vCloud Networking and Security 5.5.4.1 | 2015 年 4 月 30 日发行 | 内部版本 2673026

发行说明内容

本发行说明包含以下主题:

新增功能

本版本完成了一系列修复,解决了 Skip-TLS (CVE-2014-6593)、FREAK (CVE-2015-0204) 和 POODLE (CVE-2014-3566) 漏洞及其他问题。 请参见本文档的 已解决的问题部分。 请检查是否存在任何第三方组件(例如第三方合作伙伴解决方案)支持 vCNS 中使用的已更新 JRE 和 OpenSSL 版本。

有关详细信息,请参见:

 

系统要求和安装

有关系统要求以及安装或升级说明,请参见 《vShield 安装和升级指南》 

升级说明

按照下面的步骤执行升级:

  1. 升级到 vCloud Networking and Security 5.5.4.1。 请参见 《vShield 安装和升级指南》 
  2. 如果您希望从 e1000 切换到 vmxnet3 驱动程序,以便应用针对问题 1429432 的修复,请执行下列操作:
    • 创建当前 Manager 设备的备份。
    • 部署新的 5.5.4.1 Manager 设备。
    • 关闭原先的 Manager 设备。
    • 还原并将备份应用到新的 Manager 设备。

 

已知问题

已知问题分为如下类别:

升级问题

问题 1375343: 升级后无法重新配置 SSO
如果在 vShield Manager 上配置的 SSO 服务器是 vCenter Server 上的本机服务器,则在 vCenter Server 升级到 6.0 版本且 vShield Manager 升级到 5.5.4 版本后,无法重新配置 SSO 设置。
解决办法: 无。

问题 1369782: 将 L2VPN 服务器升级到 5.5.4 后,L2VPN 通道中断
如果在未升级 L2VPN 客户端的情况下将 vShield Manager 和 L2VPN 服务器升级到 5.5.4,L2VPN 通道将中断。 5.5.4 版本之前的 L2VPN 客户端通过 SSLv2 或 SSLv3 连接,但是这些协议在 5.5.4 中不受支持。
解决办法: 将 L2VPN 客户端升级到 5.5.4。 然后,可以使用 TLS 协议将客户端连接到服务器。

问题 1396592: 如果使用 vCenter Server 6.0 和 ESX 6.0,版本部署规范需要更新至 6.0.x。
NetX 解决方案已注册到 vCloud Networking and Security 的合作伙伴必须更新注册,以包含适用于 6.0.x 的版本部署规范以及相应的 OVF。
解决办法: 如果基本配置为 5.5.x 及 vSphere 5.5,且在升级 vCloud Networking and Security 之前已升级了基础架构,请遵循以下步骤:

  1. 将 vSphere 从 5.5 升级到 6.0。
  2. 使用以下 API 调用,添加适用于 6.0.x 的版本部署规范:
    POST https://<vCNS-IP>/api/2.0/si/service/<service-id>/servicedeploymentspec/versioneddeploymentspec
    <versionedDeploymentSpec>
    <hostVersion>6.0.x</hostVersion>
    <ovfUrl>http://engweb.eng.vmware.com/~netfvt/ovf/Rhel6-32bit-6.1svm/Rhel6-32bit-6.1svm.ovf</ovfUrl>
    <vmciEnabled>true</vmciEnabled>
    </versionedDeploymentSpec>
  3. 通过使用以下 REST 调用更新服务
    POST https://<vsm-ip>/api/2.0/si/service/config?action=update
  4. 按以下步骤解决 EAM 警报:
    1. 单击 vSphere Web Client 上的“主页”。
    2. 单击“管理”。
    3. 在“解决方案”中,选择 vCenter Server Extension。
    4. 单击 vSphere ESX Agent Manager,然后单击“管理”选项卡。
    5. 在出现故障的机构状态上单击右键并选择“解决所有问题”。

 

问题 1291731:vShield Endpoint 升级或卸载失败并出现错误: vShield Endpoint 安装在卸载 vib 时遇到错误: 内部服务器错误 (vShield Endpoint installation encountered error while uninstalling vib:Internal server error)
vShield Endpoint 升级/卸载失败并出现错误。 从 ESXi 命令行卸载 vib 也失败,并显示以下错误消息:
 
[安装错误]
运行 rm /tardisks/epsec-mu.v00 时出错:
返回代码: 1
输出: rm: 无法移除“/tardisks/epsec-mu.v00”: 设备或资源繁忙
继续操作不安全。 请立即重新引导主机以放弃未完成的更新。 请参阅日志文件了解详细信息 ([InstallationError] Error in running rm /tardisks/epsec-mu.v00: Return code: 1 Output: rm: cannot remove '/tardisks/epsec-mu.v00': Device or resource busy It is not safe to continue. Please reboot the host immediately to discard the unfinished update. Please refer to the log file for more details)。

