La version vCloud Networking and Security 5.1.4.1 remplace la version 5.1.4.

Contenu des notes de mise à jour

• Nouveautés
• Spécifications du système et installation
• Problèmes identifiés
• Problèmes résolus

Nouveautés

La version vCloud Networking and Security 5.1.4.1 inclut un correctif de bogue pour les problèmes connus CVE-2014-0224, CVE-2014-0198, CVE-2010-5298 et CVE-2014-3470 d'OpenSSL, ainsi que d'autres correctifs de bogues documentés dans la section Problèmes résolus.

Les clients qui utilisent vCloud Networking and Security 5.1.4 ou version précédente doivent immédiatement effectuer une mise à niveau vers la version 5.1.4.1.

Spécifications du système et installation

Pour obtenir des informations sur les spécifications système et l'installation, consultez le Guide d'installation et de mise à niveau de vShield .

Pour mettre à niveau vers cette version, suivez la procédure ci-dessous.

1. Mettez à niveau vShield Manager et l'ensemble des machines virtuelles vShield App et vShield Edge de votre environnement vers la version vCloud Networking and Security 5.1.4.1. Pour obtenir des instructions, consultez Mise à niveau de vShield dans le Guide d'installation et de mise à niveau de vShield .
   Remarque : Si vous utilisez VPN SSL, vous devez désinstaller le client VPN SSL après la mise à niveau vers la version 5.1.4.1, puis le réinstaller. Pour installer le nouveau client, accédez à https:// ssl-vpn-ip-address, où ssl-vpn-ip-address est l'adresse IP de la liaison montante attribuée à l'interface Edge sur laquelle le service VPN SSL est configuré pour écouter.
2. Effectuez cette étape seulement si vous faites une mise à niveau depuis vShield 5.1.3 ou version précédente.
   Modifiez les certificats et les clés utilisés par VPN SSL en suivant la procédure ci-dessous.
   1. Ajoutez un nouveau certificat de serveur.
      1. Dans vSphere Client, sélectionnez Inventaire > Hôtes et clusters.
      2. Sélectionnez une ressource de centre de données du panneau d'inventaire.
      3. Cliquez sur l'onglet Virtualisation réseau, puis sur le lien Dispositifs Edge.
      4. Double-cliquez sur un dispositif vShield Edge, puis cliquez sur l'onglet Configurer.
      5. Cliquez sur le lien Certificats.
      6. Cliquez sur l'icône Ajouter et sélectionnez Certificat.
      7. Collez le contenu du certificat et la clé privée.
      8. Cliquez sur OK
   2. Supprimez l'ancien certificat de serveur.
      1. Sélectionnez l'ancien certificat et cliquez sur l'icône Supprimer.
      2. Cliquez sur OK.
   3. Configurez VPN SSL afin qu'il fonctionne avec le nouveau certificat.
      1. Cliquez sur l'onglet VPN-Plus SSL.
      2. Dans le panneau Configurer, cliquez sur Paramètres du serveur, puis sur Modifier.
      3. Dans le tableau Certificats de serveur, sélectionnez le nouveau certificat de serveur et cliquez sur OK.
   4. Contactez votre fournisseur de certificats pour lui demander de révoquer l'ancien certificat.
3. Effectuez cette étape seulement si vous faites une mise à niveau depuis vShield 5.1.3 ou version précédente.
   Supprimez l'approbation de l'ancien certificat de votre navigateur et de votre système d'exploitation. Vérifiez également que la vérification de la révocation est activée sur votre système.
4. Modifiez les mots de passe VPN SSL. Pour obtenir des instructions, consultez Gestion des services VPN dans le Guide d'administration de vShield .

Problèmes identifiés

Les problèmes identifiés suivants ont été rencontrés lors de tests rigoureux. Nous espérons qu'ils vous aideront à comprendre certains désagréments que vous pourriez rencontrer dans cette version.

Les problèmes connus sont classés comme suit :

• Problèmes de mise à niveau
• Problèmes avec vShield Manager
• Problèmes avec vShield App
• Problèmes avec vShield Edge

Problèmes de mise à niveau

Le client VPN SSL doit être désinstallé, puis réinstallé après la mise à niveau
Après la mise à niveau vers vShield 5.1.4.1, vous devez désinstaller le client VPN SSL VPN, puis le réinstaller. Pour installer le client le plus récent, accédez à https:// ssl-vpn-ip-address, où ssl-vpn-ip-address est l'adresse IP de la liaison montante attribuée à l'interface Edge sur laquelle le service VPN SSL est configuré pour écouter.

