vCloud Networking and Security 5.1.4 | 2014 年 4 月 16 日 | ビルド 1740417

 

The vCloud Networking and Security 5.1.4 リリースは、5.1.3 リリースの差し替えとなります。

リリース ノートの概要

このリリース ノートには、次のトピックが含まれています。

新機能

vCloud Networking and Security 5.1.4 リリースには、OpenSSL のセキュリティ問題 CVE-2014-0160/CVE-2014-0346 (Heartbleed) のバグと、 解決した問題のセクションに記載されているその他のバグの修正が含まれています。OpenSSL の問題の詳細については、 OpenSSL セキュリティ問題 CVE-2014-0160/CVE-2014-0346 に対する対応をご覧ください。

vCloud Networking and Security 5.1.3 をご利用のお客様は、直ちに 5.1.4 にアップグレードする必要があります。

システム要件とインストール

システム要件とインストール手順の詳細については、『 vShield インストールとアップグレード ガイド  』を参照してください。

このリリースをアップグレードするには、次の手順に従ってください。

  1. お使いの環境の vShield Manager とすべての vShield App および vShield Edge 仮想マシンを vCloud Networking and Security 5.1.4 リリースにアップグレードします。手順については、『 vShield インストールとアップグレード ガイド  』の「 vShield のアップグレード」を参照してください。
  2. 次の手順に従い、SSL VPN で使用される証明書とキーを変更します。
    1. 新しいサーバ証明書を追加します。
      1. vSphere Client で、[インベントリ] > [ホストおよびクラスタ] を選択します。
      2. インベントリ パネルから、データ センター リソースを選択します。
      3. [ネットワーク仮想化] タブをクリックし、[Edge] リンクをクリックします。
      4. [vShield Edge] をダブルクリックし、[構成] タブをクリックします。
      5. [証明書] リンクをクリックします。
      6. [追加] アイコンをクリックし、[証明書] を選択します。
      7. 証明書の内容とプライベート キーを貼り付けます。
      8. [OK] をクリックします
    2. 古いサーバ証明書を削除します。
      1. 古い証明書を選択し、[削除] アイコンをクリックします。
      2. [ OK] をクリックします。
    3. 新しい証明書で機能するよう、SSL VPN を構成します。
      1. [SSL VPN-Plus] タブをクリックします。
      2. [構成] パネルで、[サーバ設定] をクリックし、[変更] をクリックします。
      3. [サーバの証明書] テーブルから新しいサーバ証明書を選択し、[OK] をクリックします。
    4. 古い証明書を失効させるには、証明書プロバイダに連絡してください。
  3. 古い証明書に対する信頼をお使いのブラウザおよび OS から削除します。また、お使いのシステムで失効チェックが有効であることを確認します。
  4. SSL VPN パスワードを変更します。手順については、『 vShield 管理ガイド  』の「 VPN サービスの管理」を参照してください。

既知の問題

次の既知の問題は、厳密なテストで発見されたものであり、このリリースで起こる可能性のあるいくつかの動作を理解するのに役立ちます。

既知の問題は、以下のとおり、グループ化されます:

vShield Manager に関する問題

vShield Manager のアップグレードはエラーが表示されて失敗する
vShield Manager が 4.1 から 5.0、さらに 5.1 にアップグレードされると、vShield Manager は vCenter Server に接続できず、UI には内部サーバ エラーが表示されます。
回避策: vCenter Server の認証情報を再入力します。接続が回復されない場合は、vShield Manager を再起動してください。

ポートが正しいフォーマットで入力されているにもかかわらず「データ フォーマットが無効です」というエラーが表示される
サービスを追加/作成しているときに、ポートを正しいフォーマットで入力しているにもかかわらず、「データ フォーマットが無効です」というエラーが表示されます。このエラーは、入力されたポートの数が上限の 15 ポートを超えると、発生することがあります。
回避策:サービスのポートが 15 を超える場合は、複数のサービスを作成してください。

修正または追加されたロールを表示するにはログアウトする必要がある
ユーザーがセッションにログインしている間に自分のロールを追加または修正すると、そのセッションではロールの変更が反映されません。
回避策:いったんログアウトし、再びログインしてから更新されたロールの割り当てを表示します。

ローカル ユーザーまたは vCenter ユーザーに対するロールの割り当てを削除すると「内部サーバ エラー」と表示される
回避策:削除するユーザー アカウントを無効にします。

vShield App に関する問題

vShield App のアップグレード プロセス中に vCenter Server が使用できなくなると、アップグレードが失敗し、アップデート リンクが利用できない
vShield App アップグレード中にアップデート リンクが利用できない」を参照してください。

