpbe-Treibern auf.
Problemumgehung: Keine.

Anmelden bei vShield Manager nicht möglich, wenn der Benutzername CJK- oder erweiterte ASCII-Zeichen enthält
Umgehung: Legen Sie die Browser-Codierung auf UTF-8 fest.

SVMs-Bereitstellung auf physischen ESXi 5.x schlägt fehl, wenn verschachtelter ESX-Support auf physischen Hosts aktiviert ist
Wenn verschachtelter ESX-Support auf physischen Hosts aktiviert ist, wird ein virtualisierter Intel VT/EPT-Fehler für vShield SVM angezeigt.
Problemumgehung: Keine.

Daten werden nicht gesichert, wenn das angegebene Sicherungsverzeichnis nicht vorhanden ist
Wenn Sie beim Sichern von vShield Manager-Daten ein ungültiges Verzeichnis angeben, wird keine Sicherungsdatei erstellt.
Problemumgehung: Stellen Sie sicher, dass das Sicherungsverzeichnis auf dem FTP-Server vorhanden ist.

Probleme bei vShield Manager

Beim Konfigurieren von Lookup Service auf NSX Manager kann zwischen dem Domänen- und dem Benutzernamen kein umgekehrter Schrägstrich (Backslash) verwendet werden
Umgehung: Verwenden Sie zwischen dem Benutzer- und dem Domänennamen @ anstelle des umgekehrten Schrägstrichs (\). Geben Sie also Benutzer@Domäne anstelle von Domäne\Benutzer ein.

Fehler "Ungültiges Datenformat" wird trotz der Eingabe des korrekten Portformats angezeigt
Beim Hinzufügen/Erstellen eines Dienstes erhalten Sie möglicherweise einen Fehler "Ungültiges Datenformat", obwohl die Ports im korrekten Format eingegeben wurden. Dies kann vorkommen, wenn die Anzahl der eingegebenen Ports die maximal zulässige Anzahl von 15 Ports überschreitet.
Problemumgehung: Wenn der Dienst mehr als 15 Ports verwendet, erstellen Sie mehrere Dienste.

Benutzer muss sich abmelden, um die geänderte oder hinzugefügte Rolle zu sehen
Wenn ein Benutzer seine Rolle hinzufügt oder ändert, während er sich in einer Sitzung befindet, zeigt die Sitzung nicht die Rollenänderungen an.
Problemumgehung: Melden Sie sich ab und wieder an, um die aktualisierten Rollenzuweisungen anzuzeigen.

Probleme bei vShield App

Eine Firewallregel aus Flow Monitoring-Tabelle kann nach Zurücksetzen auf eine ältere Firewallkonfiguration nicht hinzugefügt werden
Nachdem Sie eine ältere Firewallkonfiguration geladen haben, ist es nicht möglich, eine Regel aus der Flow Monitoring-Tabelle hinzuzufügen. Grund dafür ist, dass die Regel, für die der Flow erkannt wurde, nicht mehr zur aktuellen Firewallkonfiguration gehört.
Problemumgehung: Keine.

Wenn der vCenter Server während des vShield App-Upgrade-Vorgangs nicht mehr verfügbar ist, schlägt das Upgrade fehl und der Link "Aktualisieren" ist nicht verfügbar.
Siehe Link "Aktualisieren" nicht verfügbar während des vShield App-Upgrades.

Firewallregeln mit virtueller Leitung als Quelle/Ziel werden nicht angewendet, wenn eine neue VM zur bestehenden virtuellen Leitung als Quelle/Ziel hinzugefügt wird
Wenn vorkonfigurierte Firewallregeln virtuelle Leitungen als Quelle/Ziel enthalten, werden diese Regeln nicht auf die neue VM angewendet, die zur virtuellen Leitung hinzugefügt wird
Umgehung: Veröffentlichen Sie die Firewallkonfiguration nach dem Hinzufügen der neuen VM zur virtuellen Leitung auf der virtuellen Leitung neu.