Problèmes avec vShield Manager

vShield Manager enregistré dans vCenter en utilisant l'adresse IP au lieu du FQDN
vShield Manager UI n'accepte pas de nom de domaine complet (FQDN) lors de l'enregistrement dans vCenter Server.
Solution : Utilisez l'adresse IP au lieu du FQDN.

La mise à niveau de vShield Manager échoue avec une erreur
Lorsque vShield Manager est mis à niveau de la version 4.1 vers la version 5.0, puis 5.1, vShield Manager ne parvient pas à se connecter à vCenter Server et l'interface affiche une erreur de serveur interne.
Solution : entrez à nouveau les informations d'identification vCenter Server. Si la connectivité n'est pas restaurée, redémarrez vShield Manager.

L'erreur « Format de données non valide » s'affiche bien que la saisie du format des ports soit correcte
Lors de l'ajout ou de la création d'un service, le message d'erreur « Format de données non valide » peut s'afficher bien que la saisie du format des ports soit correcte. Ceci peut se produire lorsque le nombre de ports entrés dépasse la limite maximale de 15 ports.
Solution : si le service a plus de 15 ports, créez plusieurs services.

L'utilisateur doit se déconnecter pour afficher le rôle modifié ou ajouté
Lorsqu'un utilisateur ajoute ou modifie son rôle alors qu'il est connecté à une session, la session ne reflète pas les modifications apportées au rôle.
Solution : déconnectez-vous, puis reconnectez-vous pour afficher les affectations de rôle mises à jour.

Une « erreur de serveur interne » s'affiche à la suppression d'un utilisateur local ou d'une affectation de rôle pour un utilisateur vCenter
Solution : désactivez le compte utilisateur à supprimer.

Problèmes avec vShield App

Si vCenter Server devient non disponible lors de la mise à niveau de vShield App, la mise à niveau échoue et le lien de mise à jour n'est pas disponible
Consultez la rubrique Update link not available during vShield App upgrade.

Impossible de préparer des clusters lorsque vShield App est installé sur un hôte
La préparation d'un cluster pour VXLAN ne peut pas aboutir étant donné que l'hôte ne peut pas entrer en mode de maintenance lorsque vShield App est installé.
Solution : faites passer manuellement le ou les hôtes en mode maintenance. Lors d'un lancement manuel, les appliances vShield App sont arrêtées et la préparation du cluster peut avoir lieu. Une fois la préparation terminée, le ou les hôtes quittent le mode maintenance et les applicances vShield App continuent à fonctionner normalement.

Problèmes avec vShield Edge

Impossible de configurer différents certificats pour deux fonctions différentes
Impossible de configurer différents certificats pour deux fonctions différentes. Par exemple, vous ne pouvez pas utiliser un certificat pour IPsec et un autre certificat pour VPN SSL.
Solution : utilisez le même certificat pour les fonctions, puis modifiez le certificat pour l'une des fonctions.

Impossible de créer une demande de signature de certificat (CSR) de 512/1 024 bits si vShield Manager est mis à niveau vers la version 5.1.x alors que la version du dispositif Edge est toujours 5.0.2
Lorsque vShield Manager est mis à niveau vers la version 5.1.x alors que la version du dispositif Edge est toujours 5.0.2, vous ne pouvez pas créer une demande de signature de certificat d'une taille de 512/1 024 bits.
Solution : Créez une demande de signature de certificat de 2 048/3 072 bits.

Problèmes résolus

Les problèmes suivants ont été résolus dans la version 5.1.4.1.

• Là où cela est nécessaire, OpenSSL 1.0.1 est mis à jour vers la version 1.0.1h afin de résoudre les problèmes CVE-2014-0224, CVE-2014-0198, CVE-2010-5298 et CVE-2014-3470.
• Là où cela est nécessaire, OpenSSL 0.9.8 est mis à jour vers la version openssl-0.9.8za afin de résoudre les problèmes CVE-2014-0224, CVE-2014-0198, CVE-2010-5298 et CVE-2014-3470.
• La machine virtuelle perd la connectivité pendant la migration entre les pools de ressources, les clusters ou les vApps. Pour plus d'informations, voir Une machine virtuelle perd la connectivité pendant la migration entre les pools de ressources, les clusters ou les vApps dans vCloud Networking and Security 5.1.4, 5.5.2 et NSX pour vSphere 6.0.4.

Les problèmes suivants ont été résolus dans la version 5.1.4.

