VMware vCloud Networking and Security 5.5.3.1 发行说明

vCloud Networking and Security 5.5.3.1 | 2014 年 10 月 3 日 | 内部版本 2175697

 

发行说明内容

本发行说明包含以下主题:

新增功能

vCloud Networking and Security 5.5.3.1 版本包含所有 vCloud Networking and Security 设备的修补程序。 这些修补程序解决了 BASH Shellshock 安全漏洞。 VMware 建议您升级至此版本。

您可以从 5.1.x、5.1.4.x 和 5.5.x 版本升级至此版本。

系统要求和安装

有关系统要求以及安装或升级说明,请参见 vShield 安装和升级指南》

已知问题

已知问题分为如下类别:

升级问题

vShield Endpoint 升级或卸载失败并显示错误消息 vShield Endpoint 安装在卸载 vib 时遇到错误: 内部服务器错误 (vShield Endpoint installation encountered error while uninstalling vib:Internal server error)
vShield Endpoint 升级/卸载失败并显示错误消息。 从 ESXi 命令行卸载 vib 也失败,并显示以下错误消息:
[安装错误]
运行 rm /tardisks/epsec-mu.v00 时出错:
返回代码: 1
输出: rm: 无法移除“/tardisks/epsec-mu.v00”: 设备或资源繁忙
继续操作不安全。 请立即重新引导主机以放弃未完成的更新。 请参阅日志文件了解详细信息 ([InstallationError] Error in running rm /tardisks/epsec-mu.v00: Return code: 1 Output: rm: can't remove '/tardisks/epsec-mu.v00': Device or resource busy It is not safe to continue. Please reboot the host immediately to discard the unfinished update. Please refer to the log file for more details)。

解决办法: 按照下面的步骤执行操作。

  1. 登录 ESXi cli。
  2. /bootbank/boot.cfg 文件中,将条目 epsec-mu.v00 移动到条目 sb.v00 之后。
    boot.cfg 中的模块条目具有 --- 分隔符。 因此更改后,条目应该如下所示: sb.v00 --- epsec-mu.v00
  3. 保存 /bootbank/boot.cfg 文件。
  4. 将主机置于维护模式,然后从 vCenter Web Client 重新引导主机。
  5. 安装/升级 vShield Endpoint。

 

一般问题

如果 vNIC 位于在网络上创建的安全组中,并且关联的虚拟机移动到其他网络,则无法通过 UI 编辑该安全组,并且该 vNIC 继续作为该安全组的成员
解决办法: 使用以下 REST 调用将该 vNIC 从该安全组中移除
DELETE https:/<vsm-ip>/api/2.0/services/securitygroup/<securityGroupId>/members/<vNicId>
然后,即可以在 UI 上编辑该安全组。

为 VXLAN 准备群集会导致 ESXi 报告在 vSwitch 上失去网络连接
为 VXLAN 准备群集会导致当卸载并重新安装网卡驱动程序以在启用 VXLAN 的群集上启用 RSS 时临时断开连接。 仅当使用 Intel ixgpbe 驱动程序时才会出现该问题。
解决办法: 无。

如果用户名包含 CJK 或高位 ASCII 字符,将无法登录 vShield Manager
解决办法: 将浏览器编码设置为 UTF-8。

如果在物理主机上启用了嵌套 ESX 支持,则物理 ESXi-5.x 上的 SVM 部署将失败
如果在物理主机上启用了嵌套 ESX 支持,则将显示 vShield SVM 的虚拟化 Intel VT/EPT 错误。
解决办法: 无。

如果指定的备份目录不存在,则数据不会进行备份
如果在备份 vShield Manager 数据时指定的目录无效,则不会创建备份文件。
解决办法: 确保备份目录位于 FTP 服务器上。

vShield Manager 问题

在 NSX Manager 上配置 Lookup Service 时,无法在域和用户名之间使用反斜线
解决办法: 在用户名和域之间使用 @ 代替反斜线。 例如,键入 user@domain 代替 domain\user

