vCloud Networking and Security 5.1.4.1 | 2014 年 7 月 1 日| 内部版本 1912202

 

vCloud Networking and Security 5.1.4.1 版本取代了 5.1.4 版本。

发行说明内容

本发行说明包含以下主题:

新增功能

vCloud Networking and Security 5.1.4.1 版本包括 OpenSSL 已知问题 CVE-2014-0224、CVE-2014-0198、CVE-2010-5298 和 CVE-2014-3470 的修复内容,以及 已解决的问题部分中记录的其他缺陷修复内容。

使用 vCloud Networking and Security 5.1.4 或更早版本的客户必须立即升级到 5.1.4.1。

系统要求和安装

有关系统要求和安装说明的信息,请参见《 vShield 安装和升级指南 

要升级到此版本,请按照下面的步骤操作。

  1. 将您环境中的 vShield Manager 以及所有 vShield App 和 vShield Edge 虚拟机升级到 vCloud Networking and Security 5.1.4.1 版本。有关说明,请参见 《vShield 安装和升级指南》  中的“升级 vShield”  
    注意:如果要使用 SSL VPN,则必须在升级到 5.1.4.1 之后卸载 SSL VPN 客户端,然后重新安装它。要安装新客户端,请访问 https:// ssl-vpn-ip-address,其中, ssl-vpn-ip-address 是分配给 Edge 接口的上行链路 IP 地址,SSL VPN 服务在经过配置后会侦听该接口。
  2. 只有在从 vShield 5.1.3 或更早版本升级时,才应执行此步骤。
    通过执行下列步骤更改 SSL VPN 使用的证书和密钥。
    1. 添加新服务器证书。
      1. 在 vSphere Client 中,选择 [清单] > [主机和群集]。
      2. 从清单面板中选择一个数据中心资源。
      3. 单击 [网络虚拟化] 选项卡,然后单击 [Edge] 链接。
      4. 双击一个 vShield Edge,然后单击 [配置] 选项卡。
      5. 单击 [证书] 链接。
      6. 单击 [添加] 图标,然后选择 [证书]。
      7. 粘贴证书内容和专用密钥。
      8. 单击 [确定]
    2. 删除旧服务器证书。
      1. 选择旧证书,然后单击 [删除] 图标。
      2. 单击 [确定]。
    3. 配置 SSL VPN 以与新证书配合使用。
      1. 单击 [SSL VPN-Plus] 选项卡。
      2. 在 [配置] 面板中,单击 [服务器设置],然后单击 [更改]。
      3. 从“服务器证书”表中选择新服务器证书,然后单击 [确定]。
    4. 请联系您的证书提供商以撤销旧证书。
  3. 只有在从 vShield 5.1.3 或更早版本升级时,才应执行此步骤。
    从您的浏览器和操作系统中移除对旧证书的信任。此外,还需确保为您的系统启用吊销检查。
  4. 更改 SSL VPN 密码。有关说明,请参见 《vShield 管理指南》  中的“管理 VPN 服务”  

已知问题

下列已知问题是通过严格测试而发现的,可帮助您了解在此版本中可能遇到的某些行为。

已知问题分为如下类别:

升级问题

升级后,必须卸载并重新安装 SSL VPN 客户端
升级到 vShield 5.1.4.1 后,必须卸载 SSL VPN 客户端并进行重新安装。要安装最新客户端,请访问 https:// ssl-vpn-ip-address,其中, ssl-vpn-ip-address 是分配给 Edge 接口的上行链路 IP 地址,SSL VPN 服务在经过配置后会侦听该接口。

vShield Manager 问题

vShield Manager 使用 IP 地址(而不是 FQDN)注册到 vCenter
在向 vCenter Server 注册时,vShield Manager UI 不接受完全限定域名 (FQDN)。
解决办法:使用 IP 地址,而不是 FQDN。

vShield Manager 升级失败并显示错误消息
当 vShield Manager 从 4.1 升级到 5.0,再升级到 5.1 时,vShield Manager 无法连接到 vCenter Server,且 UI 显示内部服务器错误。
解决办法:重新输入 vCenter Server 凭据。如果连接未恢复,请重新引导 vShield Manager。

尽管输入的端口格式正确,但仍然显示“数据格式无效 (Invalid Data Format)”错误消息
添加/创建服务时,尽管输入的端口格式正确,但仍然显示“数据格式无效 (Invalid Data Format)”错误消息。当输入的端口数量超过 15 个端口的最大限制时,可能会发生此问题。
解决办法:如果服务使用的端口超过 15 个,请创建多个服务。