• La faille de sécurité OpenSSL CVE-2014-0160/CVE-2014-0346 (Heartbleed) applicable aux versions d'OpenSSL antérieures à 1.0.1 g entraîne une fuite du contenu de la mémoire du serveur vers le client, et inversement
• Les machines virtuelles perdent la connectivité réseau
• vShield Manager ne parvient pas à s'afficher après la mise à niveau de la version 5.1.2a vers la version 5.1.3 avec Cisco N1k
• L'ajout d'un hôte ESX 5.1 à un système vCenter 5.5 exécutant un service NetX ne parvient pas à installer un vib de chemin d'accès rapide
• Le service NTPD en cours d'exécution sur vShield Manager expose les variables NTP
• Pour prendre en charge le déploiement d'un dispositif vShield Networking and Security sur NFS ou SAN, il est nécessaire d'augmenter la temporisation de la couche bloc scsi
• vShield 5.1.3 tente de charger le vib de chemin d'accès rapide 5.5 dans un environnement vSphere 5.1
• Un problème de rotation des journaux vShield App entraîne une utilisation de disque de 100 %
• Le problème de rotation des journaux entraîne une utilisation de disque de 100 % sur la machine virtuelle vShield Edge secondaire
• L'état des protocoles HTTP/HTTPS de l'équilibrage de charge est incohérent
• Le débit réseau est faible dans l'environnement vShield
• ISEC 8 : les chés de chiffrement sont stockées dans le code source
• vShield Manager présente un risque de violation en raison du renforcement insuffisant des chiffrements de serveur Web
• Diverses vulnérabilités XSS ont été détectées dans vShield 5.1.2

Les problèmes suivants ont été résolus dans la version 5.1.3.