尽管输入的端口格式正确,但仍然显示“数据格式无效 (Invalid Data Format)”错误消息
添加/创建服务时,尽管输入的端口格式正确,但仍然显示“数据格式无效 (Invalid Data Format)”错误消息。 当输入的端口数量超过 15 个端口的最大限制时,可能会发生此问题。
解决办法: 如果服务使用的端口超过 15 个,请创建多个服务。

用户必须注销才能查看已修改或添加的角色
用户在已登录到会话的状态下添加或修改其角色后,会话并不反映对角色所做的更改。
解决办法: 注销后重新登录即可查看更新的角色分配。

vShield App 问题

恢复到旧防火墙配置之后,无法从 Flow Monitoring 表添加防火墙规则
加载旧防火墙配置之后,无法从 Flow Monitoring 表添加规则。 这是因为检测到流的规则可能不再属于当前防火墙配置。
解决办法: 无。

如果在 vShield App 升级过程中 vCenter Server 不可用,则升级将失败且 Update 链接也将不可用
请参见 vShield App 升级过程中 Update 链接不可用

在现有虚拟线路中添加新虚拟机时,将不会应用以源/目标作为虚拟线路的防火墙规则
如果预先配置的防火墙规则包含源/目标中的虚拟线路,则添加到该虚拟线路中的新虚拟机不会应用这些规则
解决办法: 将新虚拟机添加到虚拟线路后,在该虚拟线路上重新发布防火墙配置。

vShield Edge 问题

无法修改 SSL VPN-Plus 安装软件包
编辑 SSL VPN-Plus 安装软件包不会将更改应用于该软件包。
解决办法: 按照下面的步骤执行操作:

  1. 不编辑软件包,而是将其删除,然后使用已修改参数创建一个新的安装软件包。
  2. 如果计算机上存在 SSL VPN 客户端,请将其删除。
  3. 重新引导计算机。
  4. 安装新的安装软件包。

 

DHCP 绑定的主机名不能包含 CJK 或高位 ASCII 字符串
如果 [DHCP 绑定] 窗口中的 [主机名] 字段包含 CJK 或高位 ASCII 字符串,发布绑定会导致错误。
解决办法: 在 [主机名] 字段中输入 ASCII 字符。

如果 vShield Manager 已升级至 5.1.3 而 Edge 仍为 5.0.2,将无法创建 CSR/证书
当 vShield Manager 升级至 5.1.3 而 Edge 为较低版本时,无法创建大小为 512/1024 位的 CSR
解决办法: 无。

Service Insertion 问题

无法将服务配置文件绑定到网络
无法将服务配置文件绑定到任何可用网络。
解决办法: 重新引导 vShield Manager。

Data Security 问题

为 Data Security 扫描指定文件筛选器时,无法从日历中选择 [上次修改日期]
尝试针对运行 Data Security 扫描选择 [之前] 日期时,日历灰显。
解决办法: 在浏览器中,将 [语言首选项] 更改为 en-US,然后在 [之前] 字段中选择日期。

Service Composer 问题

安全策略名称总共可以包含 229 个字符
解决办法: 无。

已解决的问题

以下问题已在 5.5.3.1 版本中解决。

  • NSX 设备易出现 BASH Shellshock 安全漏洞
    此修补程序会更新 NSX 设备中的 Bash 库以解决多个严重的安全问题,通常称为 Shellshock。 常见漏洞与暴露方案 (cve.mitre.org) 分配给这些问题的标识符为 CVE-2014-6271、CVE-2014-7169、CVE-2014-7186 和 CVE-2014-7187。
    要解决此漏洞,您必须升级所有 vCNS 组件。 要进行升级,请遵循 vShield安装和升级指南》中的说明。

以下问题已在 5.5.3 版本中解决。

  • SSL 用户的密码更改不起作用
    如果您的环境中具有 vShield Manager 5.5.1 和 vShield Edge 5.5.0, [下次登录时更改密码] 选项不会更改用户的密码。