 
解决办法: 按照下面的步骤执行操作:

  1. 登录 ESXi cli。
  2. /bootbank/boot.cfg 文件中,将条目 epsec-mu.v00 移动到条目 sb.v00 之后。
    boot.cfg 中的模块条目具有 --- 分隔符。 因此更改后,条目应该如下所示: sb.v00 --- epsec-mu.v00
  3. 保存 /bootbank/boot.cfg 文件。
  4. 将主机置于维护模式,然后从 vCenter Server Web Client 重新引导主机。
  5. 安装/升级 vShield Endpoint。

 

一般问题

问题 1411125: 无法打开客户机虚拟机电源
打开客户机虚拟机电源时,可能显示“当前未部署所需的全部代理虚拟机 (All required agent virtual machines are not currently deployed)”错误。
解决办法: 按照下面的步骤执行操作:

  1. 单击 vSphere Web Client 上的“主页”。
  2. 单击“管理”。
  3. 在“解决方案”中,选择 vCenter Server Extension。
  4. 单击 vSphere ESX Agent Manager,然后单击“管理”选项卡。
  5. 单击“解决”。

 

问题 1341573: 长度大于 7 个东亚字符或者大于 10 个欧洲字符的用户 ID 无法登录到 SSL VPN 门户
如果创建 SSL VPN Plus 用户时,用户 ID 的长度大于 63 个字符(ASCII 或非 ASCII 字符),则会显示“用户 ID 长度超出最大字符限制 (user ID length exceeded the maximum character limit)”错误。 少于 63 个字符的用户 ID 将被接受,将会创建用户。
解决办法: VMware 建议仅使用 ASCII 字符创建 SSL VPN Plus 用户 ID。 如果用户 ID 必须使用非 ASCII 字符,请确保每个用户名包含的东亚字符不超过 7 个或者包含的拉丁字符(含变音符号)不超过 10 个。

问题 1311302: 如果 vNIC 位于联网的安全组中,且关联的虚拟机移动到其他网络,则无法通过 UI 编辑该安全组,该 vNIC 继续作为该安全组的成员
解决办法: 使用以下 REST 调用从安全组中移除 vNIC
DELETE https://<vsm-ip>/api/2.0/services/securitygroup/<securityGroupId>/members/<vNicId>
然后,可以在 UI 上编辑安全组。

问题 1303665: 为 VXLAN 准备群集会导致 ESXi 报告 vSwitch 上失去网络连接
卸载并重新安装网卡驱动程序以在已启用 VXLAN 的群集上启用 RSS 时,为 VXLAN 准备群集会导致临时断开连接。 仅当使用 Intel ixgbe 驱动程序时才会出现该问题。
解决办法: 无。

问题 1056970: 如果用户名包含 CJK 或高位 ASCII 字符,将无法登录 vShield Manager
解决办法: 将浏览器编码设置为 UTF-8。

vShield Manager 问题

问题 1405582/1310034: SSL VPN 远程用户将无法更改其 AD 用户凭据
通过 Active Directory 对 SSL VPN 进行身份验证时,您可以使用此域凭据登录到 SSL VPN,以访问企业网络(专用网络)。 当用户位于远程位置时,将无法更改 AD 密码。
解决办法: SSL VPN 配置中没有具体的解决办法。 管理员应提供一些外部实用程序用于更改 AD 密码。

问题 1303278: 当存在超过 1100 个 MAC Set 时,分组页面会加载缓慢,并且可能会显示重叠的行条目
如果 vShield Manager 上存在过多 MAC Set(例如 1100+),则分组页面会加载缓慢,并且 MAC Set 行条目会与其他条目重叠,使其不可读。 添加新的 MAC Set 会花费较长时间。
解决办法: 在安全组中保留的 MAC Set 条目低于 1100 个。

问题 1301688: 在 NSX Manager 上配置 Lookup Service 时,无法在域和用户名之间使用反斜线
解决办法: 在用户名和域之间使用 @ 代替反斜线。 例如,键入 user@domain 代替 domain\user

问题 1161237: 创建服务时,显示“数据格式无效 (Invalid Data Format)”错误
添加/创建服务时,如果您向服务输入了超过 15 个端口,则可能会发生“数据格式无效 (Invalid Data Format)”错误。
解决办法: 如果服务使用的端口超过 15 个,请创建多个服务。

问题 1161214: 用户必须注销才能查看已修改或添加的角色
用户在已登录到会话的状态下添加或修改其角色后,会话并不反映对角色所做的更改。
解决办法: 注销后重新登录即可查看更新的角色分配。

vShield App 问题

问题 1197810: 恢复到旧防火墙配置之后,无法从 Flow Monitoring 表添加防火墙规则
加载旧防火墙配置之后,无法从 Flow Monitoring 表添加规则。 这是因为检测到流的规则可能不再属于当前防火墙配置。
解决办法: 无。