用户必须注销才能查看已修改或添加的角色
用户在已登录到会话的状态下添加或修改其角色后,会话并不反映对角色所做的更改。
解决办法:注销后重新登录即可查看更新的角色分配。

删除本地用户或 vCenter 用户的角色分配时显示“内部服务器错误 (Internal server error)”消息
解决办法:禁用要删除的用户帐户。

vShield App 问题

如果在 vShield App 升级过程中 vCenter Server 不可用,则升级将失败且 Update 链接也将不可用
请参见 vShield App 升级过程中 Update 链接不可用

主机上安装了 vShield App 时,无法准备群集
主机上安装了 vShield App 时,无法成功为 VXLAN 准备群集,因为这种情况下主机无法进入维护模式。
解决办法:通过手动操作使主机进入维护模式。手动触发维护模式后,vShield App 设备将关闭,此时将允许继续准备群集。群集准备完毕后,主机将退出维护模式,vShield App 设备将继续正常运行。

vShield Edge 问题

无法为两项不同的功能配置不同的证书
无法为两项不同的功能配置不同的证书。例如,不能对 IPsec 使用证书 a,而对 SSL VPN 使用证书 b。
解决办法:先对两项功能使用同一证书,然后再更改其中一项功能的证书。

如果已将 vShield Manager 升级到 5.1.x,而 Edge 版本仍然是 5.0.2,则无法创建大小为 512/1024 位的 CSR
如果已将 vShield Manager 升级到 5.1.x,而 Edge 版本仍然是 5.0.2,则无法创建大小为 512/1024 位的 CSR。
解决办法:创建大小为 2048/3072 位的 CSR。

已解决的问题

以下问题已在 5.1.4.1 版本中解决。

以下问题已在 5.1.4 版本中解决。

  • 适用于 OpenSSL 1.0.1 pre-g 的 OpenSSL 安全问题 CVE-2014-0160/CVE-2014-0346 (Heartbleed) 导致从服务器到客户端的内存内容泄露,反之亦然
  • 虚拟机丢失网络连接
  • 使用 Cisco N1k 从 5.1.2a 升级到 5.1.3 之后,vShield Manager 无法启动
  • 将 5.1 ESX 主机添加到正在运行 NetX 服务的 5.5 vCenter 无法安装快速路径 vib
  • 在 vShield Manager 上运行的 NTPD 公开了 NTP 变量
  • 要在 NFS 或 SAN 上支持 vShield Networking and Security 设备部署,应增加 scsi 块层超时时间
  • vShield 5.1.3 尝试在 5.1 vSphere 环境中加载 5.5 快速路径 vib
  • vShield App 记录导致 100% 磁盘使用率的轮换故障
  • 记录在辅助 vShield Edge 虚拟机上导致 100% 磁盘使用率的轮换故障
  • 负载平衡器 HTTP/HTTPS 协议的状态不一致
  • vShield 环境中的网络吞吐量低
  • ISEC 8:加密密钥存储在源代码中
  • 由于 Web 服务器密码强度不够,vShield Manager 可能出现违规问题
  • 在 vShield 5.1.2 中发现各种 XSS 漏洞