ホストに vShield App がインストールされていると、クラスタを準備できない
vShield App がインストールされていると、ホストをメンテナンス モードに切り替えることができないため、VXLAN 用のクラスタの準備に失敗します。
回避策:ホストを手動でメンテナンス モードに切り替えます。手動で起動されると、vShield App Appliance がシャットダウンされ、クラスタの準備を継続できるようになります。完了すると、ホストのメンテナンス モードが終了し、vShield App Appliance は通常どおりに動作を続行します。

vShield Edge に関する問題

2 つの異なる機能に別々の証明書を構成できない
2 つの異なる機能に対して別々の証明書を構成することはできません。たとえば、IPsec に証明書 (a)、SSL VPN に証明書 (b) を使用することはできません。
回避策:両方の機能に同じ証明書を使用して、一方の機能に対する証明書を変更します。

vShield Manager を 5.1.3 にアップグレードし、Edge が 5.0.2 のままである場合、CSR/証明書を作成できない
vShield Manager を 5.1.3 にアップグレードし、Edge が下位バージョンの場合は、サイズが 512/1024 ビットの CSR を作成できません。
回避策: 2048 および 3072 ビットの CSR を作成します。

解決した問題

vShield 5.1.4 リリースでは、次の問題が解決されています。

  • OpenSSL 1.0.1 pre-g に該当する OpenSSL のセキュリティ問題 CVE-2014-0160/CVE-2014-0346 (Heartbleed) により、サーバからクライアントへ、およびクライアントからサーバへメモリの内容が漏れる恐れがある
  • 仮想マシンのネットワークが切断される
  • Cisco N1k で 5.1.2a から 5.1.3 へアップグレードした後に vShield Manager が起動しない
  • NetX サービスを実行している 5.5 vCenter に 5.1 ESX ホストを追加すると、fast path vib のインストールに失敗する
  • vShield Manager 上で実行されている NTPD から NTP 変数が開示される
  • NFS または SAN 上の vShield Networking and Security アプライアンスのデプロイをサポートするために、SCSI ブロック層のタイムアウトを増やさなければならない
  • vShield 5.1.3 が 5.5 fast-path vib を 5.1 vSphere 環境にロードしようとする
  • vShield App のログ回転の不具合により、ディスク使用量が 100% になる
  • ログ回転の不具合により、セカンダリ vShield Edge 仮想マシン上のディスク使用量が 100% になる
  • ロード バランサー HTTP/HTTPS プロトコルのステータスが一貫しない
  • vShield 環境のネットワーク スループットが低い
  • ISEC 8:ソース コード内に暗号化キーが保存される
  • Web サーバ暗号の強化が不十分であるために、vShield Manager に違反が生じる可能性がある
  • vShield 5.1.2 で見つかった各種の XSS の脆弱性

