La version vCloud Networking and Security 5.5.2.1 remplace la version 5.5.2.

Contenu des notes de mise à jour

• Nouveautés
• Spécifications du système et installation
• Problèmes identifiés
• Problèmes résolus

Nouveautés

La version vCloud Networking and Security 5.5.2.1 inclut un correctif de bogue pour les problèmes connus CVE-2014-0224, CVE-2014-0198, CVE-2010-5298 et CVE-2014-3470 d'OpenSSL, ainsi que d'autres correctifs de bogues documentés dans la section Problèmes résolus.

Les clients qui utilisent vCloud Networking and Security 5.5.2 ou version précédente doivent immédiatement effectuer une mise à niveau vers la version 5.5.2.1.

Spécifications du système et installation

Pour obtenir des informations sur les spécifications système et l'installation, consultez le Guide d'installation et de mise à niveau de vShield .

Pour mettre à niveau vers cette version, suivez la procédure ci-dessous.

1. Mettez à niveau vShield Manager et l'ensemble des machines virtuelles vShield App et vShield Edge de votre environnement vers la version vCloud Networking and Security 5.5.2.1. Pour obtenir des instructions, consultez Mise à niveau de vShield dans le Guide d'installation et de mise à niveau de vShield .
   Remarque : Si vous utilisez VPN SSL, vous devez désinstaller le client VPN SSL après la mise à niveau vers la version 5.5.2.1, puis le réinstaller. Pour installer le nouveau client, accédez à https:// ssl-vpn-ip-address, où ssl-vpn-ip-address est l'adresse IP de la liaison montante attribuée à l'interface Edge sur laquelle le service VPN SSL est configuré pour écouter.
2. Effectuez les étapes suivantes seulement si vous faites une mise à niveau depuis vShield 5.5.1 ou version précédente.
   Si vous utilisez VPN SSL, modifiez les certificats et les clés utilisé par VPN SSL en suivant la procédure ci-dessous.
   1. Ajoutez un nouveau certificat de serveur.
      1. Dans vSphere Client, sélectionnez Inventaire > Hôtes et clusters.
      2. Sélectionnez une ressource de centre de données du panneau d'inventaire.
      3. Cliquez sur l'onglet Virtualisation réseau, puis sur le lien Dispositifs Edge.
      4. Double-cliquez sur un dispositif vShield Edge, puis cliquez sur l'onglet Configurer.
      5. Cliquez sur le lien Certificats.
      6. Cliquez sur l'icône Ajouter et sélectionnez Certificat.
      7. Collez le contenu du certificat et la clé privée.
      8. Cliquez sur OK
   2. Supprimez l'ancien certificat de serveur.
      1. Sélectionnez l'ancien certificat et cliquez sur l'icône Supprimer.
      2. Cliquez sur OK.
   3. Configurez VPN SSL afin qu'il fonctionne avec le nouveau certificat.
      1. Cliquez sur l'onglet VPN-Plus SSL.
      2. Dans le panneau Configurer, cliquez sur Paramètres du serveur, puis sur Modifier.
      3. Dans le tableau Certificats de serveur, sélectionnez le nouveau certificat de serveur et cliquez sur OK.
   4. Contactez votre fournisseur de certificats pour lui demander de révoquer l'ancien certificat.
3. Effectuez les étapes suivantes seulement si vous faites une mise à niveau depuis vShield 5.5.1 ou version précédente.
   Supprimez l'approbation de l'ancien certificat de votre navigateur et de votre système d'exploitation. Vérifiez également que la vérification de la révocation est activée sur votre système.
4. Modifiez les mots de passe VPN SSL. Pour obtenir des instructions, consultez Gestion des services VPN dans le Guide d'administration de vShield .

Problèmes identifiés

Les problèmes identifiés suivants ont été rencontrés lors de tests rigoureux. Nous espérons qu'ils vous aideront à comprendre certains désagréments que vous pourriez rencontrer dans cette version.

Les problèmes connus sont classés comme suit :

• Problèmes de mise à niveau
• Problèmes généraux
• Problèmes avec vShield Manager
• Problèmes avec vShield App
• Problèmes avec vShield Edge
• Problèmes avec Service Insertion

Problèmes de mise à niveau

Le client VPN SSL doit être désinstallé, puis réinstallé après la mise à niveau
Après la mise à niveau vers vShield 5.5.2.1, vous devez désinstaller le client VPN SSL, puis le réinstaller. Pour installer le nouveau client, accédez à https:// ssl-vpn-ip-address, où ssl-vpn-ip-address est l'adresse IP de la liaison montante attribuée à l'interface Edge sur laquelle le service VPN SSL est configuré pour écouter.

