VMware vCloud Networking and Security 5.1.4.3 发行说明

vCloud Networking and Security 5.1.4.3 | 2014 年 10 月 3 日 | 内部版本 2174081

发行说明内容

本发行说明包含以下主题:

新增功能

vCloud Networking and Security 5.1.4.3 版本包含所有 vCloud Networking and Security 设备的修补程序。 这些修补程序解决了 BASH Shellshock 安全漏洞。 VMware 建议您升级至此版本。

您可以从 5.1.x 和 5.1.4.x 版本升级至此版本。

系统要求和安装

有关系统要求以及安装或升级说明,请参见 vShield 安装和升级指南》

已知问题

下列已知问题是通过严格测试而发现的,可帮助您了解在此版本中可能遇到的某些行为。

已知问题分为如下类别:

升级问题

升级后,必须卸载并重新安装 SSL VPN 客户端
升级到 vShield 5.1.4.1 后,必须卸载 SSL VPN 客户端并进行重新安装。 要安装最新客户端,请访问 https:// ssl-vpn-ip-address,其中, ssl-vpn-ip-address 是分配给 Edge 接口的上行链路 IP 地址,SSL VPN 服务在经过配置后会侦听该接口。

vShield Manager 问题

vShield Manager 使用 IP 地址(而不是 FQDN)注册到 vCenter
在向 vCenter Server 注册时,vShield Manager UI 不接受完全限定域名 (FQDN)。
解决办法: 使用 IP 地址,而不是 FQDN。

vShield Manager 升级失败并显示错误消息
当 vShield Manager 从 4.1 升级到 5.0,再升级到 5.1 时,vShield Manager 无法连接到 vCenter Server,且 UI 显示内部服务器错误。
解决办法: 重新输入 vCenter Server 凭据。 如果连接未恢复,请重新引导 vShield Manager。

尽管输入的端口格式正确,但仍然显示“数据格式无效 (Invalid Data Format)”错误消息
添加/创建服务时,尽管输入的端口格式正确,但仍然显示“数据格式无效 (Invalid Data Format)”错误消息。 当输入的端口数量超过 15 个端口的最大限制时,可能会发生此问题。
解决办法: 如果服务使用的端口超过 15 个,请创建多个服务。

用户必须注销才能查看已修改或添加的角色
用户在已登录到会话的状态下添加或修改其角色后,会话并不反映对角色所做的更改。
解决办法: 注销后重新登录即可查看更新的角色分配。

删除本地用户或 vCenter 用户的角色分配时显示“内部服务器错误 (Internal server error)”消息
解决办法: 禁用要删除的用户帐户。

vShield App 问题

如果在 vShield App 升级过程中 vCenter Server 不可用,则升级将失败且 Update 链接也将不可用
请参见 vShield App 升级过程中 Update 链接不可用

vShield Edge 问题

无法修改 SSL VPN-Plus 安装软件包
编辑 SSL VPN-Plus 安装软件包不会将更改应用于该软件包。
解决办法: 按照下面的步骤执行操作:

  1. 不编辑软件包,而是将其删除,然后使用已修改参数创建一个新的安装软件包。
  2. 如果计算机上存在 SSL VPN 客户端,请将其删除。
  3. 重新引导计算机。
  4. 安装新的安装软件包。

 

无法为两项不同的功能配置不同的证书
无法为两项不同的功能配置不同的证书。 例如,不能对 IPsec 使用证书 a,而对 SSL VPN 使用证书 b。
解决办法: 先对两项功能使用同一证书,然后再更改其中一项功能的证书。

如果已将 vShield Manager 升级到 5.1.x,而 Edge 版本仍然是 5.0.2,则无法创建大小为 512/1024 位的 CSR
如果已将 vShield Manager 升级到 5.1.x,而 Edge 版本仍然是 5.0.2,则无法创建大小为 512/1024 位的 CSR。
解决办法: 创建大小为 2048/3072 位的 CSR。