vShield 5.1.3 リリースでは、次の問題が解決されています。

  • CiscoN1k で 5.1.2a から 5.1.3 へアップグレードした後に vShield Manager が起動しない
  • NetX サービスを実行している 5.5 vCenter に 5.1 ESX ホストを追加すると、vShield からの fast path vib のインストールに失敗する
  • vShield App によって保護されている仮想マシンを vApp 間で移動した後、ネットワーク接続が切断される
  • 各規則に MAC セキュリティ グループを含む大量の L2 規則により vShield 環境のネットワーク スループットが低くなる
  • vShield Manager バージョン 5.1.1 では 2 つの中間ルート CA 証明書をインポートできない
  • バージョン 5.1.2a へのアップグレード以降、ルールでのプロビジョニングが増加する
  • 大規模なインベントリに関するトランザクションで DCN スレッドがオブジェクトをフラッシュしている状態ですべて停止するため、vShield Manager の CPU 使用率が 90% を超える
  • Edge TCP のアイドル タイムアウト値は 5.1.3 の REST API を使用して構成できる
  • vShield Manager カーネルが実行されているストレージに問題がある場合、またはディスク タイムアウト値が低いことが原因でストレージが使用できない場合、vShield Manager カーネル パニックが発生する。新しい値は、120 秒に設定されます。
  • セキュリティ グループのメンバーであるポート グループでは、MAC アドレスのグループ化 (mac-set) が更新されない
  • [市区町村名] および [都道府県名] のフィールドが Null の証明書署名要求が生成される
  • vCloud Director ライセンス「vCloud Networking and Security - Networking for VCD」を使用すると、新しい Org VDC 隔離ネットワークが作成できず、エラー「VSM 応答エラー (214):エンティティ vcloud-netsec、機能 vxlan、アドオンへのライセンスがありません」が表示されて失敗する
  • vMotion を使用して仮想マシンを、vShield App をインストールしていない ESXi ホストから vShield App がインストールされた ESXi ホストに移行した後、仮想マシンのネットワーク接続が失われる
  • vShield Manager が VMInfo メッセージで無効な VNIC UUID を送信することが原因で、vShield App のインストールが失敗する
  • vMotion を使用して移行した直後、仮想マシンがネットワークに接続できないか、DHCP アドレスを取得できない。DHCP アドレスを取得できるようにするには、強制同期が必要です。
  • vShield App を同じ ESXi ホストにインストールすると、サードパーティ製アンチウイルス オフロード製品への接続に影響が及ぶ
  • vMotion を使用して移行した直後、仮想マシンがネットワークに接続できないことがある
  • ファイアウォール ルールのプロビジョニングに時間がかかる
  • 短縮されたイーサネット トレーラーが指定されたパケットを含むトラフィックが仮想マシンでブロックされる
  • vSM や vSA のパワーオフ、vSA vnic の切断、ESXi ホストのパワーオフの組み合わせなど、エンド ユーザーの構成に誤りがあるため同期が取れなくなることにより、主要なインフラストラクチャ コンポーネント間で vSA が通信できなくなった後、何もルールが設定されていない、あるいはすべてのルールが通信を許可するように設定されているにもかかわらず、vShield App でトラフィックがブロックされる
  • vSA カーネルが実行されているストレージに問題がある場合、またはディスク タイムアウト値が低いことが原因でストレージが使用できない場合、vSA カーネル パニックが発生する。新しいディスク タイムアウト値は 180 秒に設定されます。
  • クラスタ間で ESXi ホストを移動した結果、vDS 上の仮想マシンでネットワーク接続が失われる
  • vCenter Server オブジェクトから vApp、クラスタ、リソース プールなどの別のオブジェクトに仮想マシンを移動すると、ターゲット オブジェクトに適用されるファイアウォール ルールが継承されない
  • 広い IP 範囲(たとえばクラス A 全体)を使用してルールを定義すると、vShield App Appliance が再起動される
  • 誤った間隔でのセッション タイムアウトにより、トラフィックがドロップされる
  • Flow Monitoring により、物理ソースを起点とする特定の種類のトラフィックについて、ソースとターゲットが逆転していると報告される
  • ファイアウォール ルールの再公開が一定の回数に達した後に、このルールを公開すると、セキュリティ グループが誤って削除される
  • 値の大きい MACset を使用すると、イーサネット (L2) ファイアウォール ルールの公開が失敗する
  • RSA ACE サーバも実行されていると、ロード バランサの仮想 IP (VIP) を vShield Edge に追加できない
  • vShield Edge 構成の変更(再デプロイ、アップグレード、HA イベントの発生)が適用されると、RSA 認証が失敗する
  • パスワード ポリシー内に構成されたパスワードの有効期限のタイムアウトが近づくと、SSL VPN の Mac クライアントがログインできなくなる
  • HA モードで構成された vShield Edge で同時にカーネル パニックが発生する
  • 2 つの異なる IP アドレスとサブネットが、1 つのサブネット (0.0.0.0/32) で定義されている VNIC では vShield Edge DHCP が動作しない
  • HA ペアの両方の vShield Edge がアクティブ モードになる
  • vShield Edge で、メモリ不足 (OoM) 状態になった後、ドロップされた IPSEC VPN トンネルを再確立できない
  • vShield Edge が最初にデプロイされたリソース プールが利用できなくなると、vShield Edge のアップグレードが失敗する
  • SSL VPN サービスを利用した HA 対応の vShield Edge で、高い CPU 使用率が表示され、短期間のうちに何度もフェイルオーバーが行われる
  • UI の DHCP 静的バインド構成で、仮想ワイヤに接続された vShield Edge が空白で表示される
  • vShield Edge でスループットとパフォーマンスが低下する
  • 4 vCPU の vShield Edge をデプロイするためのオプションが追加された
  • SSL L2 VPN トンネル通過時のデータパスの問題
  • vSE L2VPN トンネルに対する SNAT ルールにより、vSE の背後にある VM がパブリック IP に到達できない
  • vShield Edge Appliance でコア ダンプの保存がサポートされていない。CLI に debug crashdump コマンドが追加されました。
  • PFS が有効になっているときに IPsec トンネルが頻繁にドロップされる
  • UI でロード バランサの永続性メソッドを設定または変更しても、変更が確定しない
  • 永続性メソッドが SSL_SESSION_ID に設定されていると、ロード バランサがクラッシュする
  • OSX 10.9 (Mavericks) への SSL VPN クライアントのインストールに失敗する
  • ファイアウォール ルールでセキュリティ グループの使用中に UI と REST 間の動作に一貫性がない
  • vShield Edge の構成/インストール/アップグレードの各ワークフローで次のエラーが報告される
  • VIX エージェントから無効な応答を受信した
  • VIX エージェントが VC に接続されていない
  • 証明書モードの IPsec トンネルが確立できない