Problèmes généraux

Impossible d'ajouter ou de modifier un rôle pour un utilisateur connecté
Si vous ajoutez ou modifiez un rôle pour un utilisateur connecté, la session de l'utilisateur expire.
Solution : Dès que le rôle d'un utilisateur connecté est modifié, celui-ci doit se déconnecter, puis se reconnecter.

Le déploiement des machines virtuelles de sécurité (SVM) sur un hôte ESXi-5.x physique échoue si la prise en charge des hôtes ESX imbriqués sur un hôte physique est activée
Si la prise en charge des hôtes ESX imbriqués sur un hôte physique est activée, une erreur Intel VT/EPT virtualisé s'affiche pour la machine virtuelle de sécurité vShield.
Solution : Aucune.

Les données ne sont pas sauvegardées si le répertoire de sauvegarde spécifié n'existe pas
Si vous avez spécifié un répertoire de sauvegarde non valide pendant la sauvegarde des données vShield Manager, le fichier de sauvegarde n'est pas créé.
Solution : Assurez-vous que le répertoire de sauvegarde existe sur le serveur FTP.

Problèmes avec vShield Manager

vShield Manager enregistré dans vCenter en utilisant l'adresse IP au lieu du FQDN
vShield Manager UI n'accepte pas de nom de domaine complet (FQDN) lors de l'enregistrement dans vCenter Server.
Solution : Utilisez l'adresse IP au lieu du FQDN.

La mise à niveau de vShield Manager échoue avec une erreur
Lorsque vShield Manager est mis à niveau de la version 4.1 vers la version 5.0, puis 5.1, vShield Manager ne parvient pas à se connecter à vCenter Server et l'interface affiche une erreur de serveur interne.
Solution : entrez à nouveau les informations d'identification vCenter Server. Si la connectivité n'est pas restaurée, redémarrez vShield Manager.

L'erreur « Format de données non valide » s'affiche bien que la saisie du format des ports soit correcte
Lors de l'ajout ou de la création d'un service, le message d'erreur « Format de données non valide » peut s'afficher bien que la saisie du format des ports soit correcte. Ceci peut se produire lorsque le nombre de ports entrés dépasse la limite maximale de 15 ports.
Solution : si le service a plus de 15 ports, créez plusieurs services.

L'utilisateur doit se déconnecter pour afficher le rôle modifié ou ajouté
Lorsqu'un utilisateur ajoute ou modifie son rôle alors qu'il est connecté à une session, la session ne reflète pas les modifications apportées au rôle.
Solution : déconnectez-vous, puis reconnectez-vous pour afficher les affectations de rôle mises à jour.

Problèmes avec vShield App

Après être revenu à une ancienne configuration de pare-feu, il est impossible d'ajouter une règle de pare-feu dans le tableau Flow Monitoring
Après avoir chargé une ancienne configuration de pare-feu, vous ne pouvez pas ajouter une règle dans le tableau Flow Monitoring. Cela est probablement dû au fait que la règle pour laquelle le flux a été détecté ne fait plus partie de la configuration de pare-feu actuelle.

Si vCenter Server devient non disponible lors de la mise à niveau de vShield App, la mise à niveau échoue et le lien de mise à jour n'est pas disponible
Consultez la rubrique Update link not available during vShield App upgrade.

Impossible de préparer des clusters lorsque vShield App est installé sur un hôte
La préparation d'un cluster pour VXLAN ne peut pas aboutir étant donné que l'hôte ne peut pas entrer en mode de maintenance lorsque vShield App est installé.
Solution : faites passer manuellement le ou les hôtes en mode maintenance. Lors d'un lancement manuel, les appliances vShield App sont arrêtées et la préparation du cluster peut avoir lieu. Une fois la préparation terminée, le ou les hôtes quittent le mode maintenance et les applicances vShield App continuent à fonctionner normalement.

