VMware vCloud Networking and Security 5.1.4.3 リリース ノート

vCloud Networking and Security 5.1.4.3 | 2014 年 10 月 3 日 | ビルド 2174081

リリース ノートの概要

このリリース ノートには、次のトピックが含まれています。

新機能

vCloud Networking and Security 5.1.4.3 リリースにはすべての vCloud Networking and Security アプライアンスに関するパッチが含まれています。 これらのパッチは BASH Shellshock のセキュリティに関する脆弱性を解決します。 このリリースにアップグレードすることをお勧めします。

このリリースには、バージョン 5.1.x および 5.1.4.x からアップグレードできます。

システム要件とインストール

システム要件とインストールまたはアップグレード手順の詳細については、『 vShield インストールとアップグレード ガイド 』を参照してください。

既知の問題

次の既知の問題は、厳密なテストで発見されたものであり、このリリースで起こる可能性のあるいくつかの動作を理解するのに役立ちます。

既知の問題は、以下のとおり、分類されています。

アップグレードの問題

アップグレード後に SSL VPN クライアントをアンインストールして再インストールする必要がある
vShield 5.1.4.1 へのアップグレード後、SSL VPN クライアントをアンインストールしてから再インストールする必要があります。 最新のクライアントをインストールするには、https:// ssl-vpn-ip-address を参照してください。ここで ssl-vpn-ip-address は SSL VPN サービスの待機で使用するように構成されている Edge インターフェイスに割り当てられたアップリンク IP アドレスです。

vShield Manager に関する問題

vShield Manager を vCenter に登録するには FQDN ではなく IP アドレスを使用する
vShield Manager UI は、vCenter Server への登録中に完全修飾ドメイン名 (FQDN) を受け付けません。
回避策: FQDN ではなく IP アドレスを使用します。

vShield Manager のアップグレードはエラーが表示されて失敗する
vShield Manager が 4.1 から 5.0、さらに 5.1 にアップグレードされると、vShield Manager は vCenter Server に接続できず、UI には内部サーバ エラーが表示されます。
回避策: vCenter Server の認証情報を再入力します。 接続が回復されない場合は、vShield Manager を再起動してください。

ポートが正しいフォーマットで入力されているにもかかわらず「データ フォーマットが無効です」というエラーが表示される
サービスを追加/作成しているときに、ポートを正しいフォーマットで入力しているにもかかわらず、「データ フォーマットが無効です」というエラーが表示されます。 このエラーは、入力されたポートの数が上限の 15 ポートを超えると、発生することがあります。
回避策: サービスのポート数が 15 を超える場合は、複数のサービスを作成してください。

修正または追加されたロールを表示するにはログアウトする必要がある
ユーザーがセッションにログインしている間に自分のロールを追加または修正すると、そのセッションではロールの変更が反映されません。
回避策: いったんログアウトし、再びログインしてから更新されたロールの割り当てを表示します。

ローカル ユーザーまたは vCenter ユーザーのロール割り当てを削除すると、「内部サーバ エラー」が表示される
回避策: 削除するユーザー アカウントを無効にします。

vShield App に関する問題

vShield App のアップグレード プロセス中に vCenter Server が使用できなくなると、アップグレードが失敗し、アップデート リンクが利用できない
vShield App アップグレード中にアップデート リンクが利用できない」を参照してください。

vShield Edge に関する問題

SSL VPN-Plus インストール パッケージを変更できない
SSL VPN-Plus インストール パッケージを編集しても変更が適用されません。
回避策: 以下の手順に従います。

  1. インストール パッケージを編集するのではなく削除し、パラメータを変更した新しいインストール パッケージを作成します。
  2. お使いのコンピュータ上に SSL VPN クライアントがある場合には、その SSL VPN クライアントを削除します。
  3. コンピュータを再起動します。
  4. 新しいインストール パッケージをインストールします。

 

2 つの異なる機能に別々の証明書を構成できない
2 つの異なる機能に対して別々の証明書を構成することはできません。 たとえば、IPsec に証明書 (a)、SSL VPN に証明書 (b) を使用することはできません。
回避策: 両方の機能に同じ証明書を使用して、一方の機能に対する証明書を変更します。

vShield Manager を 5.1.x にアップグレードしても Edge のバージョンが 5.0.2 のままの場合、サイズが 512/1024 ビットの CSR を作成できない
vShield Manager を 5.1.x にアップグレードしても Edge のバージョンが 5.0.2 のままの場合、サイズが 512/1024 ビットの CSR を作成できません。
回避策: サイズが 2048/3072 ビットの CSR を作成します。