已解决的问题

以下问题已在 5.1.4.3 版本中解决。

  • NSX 设备易出现 BASH Shellshock 安全漏洞
    此修补程序会更新 NSX 设备中的 Bash 库以解决多个严重的安全问题,通常称为 Shellshock。 常见漏洞与暴露方案 (cve.mitre.org) 分配给这些问题的标识符为 CVE-2014-6271、CVE-2014-7169、CVE-2014-7186 和 CVE-2014-7187。
    要解决此漏洞,您必须升级所有 vShield 组件。 要进行升级,请遵循 vShield安装和升级指南》中的说明。

以下问题已在 5.1.4.2 版本中解决。

  • 此版本包含 Edge 修补程序,该修补程序解决了可能导致重要信息泄露的漏洞。

以下问题已在 5.1.4.1 版本中解决。

以下问题已在 5.1.4 版本中解决。

  • 适用于 OpenSSL 1.0.1 pre-g 的 OpenSSL 安全问题 CVE-2014-0160/CVE-2014-0346 (Heartbleed) 导致从服务器到客户端的内存内容泄露,反之亦然
  • 虚拟机丢失网络连接
  • 使用 Cisco N1k 从 5.1.2a 升级到 5.1.3 之后,vShield Manager 无法启动
  • 将 5.1 ESX 主机添加到正在运行 NetX 服务的 5.5 vCenter 无法安装快速路径 vib
  • 在 vShield Manager 上运行的 NTPD 公开了 NTP 变量
  • 要在 NFS 或 SAN 上支持 vShield Networking and Security 设备部署,应增加 scsi 块层超时时间
  • vShield 5.1.3 尝试在 5.1 vSphere 环境中加载 5.5 快速路径 vib
  • vShield App 记录导致 100% 磁盘使用率的轮换故障
  • 记录在辅助 vShield Edge 虚拟机上导致 100% 磁盘使用率的轮换故障
  • 负载平衡器 HTTP/HTTPS 协议的状态不一致
  • vShield 环境中的网络吞吐量低
  • ISEC 8: 加密密钥存储在源代码中
  • 由于 Web 服务器密码强化不足,vShield Manager 中可能存在违反行为
  • 在 vShield 5.1.2 中发现各种 XSS 漏洞

