vCloud Networking and Security 5.5.2 | 2014 年 4 月 16 日 | 内部版本 1740418

vCloud Networking and Security 5.5.2 版本取代了 5.5.1 版本。

发行说明内容

本发行说明包含以下主题:

新增功能

vCloud Networking and Security 5.5.2 版本包括 OpenSSL 安全问题 CVE-2014-0160/CVE-2014-0346 (Heartbleed) 缺陷的修复程序。有关详细信息,请参见 对 OpenSSL 安全问题 CVE-2014-0160/CVE-2014-0346 的响应

使用 vCloud Networking and Security 5.5.1 的客户必须立即升级到 5.5.2。

系统要求和安装

有关系统要求和安装说明的信息,请参见 《vShield 安装和升级指南》  

要升级到此版本,请按照下面的步骤操作。

  1. 将您环境中的 vShield Manager 以及所有 vShield App 和 vShield Edge 虚拟机升级到 vCloud Networking and Security 5.5.2 版本。有关说明,请参见 《vShield 安装和升级指南》 中的“升级 vShield”
  2. 如果使用 SSL VPN,请通过执行下列步骤更改 SSL VPN 使用的证书和密钥。
    1. 添加新服务器证书。
      1. 在 vSphere Client 中,选择 [清单] > [主机和群集]。
      2. 从清单面板中选择一个数据中心资源。
      3. 单击 [网络虚拟化] 选项卡,然后单击 [Edge] 链接。
      4. 双击一个 vShield Edge,然后单击 [配置] 选项卡。
      5. 单击 [证书] 链接。
      6. 单击 [添加] 图标,然后选择 [证书]。
      7. 粘贴证书内容和专用密钥。
      8. 单击 [确定]
    2. 删除旧服务器证书。
      1. 选择旧证书,然后单击 [删除] 图标。
      2. 单击 [确定]。
    3. 配置 SSL VPN 以与新证书配合使用。
      1. 单击 [SSL VPN-Plus] 选项卡。
      2. 在 [配置] 面板中,单击 [服务器设置],然后单击 [更改]。
      3. 从“服务器证书”表中选择新服务器证书,然后单击 [确定]。
    4. 请联系您的证书提供商以撤销旧证书。
  3. 从您的浏览器和操作系统中移除对旧证书的信任。此外,还需确保为您的系统启用吊销检查。
  4. 更改 SSL VPN 密码。有关说明,请参见 《vShield 管理指南》 中的“管理 VPN 服务”

已知问题

下列已知问题是通过严格测试而发现的,可帮助您了解在此版本中可能遇到的某些行为。

已知问题分为如下类别:

一般问题

无法为已登录用户添加或编辑角色
如果为已登录用户添加或编辑角色,用户会话将会超时。
解决办法:为已登录用户做出任何角色更改之后,用户必须注销,然后重新登录。

如果在物理主机上启用了嵌套 ESX 支持,则物理 ESXi-5.x 上的 SVM 部署将失败
如果在物理主机上启用了嵌套 ESX 支持,则将显示 vShield SVM 的虚拟化 Intel VT/EPT 错误。
解决办法:无。

如果指定的备份目录不存在,则数据不会进行备份
如果在备份 vShield Manager 数据时指定的目录无效,则不会创建备份文件。
解决办法:确保备份目录位于 FTP 服务器上。

vShield Manager 问题

vShield Manager 升级失败并显示错误消息
当 vShield Manager 从 4.1 升级到 5.0,再升级到 5.1 时,vShield Manager 无法连接到 vCenter Server,且 UI 显示内部服务器错误。
解决办法:重新输入 vCenter Server 凭据。如果连接未恢复,请重新引导 vShield Manager。

尽管输入的端口格式正确,但仍然显示“数据格式无效 (Invalid Data Format)”错误消息
添加/创建服务时,尽管输入的端口格式正确,但仍然显示“数据格式无效 (Invalid Data Format)”错误消息。当输入的端口数量超过 15 个端口的最大限制时,可能会发生此问题。
解决办法:如果服务使用的端口超过 15 个,请创建多个服务。

用户必须注销才能查看已修改或添加的角色
用户在已登录到会话的状态下添加或修改其角色后,会话并不反映对角色所做的更改。
解决办法:注销后重新登录即可查看更新的角色分配。

vShield App 问题

恢复到旧防火墙配置之后,无法从 Flow Monitoring 表添加防火墙规则
加载旧防火墙配置之后,无法从 Flow Monitoring 表添加规则。这是因为检测到流的规则可能不再属于当前防火墙配置。

如果在 vShield App 升级过程中 vCenter Server 不可用,则升级将失败且 Update 链接也将不可用
请参见 vShield App 升级过程中 Update 链接不可用

主机上安装了 vShield App 时,无法准备群集
主机上安装了 vShield App 时,无法成功为 VXLAN 准备群集,因为这种情况下主机无法进入维护模式。
解决办法:通过手动操作使主机进入维护模式。手动触发维护模式后,vShield App 设备将关闭,此时将允许继续准备群集。群集准备完毕后,主机将退出维护模式,vShield App 设备将继续正常运行。

在现有虚拟线路中添加新虚拟机时,将不会应用以源/目标作为虚拟线路的防火墙规则
如果预先配置的防火墙规则包含源/目标中的虚拟线路,则添加到该虚拟线路中的新虚拟机不会应用这些规则
解决办法:将新虚拟机添加到虚拟线路后,在该虚拟线路上重新发布防火墙配置。

vShield Edge 问题

SSL 用户的密码更改不起作用
如果您的环境中具有 vShield Manager 5.5.1 和 vShield Edge 5.5.0,[下次登录时更改密码] 选项则不会更改用户的密码。未显示错误,但用户无法使用新密码进行登录。
解决办法:将 vShield Edge 升级到 5.5.1。

如果 vShield Manager 已升级至 5.1.3 而 Edge 仍为 5.0.2,将无法创建 CSR/证书
当 vShield Manager 升级至 5.1.3 而 Edge 为较低版本时,无法创建大小为 512/1024 位的 CSR
解决办法:无。

Service Insertion 问题

无法将服务配置文件绑定到网络
无法将服务配置文件绑定到任何可用网络。
解决办法:重新引导 vShield Manager。

已解决的问题

以下问题已在 5.5.2 版本中解决。

适用于 OpenSSL 1.0.1 pre-g 的 OpenSSL 安全问题 CVE-2014-0160/CVE-2014-0346 (Heartbleed) 导致从服务器到客户端的内存内容泄露,反之亦然

以下问题已在 5.5.1 版本中解决。

  • UI 不指示 vCenter 密码已过期
  • 某个还原操作失败后,备份/还原操作不起作用
  • 执行还原操作时,DNS 设置保持不变
  • 如果在以太网规则中使用虚拟网卡,则无法置备防火墙
  • 无法在具有单个服务的现有防火墙规则中添加多个服务
  • 无法为两项不同的功能配置不同的证书
  • VXLAN 虚拟线路名称不能包括特殊字符
  • 在将 ESX 升级到 5.5 之后需要重新引导
  • 主机升级到版本 5.5 后无法添加 VXLAN 虚拟线路
  • 使用证书时会显示一个错误
  • 使用证书创建应用程序配置文件时会显示一个错误,并且 UI 会话将终止。但用户设置会成功应用,并且不会对应用程序配置文件配置产生任何功能上的影响
  • NetX 5.1 服务与 vCloud Networking and Security 5.5 不兼容