问题 967277: 如果在 vShield App 升级过程中 vCenter Server 不可用,则升级将失败且 Update 链接也将不可用
请参见 VMware 知识库文章 vShield App 升级过程中 Update 链接不可用

问题 1089671: 在现有虚拟线路中添加新虚拟机时,将不会应用以源/目标作为虚拟线路的防火墙规则
如果预先配置的防火墙规则包含源/目标中的虚拟线路,则添加到该虚拟线路中的新虚拟机不会应用这些规则。
解决办法: 将新虚拟机添加到虚拟线路后,在该虚拟线路上重新发布防火墙配置。

vShield Edge 问题

问题 1405586/1311273: SSL VPN 门户登录屏幕为空。
SSL VPN 门户使用的某个 javascript 文件在 vShield Edge 上损坏。 这会导致门户页面呈现失败。
解决办法: 出现此问题时重新部署 vShield Edge。

问题 1165472: 如果 vShield Manager 已升级至 5.1.3 而 Edge 仍为 5.0.2,将无法创建 CSR/证书
当 vShield Manager 升级至 5.1.3 而 Edge 仍为较低版本时,无法创建大小为 512/1024 位的 CSR。
解决办法: 无。

Service Insertion 问题

问题 1062057: 无法将服务配置文件绑定到网络
无法将服务配置文件绑定到任何可用网络。
解决办法: 重新引导 vShield Manager。

Data Security 问题

问题 1291748: 为 Data Security 扫描指定文件筛选器时,无法从日历中选择“上次修改日期”
尝试选择“之前”日期运行 Data Security 扫描时,日历灰显。  
解决办法: 在浏览器中,将“语言首选项”更改为 en-US,然后在“之前”字段中选择日期。  

已解决的问题

5.5.4.1 版本中已解决下列问题:

问题 1414763:vShield SSL VPN 在 OSX Yosemite 客户端上不执行代码签名
在 Yosemite 版本中,OSX 为系统上加载的所有内核扩展 (kexts) 添加了代码验证。 OSX 客户端不执行任何代码签名,并且客户端无法运行。

问题 1429432: vShield Manager 不响应时,多计算机蓝图部署失败
vShield Manager 无法识别 VMXnet3 适配器时,将处于无响应状态,此时多计算机蓝图部署将失败。 该修复将 vCNS Manager 设备的网络适配器替换为 vmxnet3 适配器。 有关应用此修复的步骤,请参见上述 升级说明部分。

问题 1424601: Skip-TLS 和 Poodle 安全漏洞
OpenSSL 更新为 0.9.8zd 版本。 Oracle (Sun) JRE 软件包更新为 1.7.0_75 版本。 此更新解决了先前版本的 Oracle (Sun) JRE 中存在的多个安全问题。 Oracle 已在 2015 年 1 月的 Oracle Java SE 关键修补程序更新建议中记录了 JRE 1.7.0_75 中已解决的 CVE 标识符问题。 该修复将在 vShield Manager 上禁用 SSLv3。

5.5.4 版本中已解决下列问题:

问题 1343847/1343842/1362763: 用于解决 CVE-2014-3566“POODLE”漏洞的修复
5.5.4 版本包含两个更改,解决了 CVE-2014-3566 漏洞(SSLv3 漏洞称为“POODLE”):

  • 将 vShield Edge 系统 SSL 库更新至 OpenSSL 0.9.8zc;以及
  • 更新了 API 方法,管理员现在可以解决 vShield Edge 上的 POODLE 漏洞。

使用此 API 方法,可以禁用您的环境中特定 vShield Edge 上的 SSLv3 支持。 要完成此操作,请在以下 API 调用中使用 sslVersionList 参数,将 NSX Edge 上所需的 SSL 版本添加到白名单中。

API 方法:

POST https://<vsm-ip>/api/3.0/edges/<edge-id>/sslvpn/config/server/
                      

请求正文示例:

在本示例中,我们将启用 SSLv3、TLSv1、TLSv1_2 和 TLSv1_1:


<serverSettings>
   <ip>SSLVPN-Server IP</ip>
   <port>443</port>
   <cipherList>
      <cipher>RC4-MD5</cipher>
   </cipherList>
   <sslVersionList>
      <version>SSLv3</version>
      <version>TLSv1</version>
      <version>TLSv1_2</version>
      <version>TLSv1_1</version>
   </sslVersionList>
</serverSettings>
                        

如果 sslVersionList 参数为空,则上述示例中列出的所有 SSL 版本将在白名单中列出。