以下问题已在 5.1.3 版本中解决。

  • 使用 CiscoN1k 从 5.1.2a 升级到 5.1.3 之后,vShield Manager 未启动
  • 将 5.1 ESX 主机添加到正在运行 NetX 服务的 5.5 vCenter 无法从 vShield 安装快速路径 vib
  • 受 vShield App 保护的虚拟机在 vApp 间移动之后丢失网络连接
  • vShield 环境中的网络吞吐量低,该环境具有大量 L2 规则,每个规则都包含 MAC 安全组
  • 无法在 vShield Manager 版本 5.1.1 中导入两个中间根 CA 证书
  • 升级到版本 5.1.2a 后,规则置备将会增加
  • vShield Manager CPU 的利用率至少为 90%,因为在处理大清单的过程中,所有 DCN 线程由于刷新对象而发生阻塞
  • Edge TCP 闲置超时值可使用 5.1.3 版本的 REST API 进行配置
  • 运行 vShield Manager 的存储发生故障或因较低的磁盘超时值而不可用之后,vShield Manager 将出现内核严重错误。 新值已设置为 120 秒。
  • 属于安全组成员的端口组不发生 Mac 地址分组 (mac-set) 更新
  • 生成的证书签名请求的 [城市名称] 和 [省/自治区/直辖市名称] 字段为 NULL
  • 使用 vCloud Director 许可证“vCloud Networking and Security - Networking for VCD”时,无法创建新的隔离组织 VDC 网络,操作将失败并显示错误消息: “VSM 响应错误 (214): 未获得实体 vcloud-netsec 功能 vxlan 加载项的许可证 (VSM response error (214): Not licensed for Entity : vcloud-netsec feature : vxlan : add on :)”。
  • 使用 vMotion 将虚拟机从没有 vShield App 的 ESXi 主机迁移到具有 vShield App 的 ESXi 主机后,虚拟机将断开网络连接
  • 由于 vShield Manager 在 VMInfo 消息中发送无效的虚拟网卡 UUID,导致 vShield App 安装失败
  • 使用 vMotion 迁移虚拟机之后不久,虚拟机将无法连接到网络并/或获得 DHCP 地址。 必须强制执行同步才能让虚拟机获得 DHCP 地址
  • 同一 ESXi 主机上安装了 vShield App 时,与第三方防病毒负载转移产品的连接将受到影响
  • 在某些情况下,使用 vMotion 迁移虚拟机之后不久,虚拟机将无法连接到网络
  • 置备防火墙规则需要很长时间
  • 如果虚拟机数据包的以太网尾部被缩短,将会阻止虚拟机的通信流量
  • 如果因最终用户配置错误(如同时关闭 vSM 和/或 vSA 电源、断开 vSA 虚拟网卡连接和/或关闭 ESXi 主机电源,从而造成不同步)而使 vSA 无法在关键基础架构组件之间进行通信,则 vShield App 会阻止流量,即使未设置规则或所有规则均设置为允许的情况下也是如此
  • 运行 vSA 的存储出现故障或者因较低的磁盘超时值而不可用之后,vSA 将出现内核严重错误。 新的磁盘超时值已设置为 180 秒。
  • 在群集间移动 ESXi 主机将导致 vDS 上的虚拟机失去网络连接
  • 虚拟机从一个 vCenter Server 对象移至另一对象(如 vApp、群集或资源池)后,并不继承应用于目标对象的防火墙规则
  • 使用较大 IP 范围(例如整个 A 类)定义规则时,vShield App 设备将重新引导
  • 通信因为会话超时的时间间隔不正确而中断
  • 对于来自物理源的某些类型的通信,Flow Monitoring 报告的源和目标位置会发生颠倒
  • 重新发布某个防火墙规则达到一定次数后,再次发布该规则可能会意外删除安全组
  • 使用较大的 MACset 时,发布以太网 (L2) 防火墙规则将失败
  • RSA ACE 服务器运行时,无法向 vShield Edge 添加负载平衡器虚拟 IP (VIP)
  • 应用 vShield Edge 配置更改(如重新部署、升级、HA 事件)后,RSA 身份验证将失败
  • 当密码即将达到密码策略中配置的过期超时值时,SSL VPN 的 Mac 客户端将无法登录
  • 配置为 HA 模式的 vShield Edge 同时出现内核严重错误
  • 如果虚拟网卡上两个独立的 IP 地址和子网使用一个子网定义为 0.0.0.0/32,该虚拟网卡上的 vShield Edge DHCP 功能将不工作
  • 一个 HA 对中的两个 vShield Edge 均进入 Active 模式
  • 遇到内存不足 (OoM) 情况后,vShield Edge 无法重新建立已丢弃的 IPSEC VPN 通道
  • 如果初始部署 vShield Edge 的资源池不再可用,vShield Edge 升级将失败
  • 已启用 HA 的 vShield Edge 在使用 SSL VPN 服务时,将显示 CPU 利用率很高,并在很短时间内发生多次故障转移
  • 在 UI 中,已连接到虚拟线路的 vShield Edge 的 DHCP 静态绑定配置显示为空白
  • vShield Edge 有时会遇到吞吐量和性能低下问题
  • 添加了部署 4-vCPU vShield Edge 的选项
  • 数据通过 SSL L2 VPN 通道时发生数据路径问题
  • vSE L2VPN 通道的 SNAT 规则阻止 vSE 后面的虚拟机访问公共 IP
  • vShield Edge 设备不支持保存核心转储。 在 CLI 中添加了 debug crashdump 命令
  • 启用 PFS 后发生频繁丢弃 IPsec 通道的问题
  • 通过 UI 设置或更改负载平衡器保持方法时,无法提交更改
  • 保持方法设置为 SSL_SESSION_ID 时,负载平衡器会崩溃
  • 无法在 OSX 10.9 (Mavericks) 上安装 SSL VPN 客户端
  • 在防火墙规则中使用安全组时,UI 和 REST 之间的行为将不一致
  • vShield Edge 配置/安装/升级工作流报告错误
  • 从 VIX 代理接收到无效响应
  • VIX 代理未连接到 VC
  • 无法建立使用证书模式的 IPsec 通道