Notes de mise à jour de vCloud Networking and Security 5.5.4.1

vCloud Networking and Security 5.5.4.1 | 30 avril 2015 | Build 2673026

Contenu des notes de mise à jour

Les notes de mise à jour couvrent les sujets suivants :

Nouveautés
Spécifications du système et installation
Instructions de mise à niveau
Problèmes connus
Problèmes résolus

Nouveautés

Cette version vient compléter une série de correctifs visant à éliminer les vulnérabilités Skip-TLS (CVE-2014-6593), FREAK (CVE-2015-0204) et POODLE (CVE-2014-3566), ainsi que des correctifs corrigeant d'autres problèmes. Reportez-vous à la section Problèmes résolus de ce document. Vérifiez que tous les composants tiers (par exemple, les solutions de partenaires tiers) prennent en charge les versions mises à jour de JRE et d'OpenSSL utilisées dans vCNS.

Pour obtenir plus de détails, reportez-vous à :

Problème résolu 1424601
Problème résolu 1362763

Spécifications du système et installation

Pour obtenir des informations sur la configuration système requise ou des instructions d'installation et de mise à niveau, consultez le Guide d'installation et de mise à niveau de vShield .

Instructions de mise à niveau

Pour effectuer la mise à niveau, procédez comme suit :

Procédez à une mise à niveau vers vCloud Networking and Security version 5.5.4.1. Reportez-vous au Guide d'installation et de mise à niveau de vShield .
Si vous souhaitez basculer vers le pilote vmxnet3 d'e1000 pour appliquer le correctif correspondant au problème 1429432, procédez comme suit :
- Créez une sauvegarde du dispositif Manager actuel.
- Déployez un nouveau dispositif Manager 5.5.4.1.
- Arrêtez le dispositif Manager d'origine.
- Restaurez la sauvegarde et appliquez-la à ce nouveau dispositif Manager.

Problèmes connus

Les problèmes connus sont classés comme suit :

Problèmes de mise à niveau
Problèmes généraux
Problèmes avec vShield Manager
Problèmes avec vShield App
Problèmes avec vShield Edge
Problèmes avec Service Insertion
Problèmes avec Data Security

Problèmes de mise à niveau

Problème 1375343 : impossible de reconfigurer le serveur SSO après une mise à niveau
Lorsque le serveur SSO configuré sur vShield Manager est le serveur natif sur vCenter Server, vous ne pouvez pas reconfigurer les paramètres SSO sur vShield Manager après la mise à niveau de vCenter Server vers la version 6.0 et de vShield Manager vers la version 5.5.4.
Solution : aucune.

Problème 1369782 : le tunnel L2VPN s'interrompt après la mise à niveau du serveur L2VPN vers la version 5.5.4
Si vous mettez à niveau vShield Manager et le serveur L2VPN vers la version 5.5.4 sans mettre à niveau le client L2VPN, le tunnel L2VPN s'interrompt. Les clients L2VPN des versions antérieures à la version 5.5.4 se connectaient via SSLv2 ou SSLv3, mais ces protocoles ne sont pas pris en charge par la version 5.5.4.
Solution : mettez à jour le client L2VPN vers la version 5.5.4. Le client peut ensuite se connecter au serveur à l'aide du protocole TLS.

Problème 1396592 : la spécification de déploiement avec version doit être mise à jour vers la version 6.0.x si vous utilisez vCenter Server 6.0 et ESX 6.0.
Les partenaires disposant de solutions NetX enregistrées dans vCloud Networking and Security doivent mettre à jour leur inscription pour inclure VersionedDeploymentSpec for 6.0.x avec l'OVF correspondant.
Solution : si la configuration de base est la version 5.5.x avec vSphere 5.5 et si l'infrastructure est mise à niveau avant vCloud networking and Security, procédez comme suit :

Mettez à niveau vSphere 5.5 vers 6.0.
Ajoutez la spécification de déploiement avec version 6.0.x à l'aide de l'appel d'API suivant :
POST https://<vCNS-IP>/api/2.0/si/service/<service-id>/servicedeploymentspec/versioneddeploymentspec <versionedDeploymentSpec> <hostVersion>6.0.x</hostVersion> <ovfUrl>http://engweb.eng.vmware.com/~netfvt/ovf/Rhel6-32bit-6.1svm/Rhel6-32bit-6.1svm.ovf</ovfUrl> <vmciEnabled>true</vmciEnabled> </versionedDeploymentSpec>
Mettez à jour le service à l'aide de l'appel REST suivant
POST https://<vsm-ip>/api/2.0/si/service/config?action=update
Résolvez l'alarme EAM en procédant comme suit :
1. Cliquez sur Page d'accueil sur vSphere Web Client.
2. Cliquez sur Administration.
3. Dans Solution, sélectionnez vCenter Server Extension.
4. Cliquez sur vSphere ESX Agent Manager, puis sur l'onglet Gérer.
5. Sur l'état d'agence en échec, cliquez avec le bouton droit et sélectionnez « Résoudre tous les problèmes ».