Les règles de pare-feu avec la source/destination en tant que câble virtuel ne sont pas appliquées en cas d'ajout d'une nouvelle VM au câble virtuel existant
Si les règles de pare-feu préconfigurées contiennent un câble virtuel dans la source/destination, elles ne sont pas appliquées à la nouvelle VM ajoutée à ce câble virtuel.
Solution : Après avoir ajouté la nouvelle VM au câble virtuel, republiez la configuration du pare-feu sur ce câble virtuel.

Problèmes avec vShield Edge

La modification du mot de passe pour l'utilisateur SSL ne fonctionne pas
Si la version vShield Manager de votre environnement est 5.5.2.1 alors que la version de vShield Edge est 5.5.0, l'option Modifier le mot de passe lors de la prochaine connexion ne change pas le mot de passe d'un utilisateur. Aucune erreur ne s'affiche, mais l'utilisateur ne peut pas se connecter avec le nouveau mot de passe.
Solution : Mettez à niveau vShield Edge vers la version 5.5.1 ou ultérieure.

Impossible de créer une demande de signature de certificat (CSR) de 512/1 024 bits si vShield Manager est mis à niveau vers la version 5.5.2.1 alors que la version du dispositif Edge est toujours 5.0.2
Lorsque vShield Manager est mis à niveau vers la version 5.5.2.1 alors que la version du dispositif Edge est toujours 5.0.2, vous ne pouvez pas créer une demande de signature de certificat d'une taille de 512/1 024 bits.
Solution : Créez une demande de signature de certificat de 2 048/3 072 bits.

Problèmes avec Service Insertion

Impossible de lier le profil du service au réseau
Impossible de lier un profil de service à un réseau disponible.
Solution : Redémarrez vShield Manager.

Problèmes résolus

Les problèmes suivants ont été résolus dans la version 5.5.2.1.

• Là où cela est nécessaire, OpenSSL 1.0.1 est mis à jour vers la version 1.0.1h afin de résoudre les problèmes CVE-2014-0224, CVE-2014-0198, CVE-2010-5298 et CVE-2014-3470.
• Là où cela est nécessaire, OpenSSL 0.9.8 est mis à jour vers la version openssl-0.9.8za afin de résoudre les problèmes CVE-2014-0224, CVE-2014-0198, CVE-2010-5298 et CVE-2014-3470.
• La machine virtuelle perd la connectivité pendant la migration entre les pools de ressources, les clusters ou les vApps.
  Pour plus d'informations, voir Une machine virtuelle perd la connectivité pendant la migration entre les pools de ressources, les clusters ou les vApps dans vCloud Networking and Security 5.1.4, 5.5.2 et NSX pour vSphere 6.0.4.

Les problèmes suivants ont été résolus dans la version 5.5.2.

La faille de sécurité OpenSSL CVE-2014-0160/CVE-2014-0346 (Heartbleed) applicable aux versions d'OpenSSL antérieures à 1.0.1 g entraîne une fuite du contenu de la mémoire du serveur vers le client, et inversement

Les problèmes suivants ont été résolus dans la version 5.5.1.

• L'interface utilisateur n'indique pas que le mot de passe vCenter a expiré
• La fonctionnalité Sauvegarde/Restauration ne fonctionne plus suite à l'échec d'une restauration
• Les paramètres DNS restent inchangés lors d'une opération de restauration
• Il est impossible de provisionner un pare-feu lorsqu'une carte réseau virtuelle est utilisée dans des règles Ethernet
• Il est impossible d'ajouter plusieurs services à une règle de pare-feu existante comportant un service unique
• Il est impossible de configurer différents certificats pour deux fonctionnalités différentes
• Les noms des câbles virtuels VXLAN ne peuvent pas comporter de caractères spéciaux
• Un redémarrage est nécessaire après la mise à niveau d'ESX vers la version 5.5
• Il est impossible d’ajouter un câble virtuel VXLAN après la mise à niveau de l'hôte vers la version 5.5
• Un message d'erreur s'affiche lors de l'utilisation de certificats
• Lors de la création d'un profil d'application qui utilise des certificats, une erreur s'affiche et la session de l'interface utilisateur s'arrête. Toutefois, les paramètres utilisateur sont appliqués correctement et il n'y a aucun impact fonctionnel sur la configuration du profil d'application
• Les services NetX 5.1 ne sont pas compatibles avec vCloud Networking and Security 5.5