以下问题已在 5.1.3 版本中解决。

  • 使用 CiscoN1k 从 5.1.2a 升级到 5.1.3 之后,vShield Manager 未启动
  • 将 5.1 ESX 主机添加到正在运行 NetX 服务的 5.5 vCenter 无法从 vShield 安装快速路径 vib
  • 受 vShield App 保护的虚拟机在 vApp 间移动之后丢失网络连接
  • vShield 环境中的网络吞吐量低,该环境具有大量 L2 规则,每个规则都包含 MAC 安全组
  • 无法在 vShield Manager 版本 5.1.1 中导入两个中间根 CA 证书
  • 升级到版本 5.1.2a 后,规则置备将会增加
  • vShield Manager CPU 的利用率至少为 90%,因为在处理大清单的过程中,所有 DCN 线程由于刷新对象而发生阻塞
  • Edge TCP 闲置超时值可使用 5.1.3 版本的 REST API 进行配置
  • 运行 vShield Manager 的存储发生故障或因较低的磁盘超时值而不可用之后,vShield Manager 将出现内核严重错误。新值已设置为 120 秒。
  • 属于安全组成员的端口组不发生 Mac 地址分组 (mac-set) 更新
  • 生成的证书签名请求的 [城市名称] 和 [省/自治区/直辖市名称] 字段为 NULL
  • 使用 vCloud Director 许可证“vCloud Networking and Security - Networking for VCD”时,无法创建新的隔离组织 VDC 网络,操作将失败并显示错误消息:“VSM 响应错误 (214):实体未获得许可:vcloud-netsec 功能:vxlan :添加于:”("VSM response error (214): Not licensed for Entity : vcloud-netsec feature : vxlan : add on :")。
  • 使用 vMotion 将虚拟机从没有 vShield App 的 ESXi 主机迁移到具有 vShield App 的 ESXi 主机后,虚拟机将断开网络连接
  • 由于 vShield Manager 在 VMInfo 消息中发送无效的虚拟网卡 UUID,导致 vShield App 安装失败
  • 使用 vMotion 迁移虚拟机之后不久,虚拟机将无法连接到网络并/或获得 DHCP 地址。必须强制执行同步才能让虚拟机获得 DHCP 地址
  • 同一 ESXi 主机上安装了 vShield App 时,与第三方防病毒负载转移产品的连接将受到影响
  • 在某些情况下,使用 vMotion 迁移虚拟机之后不久,虚拟机将无法连接到网络
  • 置备防火墙规则需要很长时间
  • 如果虚拟机数据包的以太网尾部被缩短,将会阻止虚拟机的通信流量
  • 如果因最终用户配置错误(如同时关闭 vSM 和/或 vSA 电源、断开 vSA 虚拟网卡连接和/或关闭 ESXi 主机电源,从而造成不同步)而使 vSA 无法在关键基础架构组件之间进行通信,则 vShield App 会阻止流量,即使未设置规则或所有规则均设置为允许的情况下也是如此
  • 运行 vSA 的存储出现故障或者因较低的磁盘超时值而不可用之后,vSA 将出现内核严重错误。新的磁盘超时值已设置为 180 秒。
  • 在群集间移动 ESXi 主机将导致 vDS 上的虚拟机失去网络连接
  • 虚拟机从一个 vCenter Server 对象移至另一对象(如 vApp、群集或资源池)后,并不继承应用于目标对象的防火墙规则
  • 使用较大 IP 范围(例如整个 A 类)定义规则时,vShield App 设备将重新引导
  • 通信因为会话超时的时间间隔不正确而中断
  • 对于来自物理源的某些类型的通信,Flow Monitoring 报告的源和目标位置会发生颠倒
  • 重新发布某个防火墙规则达到一定次数后,再次发布该规则可能会意外删除安全组
  • 使用较大的 MACset 时,发布以太网 (L2) 防火墙规则将失败
  • RSA ACE 服务器运行时,无法向 vShield Edge 添加负载平衡器虚拟 IP (VIP)
  • 应用 vShield Edge 配置更改(如重新部署、升级、HA 事件)后,RSA 身份验证将失败
  • 当密码即将达到密码策略中配置的过期超时值时,SSL VPN 的 Mac 客户端将无法登录
  • 配置为 HA 模式的 vShield Edge 同时出现内核严重错误
  • 如果虚拟网卡上两个独立的 IP 地址和子网使用一个子网定义为 0.0.0.0/32,该虚拟网卡上的 vShield Edge DHCP 功能将不工作
  • 一个 HA 对中的两个 vShield Edge 均进入 Active 模式
  • 遇到内存不足 (OoM) 情况后,vShield Edge 无法重新建立已丢弃的 IPSEC VPN 通道
  • 如果初始部署 vShield Edge 的资源池不再可用,vShield Edge 升级将失败
  • 已启用 HA 的 vShield Edge 在使用 SSL VPN 服务时,将显示 CPU 利用率很高,并在很短时间内发生多次故障转移
  • 在 UI 中,已连接到虚拟线路的 vShield Edge 的 DHCP 静态绑定配置显示为空白
  • vShield Edge 有时会遇到吞吐量和性能低下问题
  • 添加了部署 4-vCPU vShield Edge 的选项
  • 数据通过 SSL L2 VPN 通道时发生数据路径问题
  • vSE L2VPN 通道的 SNAT 规则阻止 vSE 后面的虚拟机访问公共 IP
  • vShield Edge 设备不支持保存核心转储。在 CLI 中添加了 debug crashdump 命令
  • 启用 PFS 后发生频繁丢弃 IPsec 通道的问题
  • 通过 UI 设置或更改负载平衡器保持方法时,无法提交更改
  • 保持方法设置为 SSL_SESSION_ID 时,负载平衡器会崩溃
  • 无法在 OSX 10.9 (Mavericks) 上安装 SSL VPN 客户端
  • 在防火墙规则中使用安全组时,UI 和 REST 之间的行为将不一致
  • vShield Edge 配置/安装/升级工作流报告错误
  • 从 VIX 代理接收到无效响应
  • VIX 代理未连接到 VC
  • 无法建立使用证书模式的 IPsec 通道