Problème 1291731 : échec de la mise à niveau ou de la désinstallation de vShield Endpoint avec l'erreur Le programme d'installation de vShield Endpoint a rencontré un problème lors de la désinstallation de vib : erreur de serveur interne
Échec de la mise à niveau ou de la désinstallation de vShield Endpoint avec erreur. La désinstallation de vib à partir de la ligne de commande ESXi échoue également avec le message d'erreur suivant :

[InstallationError] Error in running rm /tardisks/epsec-mu.v00: Return code: 1 Output: rm: cannot remove '/tardisks/epsec-mu.v00': Device or resource busy It is not safe to continue. Please reboot the host immediately to discard the unfinished update. Please refer to the log file for more details.

Solution : Suivez les étapes ci-dessous :

Connectez-vous à l'interface de ligne de commande ESXi.
Dans le fichier /bootbank/boot.cfg, placez l'entrée epsec-mu.v00 à la suite de l'entrée sb.v00.
Les entrées de module du fichier boot.cfg sont séparées par les délimiteurs ---. Par conséquent, après la modification, les entrées doivent ressembler à ceci sb.v00 --- epsec-mu.v00.
Enregistrez le fichier /bootbank/boot.cfg.
Placez l'hôte en mode de maintenance, puis redémarrez-le dans vCenter Server Web Client.
Installez ou mettez à niveau vShield Endpoint.

Problèmes généraux

Problème 1411125 : impossible d'activer une machine virtuelle invitée
Lorsque vous activez une machine virtuelle invitée, l'erreur « Toutes les machines virtuelles agent requises ne sont pas actuellement déployées » peut s'afficher.
Solution : Suivez les étapes ci-dessous :

Cliquez sur Page d'accueil sur vSphere Web Client.
Cliquez sur Administration.
Dans Solution, sélectionnez vCenter Server Extension.
Cliquez sur vSphere ESX Agent Manager, puis sur l'onglet Gérer.
Cliquez sur Résoudre.

Problème 1341573 : les ID utilisateur dont la longueur est supérieure à 7 caractères d'Extrême-Orient ou 10 caractères européens ne peuvent pas se connecter au portail de VPN SSL
Si la longueur de l'ID d'un utilisateur est supérieure à 63 caractères (pour les caractères ASCII ou non-ASCII) lors de la création de l'utilisateur VPN Plus SSL, une erreur « La longueur de l'ID utilisateur est supérieure à la limite de caractères maximale » s'affiche. Les ID utilisateur dont la longueur est inférieure à 63 caractères sont acceptés et créés.
Solution : VMware vous recommande de créer des ID utilisateur VPN SSL Plus uniquement composés de caractères ASCII. Si vos ID utilisateur doivent inclure des caractères non-ASCII, assurez-vous que chaque nom ne comporte pas plus de 7 caractères d'Extrême-Orient ou 10 caractères latins avec des marques diacritiques.

Problème 1311302 : si une carte réseau virtuelle est incluse dans un groupe de sécurité connecté à un réseau et que la machine virtuelle associée est déplacée vers un autre réseau, le groupe de sécurité ne peut pas être modifié dans l'interface utilisateur, et la carte réseau virtuelle reste membre du groupe de sécurité
Solution : supprimez la carte réseau virtuelle du groupe de sécurité en utilisant l'appel REST suivant
DELETE https://<vsm-ip>/api/2.0/services/securitygroup/<securityGroupId>/members/<vNicId>
Ensuite, vous pouvez modifier le groupe de sécurité dans l'interface utilisateur.

Problème 1303665 : suite à la préparation d'un cluster pour VXLAN, ESXi signale une perte de connectivité réseau sur vSwitch
La préparation d'un cluster pour VXLAN entraîne une perte temporaire de connectivité lorsque le pilote de la carte réseau est désinstallé, puis réinstallé afin d'activer RSS sur le cluster sur lequel VXLAN est activé. Ce problème se produit uniquement avec les pilotes Intel ixgbe.
Solution : aucune.

Problème 1056970 : impossible de se connecter à vShield Manager si le nom d'utilisateur inclut des caractères CJK ou ASCII étendus
Solution : Définissez le codage du navigateur sur UTF-8.