Probleme bei vShield Edge

SSL VPN-Plus-Installationspaket kann nicht geändert werden
Beim Bearbeiten eines SSL VPN-Plus-Installationspakets werden die Änderungen nicht auf das Paket angewendet.
Problemumgehung: Befolgen Sie die unten beschriebenen Schritte:

  1. Anstatt das Installationspaket zu bearbeiten, löschen Sie es und erstellen ein neues Installationspaket mit den geänderten Parametern.
  2. Wenn auf Ihrem Computer ein SSL VPN-Client installiert ist, löschen Sie ihn.
  3. Starten Sie den Computer neu.
  4. Installieren Sie das neue Installationspaket.

 

Hostname für DHCP-Bindung kann keine CJK-Zeichenfolgen oder Zeichenfolgen mit erweiterten ASCII-Zeichen enthalten
Wenn das Feld „Hostname“ im Fenster „DHCP-Bindungen“ CJK-Zeichenfolgen oder Zeichenfolgen mit erweiterten ASCII-Zeichen enthält, tritt beim Veröffentlichen der Bindung ein Fehler auf.
Problemumgehung: Geben Sie in das Feld „Hostname“ nur ASCII-Zeichen ein

Signaturanforderung/Zertifikat kann nicht erstellt werden, wenn ein Upgrade von vShield Manager auf 5.1.3 durchgeführt wird und Edge noch immer in der Version 5.0.2 vorhanden ist
Wenn ein Upgrade von vShield Manager auf 5.1.3 durchgeführt wird und Edge in einer älteren Version vorhanden ist, können Sie keine Signaturanforderung der Größe 512/1024 Bit erstellen
Umgehung: Keine.

Service Insertion-Probleme

Dienstprofil kann nicht an Netzwerk angebunden werden
Es ist nicht möglich, ein Dienstprofil an ein verfügbares Netzwerk anzubinden.
Problemumgehung: Starten Sie vShield Manager neu.

Probleme bei Data Security

Beim Festlegen der Filter für die Data Security-Prüfung kann „Datum der letzten Änderung“ nicht aus dem Kalender ausgewählt werden
Während des Versuchs, das Vor-Datum für die Ausführung einer Data Security-Prüfung auszuwählen, ist der Kalender grau dargestellt.
Problemumgehung: Ändern Sie in Ihrem Browser die Spracheinstellung auf „en-US“ und wählen Sie dann das Datum im Feld Vor aus.

Probleme bei Service Composer

Sicherheitsrichtlinienname kann insgesamt 229 Zeichen enthalten
Umgehung: Keine.

Behobene Probleme

Die folgenden Probleme wurden in der Version 5.5.3.1 behoben.

  • NSX-Appliances sind durch BASH Shellshock-Sicherheitslücke gefährdet
    Dieser Patch aktualisiert die Bash-Bibliotheken in den NSX-Appliances, um mehrere kritische Sicherheitslücken zu schließen, die gemeinhin als Shellshock bezeichnet werden. Von dem Projekt „Common Vulnerabilities and Exposures“ (cve.mitre.org) wurden diesen Problemen die Namen CVE-2014-6271, CVE-2014-7169, CVE-2014-7186 und CVE-2014-7187 zugewiesen.
    Um diese Sicherheitslücke zu schließen, müssen Sie alle vCNS-Komponenten aktualisieren. Folgen Sie zum Aktualisieren den Anweisungen im Installations- und Upgrade-Handbuch für vShield .

Das folgende Problem wurde in der Version 5.5.3 behoben.

  • Änderung des Kennworts für SSL-Benutzer funktioniert nicht
    Wenn Sie vShield Manager 5.5.1 und vShield Edge 5.5.0 in Ihrer Umgebung verwenden, ändert die Option Kennwort bei nächster Anmeldung ändern das Kennwort für einen Benutzer nicht.