• vShield Manager ne parvenait pas à s'afficher après la mise à niveau de la version 5.1.2a vers la version 5.1.3 avec Cisco N1k
• L'ajout d'un hôte ESX 5.1 à un système vCenter 5.5 exécutant un service NetX ne parvient pas à installer un vib de chemin d'accès rapide à partir de vShield
• Après avoir été déplacées entre des vApp, les machines virtuelles protégées par vShield App n'ont plus de connectivité réseau
• Le débit réseau est faible dans un environnement vShield comportant un grand nombre de règles L2, chacune d'elles contenant des groupes de sécurité MAC
• Impossible d'importer deux certificats d'autorité de certification racine intermédiaires dans vShield Manager version 5.1.1.
• Amélioration du provisionnement des règles depuis la mise à niveau vers la version 5.1.2a.
• Le CPU de vShield Manager indique une utilisation de 90 % car tous les threads du DCN bloquent lors du vidage des objets dans la transaction pour les grands inventaires.
• La valeur du délai d'expiration TCP Edge peut être configurée à l'aide des API REST dans la version 5.1.3.
• vShield Manager se heurte à une alerte de noyau lorsque le stockage sur lequel il est exécuté rencontre des problèmes ou n'est pas disponible en raison d'une valeur de délai d'expiration de disque basse. La nouvelle valeur est définie sur 120 secondes.
• Les mises à jour des regroupements d'adresses MAC (mac-set) ne sont pas appliquées pour les groupes de ports membres des groupes de sécurité.
• Les demandes de signature de certificat sont générées avec la valeur NULL dans les champs Nom de la ville et Nom de l'état.
• Si la licence vCloud Director « vCloud Networking and Security - Networking for VCD » est utilisée, la création d'un réseau vDC d'organisation d'isolation échoue avec l'erreur suivante : « VSM response error (214): Not licensed for Entity : vcloud-netsec feature : vxlan : add on : ».
• Les machines virtuelles perdent la connectivité réseau après avoir été migrées à l'aide de vMotion à partir d'un hôte ESXi sans vShield App vers un hôte ESXi avec vShield App
• L'installation de vShield App échoue car vShield Manager envoie des UUID VNIC non valides dans un message VMInfo.
• Les machines virtuelles ne parviennent pas à rejoindre le réseau et/ou à obtenir une adresse DHCP peu de temps après avoir été migrées à l'aide de vMotion. Une synchronisation forcée est requise pour qu'elles puissent obtenir une adresse DHCP.
• La connectivité à des produits de transfert de traitement antivirus tiers est affectée lorsque vShield App est installé sur le même hôte ESXi.
• Les machines virtuelles ne parviennent parfois pas à rejoindre le réseau peu de temps après avoir été migrées à l'aide de vMotion.
• Le provisionnement des règles de pare-feu prend beaucoup de temps.
• Le trafic se bloquait pour les machines virtuelles disposant de paquets avec des codes de fin Ethernet raccourcis.
• vShield App bloque le trafic même si aucune règle n'est définie ou si toutes les règles sont définies sur Autoriser lorsque vSA ne peut pas communiquer entre les composants d'infrastructure clé en raison d'une mauvaise configuration utilisateur, par exemple en cas d'une combinaison de l'arrêt de vSM et/ou vSA, de la déconnexion des vNIC de vSA et/ou de l'arrêt de l'hôte ESXi entraînant un manque de synchronisation
• vSA se heurte à une alerte de noyau lorsque le stockage sur lequel il est exécuté rencontre des problèmes, ou s'il n'est pas disponible en raison d'une valeur de délai d'expiration de disque basse. La nouvelle valeur de délai d'expiration de disque est définie sur 180 secondes.
• Les machines virtuelles sur un vDS perdent leur connectivité réseau suite au déplacement d'un hôte ESXi d'un cluster à un autre.
• Les machines virtuelles déplacées d'un objet vCenter Server à un autre, tel qu'une vApp, un cluster ou un pool de ressources, n'héritent pas des règles de pare-feu appliquées à l'objet cible.
• L'appliance vShield App redémarre lorsqu'une large plage d'adresses IP (par exemple, toute la classe A) est utilisée pour définir une règle.
• Le trafic est abandonné en raison de l'expiration de sessions à des intervalles incorrects.
• Flow Monitoring indique une source et une destination inversées pour certains types de trafic provenant de sources physiques.
• Les groupes de sécurité peuvent être supprimés par inadvertance lors de la publication d'une règle de pare-feu si cette règle a été republiée à plusieurs reprises.
• La publication de règles de pare-feu Ethernet (L2) échoue lorsque de grands MACsets sont utilisés.
• Impossible d'ajouter l'adresse IP virtuelle (VIP) de l'équilibrage de la charge à vShield Edge si le serveur RSA ACE est également en cours d'exécution.
• L'authentification RSA échoue après avoir appliqué les modifications de configuration vShield Edge, comme le redéploiement, la mise à niveau ou un événement HA.
• Le client Mac pour VPN SSL ne peut pas se connecter lorsque le mot de passe approche du délai d'expiration configuré dans la règle de mot de passe.
• Les instances de vShield Edge configurées en mode HA se heurtent simultanément à une alerte de noyau.
• Le service DHCP de vShield Edge ne fonctionne pas sur une VNIC sur laquelle deux adresses IP et sous-réseaux distincts sont définis avec un sous-réseau, tel que 0.0.0.0/32.
• Les deux instances de vShield Edge d'une paire HA passent en mode actif.
• vShield Edge ne parvient pas à rétablir les tunnels VPN IPSEC abandonnés après avoir rencontré une condition de mémoire insuffisante.
• La mise à niveau de vShield Edge échoue si un pool de ressources sur lequel vShield Edge a été initialement déployé n'est plus disponible.
• Les instances vShield Edge sur lesquelles HA est activé et qui utilisent les services VPN SSL indiquent une utilisation de CPU élevée et basculent plusieurs fois dans un petit laps de temps.
• La configuration des liaisons statiques DHCP dans l'interface utilisateur est affichée comme étant vide pour les instances vShield Edge connectées à un câble virtuel.
• Débit faible et performances basses rencontrés avec vShield Edge.
• Option ajoutée pour déployer 4 vCPU vShield Edge.
• Problèmes de chemin d'accès aux données lors de l'utilisation d'un tunnel VPN SSL L2.
• La règle SNAT sur un tunnel VPN vSE L2 empêche les machines virtuelles situées derrière vSE d'atteindre des adresses IP publiques.
• L'appliance vShield Edge ne prend pas en charge l'enregistrement des vidages de mémoire. Commande debug crashdump ajoutée à l'interface de ligne de commande.
• Les tunnels IPsec sont régulièrement abandonnés lorsque PFS est activé.
• La configuration ou la modification de la méthode de persistance de l'équilibrage de la charge dans l'interface utilisateur ne parvient pas à appliquer les modifications.
• L'équilibrage de la charge se bloque lorsque la méthode de persistance est définie sur SSL_SESSION_ID.
• L'installation du client VPN SSL échoue sur OSX 10.9 (Mavericks).
• Comportement incohérent entre l'interface utilisateur et REST lors de l'utilisation des groupes de sécurité dans les règles de pare-feu.
• Les workflows de configuration, d'installation et de mise à niveau de vShield Edge signalent ces erreurs.
• Une réponse non valide a été reçue d'un agent VIX.
• L'agent VIX n'est is pas connecté à VC.
• Les tunnels IPsec avec mode de certificat ne peuvent pas être établis.