Problèmes avec vShield Manager

Problème 1405582/1310034 : L'utilisateur VPN SSL distant ne parvient pas à modifier ses informations d'identification d'utilisateur AD
Lorsque VPN SSL est authentifié à l'aide d'Active Directory, vous pouvez utiliser les informations d'identification de ce domaine pour vous connecter à VPN SSL pour accéder à un réseau d'entreprise (réseau privé). Lorsque l'utilisateur est à distance, il ne peut pas modifier le mot de passe AD.
Solution : il n'existe pas de solution spécifique dans la configuration VPN SSL. L'administrateur doit fournir un utilitaire externe pour modifier le mot de passe AD.

Problème 1303278 : la page Regroupement se charge lentement lorsque plus de 1 100 adresses MAC sont définies et qu'elles sont susceptibles de comporter des entrées de ligne se chevauchant
Lorsque vShield Manager comporte un trop grand nombre d'adresses MAC définies (par exemple, plus de 1 100), la page Regroupement se charge lentement et les entrées de ligne d'adresses MAC se chevauchent, ce qui les rend illisibles. L'ajout d'une nouvelle adresse MAC prend plus de temps.
Solution : Maintenez le nombre d'entrées d'adresses MAC dans un groupe de sécurité sous la limite des 1 100.

Problème 1301688 : lors de la configuration de Lookup Service sur NSX Manager, il est impossible d'utiliser la barre oblique inverse entre un domaine et un nom d'utilisateur
Solution : utilisez le caractère arobase (@) plutôt que la barre oblique inverse entre le nom d'utilisateur et le domaine. Par exemple, tapez user@domain plutôt que domain\user.

Problème 1161237 : l'erreur « Format de données non valide » s'affiche lors de la création d'un service
Lors de l'ajout ou de la création d'un service, il se peut que l'erreur « Format de données non valide » s'affiche si vous entrez plus de 15 ports dans le service.
Solution : si le service a plus de 15 ports, créez plusieurs services.

Problème 1161214 : l'utilisateur doit se déconnecter pour afficher le rôle modifié ou ajouté
Lorsqu'un utilisateur ajoute ou modifie son rôle alors qu'il est connecté à une session, celle-ci ne reflète pas les modifications apportées au rôle.
Solution : déconnectez-vous, puis reconnectez-vous pour afficher les affectations de rôle mises à jour.

Problèmes avec vShield App

Problème 1197810 : après être revenu à une ancienne configuration de pare-feu, il est impossible d'ajouter une règle de pare-feu dans le tableau Flow Monitoring
Après avoir chargé une ancienne configuration de pare-feu, vous ne pouvez pas ajouter une règle dans le tableau Flow Monitoring. Cela est probablement dû au fait que la règle pour laquelle le flux a été détecté ne fait plus partie de la configuration de pare-feu actuelle.
Solution : aucune.

Problème 967277 : si l'instance de vCenter Server devient non disponible lors de la mise à niveau de vShield App, la mise à niveau échoue et le lien de mise à jour n'est pas disponible
Reportez-vous à l'article 'Update link not available during vShield App upgrade' dans la base de connaissances VMware.

Problème 1089671 : les règles de pare-feu avec la source/destination en tant que câble virtuel ne sont pas appliquées en cas d'ajout d'une nouvelle machine virtuelle au câble virtuel existant
Si les règles de pare-feu préconfigurées contiennent un câble virtuel dans la source/destination, elles ne sont pas appliquées à la nouvelle VM ajoutée à ce câble virtuel
Solution : après avoir ajouté la nouvelle VM au câble virtuel, republiez la configuration du pare-feu sur ce câble virtuel.

Problèmes avec vShield Edge

Problème 1405586/1311273 : l'écran de connexion au portail VPN SSL est vide.
L'un des fichiers javascript utilisés par le portail VPN SSL est corrompu sur vShield Edge. Ceci entraîne l'échec du rendu de la page du portail.
Solution : lorsque vous rencontrez ce problème, redéployez vShield Edge.

Problème 1165472 : impossible de créer une demande de signature de certificat ou un certificat si vShield Manager a été mis à niveau vers la version 5.1.3 et que vShield Edge est toujours à la version 5.0.2
Lorsque vShield Manager est mis à niveau vers la version 5.1.3 et que vShield Edge est d'une version antérieure, vous ne pouvez pas créer de demande de signature de certificat de 512/1 024 bits.
Solution : aucune.

Problèmes avec Service Insertion

Problème 1062057 : impossible de lier le profil du service au réseau
Impossible de lier un profil de service à un réseau disponible.
Solution : redémarrez vShield Manager.

Problèmes avec Data Security

Problème 1291748 : lorsque vous spécifiez des filtres de fichiers pour une analyse Data Security, vous ne pouvez pas sélectionner Date de dernière modification dans le calendrier
Lorsque vous tentez de sélectionner la date Avant pour exécuter une analyse Data Security, le calendrier est grisé.
Solution : dans votre navigateur, modifiez les préférences de langue en indiquant fr-FR, puis sélectionnez la date dans le champ Avant.

Problèmes résolus

Les problèmes suivants ont été résolus dans la version 5.5.4.1 :

Problème 1414763 : vShield SSL VPN ne met pas en œuvre la signature de code sur un client OSX Yosemite
Dans la version de Yosemite, OSX ajoute une validation de code pour toutes les extensions de noyau (kexts) chargées sur un système. Le client OSX ne met pas en œuvre de signature de code et ne peut donc pas fonctionner.

Problème 1429432 : le déploiement du Blueprint multi-machines échoue lorsque vShield Manager ne répond plus
Le déploiement d'un Blueprint multi-machines échoue lorsque vShield Manager ne peut pas reconnaître l'adaptateur VMXnet3. vShield Manager ne répond plus lorsque cela se produit. Ce correctif remplace l'adaptateur de vCNS Manager Appliance par un adaptateur vmxnet3. Reportez-vous à la section Instructions de mise à niveau ci-dessus pour connaître la procédure d'application du correctif.

Problème 1424601 : vulnérabilités de sécurité Skip-TLS et Poodle
OpenSSL est mis à jour vers la version 0.9.8zd. Le package Oracle (Sun) JRE est mis à jour vers la version 1.7.0_75. La mise à jour corrige plusieurs problèmes de sécurité existants dans les versions antérieures d'Oracle (Sun) JRE. Oracle a répertorié les identifiants CVE résolus dans JRE 1.7.0_75 sur la page Oracle Java SE Critical Patch Update Advisory de janvier 2015. Ce correctif désactive SSLv3 sur vShield Manager.

Les problèmes suivants ont été résolus dans la version 5.5.4 :

Problème 1343847/1343842/1362763 : correctifs de résolution de la vulnérabilité CVE-2014-3566 « POODLE »
La version 5.5.4 inclut deux modifications permettant de résoudre la vulnérabilité CVE-2014-3566 (vulnérabilité SSLv3 nommée « POODLE ») :

Mise à jour de la bibliothèque SSL du système vShield Edge vers OpenSSL 0.9.8zc ; et
Méthode API mise à jour qui permet aux administrateurs de corriger la vulnérabilité POODLE sur vShield Edge.

À l'aide de cette méthode API, vous pouvez désactiver la prise en charge de SSLv3 sur des dispositifs vShield Edge spécifiques au sein de votre environnement. Pour ce faire, utilisez le paramètre sslVersionList dans l'appel API suivant pour inclure dans la liste blanche la ou les versions SSL souhaitées sur NSX Edge.

Méthode API :

POST https://<vsm-ip>/api/3.0/edges/<edge-id>/sslvpn/config/server/

Exemple de texte de demande :

Dans cet exemple, nous activons SSLv3, TLSv1, TLSv1_2 et TLSv1_1 :

 <serverSettings>
   <ip>SSLVPN-Server IP</ip>
   <port>443</port>
   <cipherList>
      <cipher>RC4-MD5</cipher>
   </cipherList>
   <sslVersionList>
      <version>SSLv3</version>
      <version>TLSv1</version>
      <version>TLSv1_2</version>
      <version>TLSv1_1</version>
   </sslVersionList>
</serverSettings>

Si le paramètre sslVersionList est vide, toutes les versions SSL répertoriées dans l'exemple ci-dessus sont incluses dans la liste blanche.

Le multicloud aujourd'hui : Le Cloud à l'heure du chaos

87 % des entreprises utilisent au moins deux environnements Cloud pour exécuter leurs applications. Le multicloud accélère la transformation digitale mais augmente aussi la complexité et les risques. Résultat : une situation chaotique pour de nombreuses organisations.

Supprimer la situation chaotique du Cloud grâce aux services VMware Cross-Cloud Services

Anywhere Workspace

Plate-forme applicative

Infrastructure Cloud et Edge

Gestion du Cloud

Hyperviseur de poste de travail

Sécurité et réseau

Exécutez les solutions VMware dans tous les Clouds. Dans n’importe quel environnement. N’importe où.

Sur les Clouds publics et hybrides

Sur Clouds privés et locaux

Solutions

Anywhere Workspace Accéder à toutes les applications sur tous les terminaux en toute sécurité

Plate-forme applicative Développer et exploiter des applications Cloud natives

Infrastructure Cloud Exécuter des applications d’entreprise partout

Gestion du Cloud Automatiser et optimiser les applications et les Clouds

Infrastructure Edge Activer la périphérie multicloud

Réseau Activer la connectivité des applications et des Clouds

Sécurité Sécuriser les applications et les Clouds

Par secteur d’activité

Solutions IA de VMware

Pour les clients

Pour les partenaires

Collaborer avec des partenaires pour assurer la réussite des clients

Outils et formation

Services

Support

Marketplace

Blogs et communautés

Clients

Événements