解決した問題

5.1.4.3 リリースでは、次の問題が解決されています。

  • NSX アプライアンスが BASH Shellshock のセキュリティに関する脆弱性に対して脆弱である
    このパッチは NSX アプライアンス内の Bash ライブラリを更新して、一般に Shellshock と呼ばれる複数の重大なセキュリティ問題を解決します。 Common Vulnerabilities and Exposures (CVE) プロジェクト (cve.mitre.org) では、これらの問題に ID CVE-2014-6271、CVE-2014-7169、CVE-2014-7186、および CVE-2014-7187 が割り当てられています。
    この脆弱性を解決するには、すべての vShield コンポーネントをアップグレードする必要があります。 アップグレードするには、『 vShield インストールとアップグレード ガイド 』の手順に従います。

5.1.4.2 リリースでは、次の問題が解決されています。

  • このリリースには、重大な情報の流出につながる脆弱性に対処する Edge パッチが含まれています。

vShield 5.1.4.1 リリースでは、次の問題が解決されています。

vShield 5.1.4 リリースでは、次の問題が解決されています。

  • OpenSSL 1.0.1 pre-g に該当する OpenSSL のセキュリティ問題 CVE-2014-0160/CVE-2014-0346 (Heartbleed) により、サーバからクライアントへ、およびクライアントからサーバへメモリの内容が漏れる恐れがある
  • 仮想マシンのネットワークが切断される
  • Cisco N1k で 5.1.2a から 5.1.3 へアップグレードした後に vShield Manager が起動しない
  • NetX サービスを実行している 5.5 vCenter に 5.1 ESX ホストを追加すると、fast path vib のインストールに失敗する
  • vShield Manager 上で実行されている NTPD から NTP 変数が開示される
  • NFS または SAN 上の vShield Networking and Security アプライアンスのデプロイをサポートするために、SCSI ブロック層のタイムアウトを増やさなければならない
  • vShield 5.1.3 が 5.5 fast-path vib を 5.1 vSphere 環境にロードしようとする
  • vShield App のログ回転の不具合により、ディスク使用量が 100% になる
  • ログ回転の不具合により、セカンダリ vShield Edge 仮想マシン上のディスク使用量が 100% になる
  • ロード バランサー HTTP/HTTPS プロトコルのステータスが一貫しない
  • vShield 環境のネットワーク スループットが低い
  • ISEC 8: ソース コード内に暗号化キーが保存される
  • Web サーバ暗号の強化が不十分であるために、vShield Manager に違反が生じる可能性がある
  • vShield 5.1.2 で見つかった各種の XSS の脆弱性

vShield 5.1.3 リリースでは、次の問題が解決されています。

  • CiscoN1k で 5.1.2a から 5.1.3 へアップグレードした後に vShield Manager が起動しない
  • NetX サービスを実行している 5.5 vCenter に 5.1 ESX ホストを追加すると、vShield からの fast path vib のインストールに失敗する
  • vShield App によって保護されている仮想マシンを vApp 間で移動した後、ネットワーク接続が切断される
  • 各規則に MAC セキュリティ グループを含む大量の L2 規則により vShield 環境のネットワーク スループットが低くなる
  • vShield Manager バージョン 5.1.1 では 2 つの中間ルート CA 証明書をインポートできない
  • バージョン 5.1.2a へのアップグレード以降、ルールでのプロビジョニングが増加する
  • 大規模なインベントリに関するトランザクションで DCN スレッドがオブジェクトをフラッシュしている状態ですべて停止するため、vShield Manager の CPU 使用率が 90% を超える
  • Edge TCP のアイドル タイムアウト値は 5.1.3 の REST API を使用して構成できる
  • vShield Manager カーネルが実行されているストレージに問題がある場合、またはディスク タイムアウト値が低いことが原因でストレージが使用できない場合、vShield Manager カーネル パニックが発生する。 新しい値は、120 秒に設定されます。
  • セキュリティ グループのメンバーであるポート グループでは、MAC アドレスのグループ化 (mac-set) が更新されない
  • [市区町村名] および [都道府県名] のフィールドが Null の証明書署名要求が生成される
  • vCloud Director のライセンス「vCloud Networking and Security - Networking for VCD」が使用されている場合、新しい Isolation Org VDC Network を作成することはできず、次のエラーが表示されて失敗します。 「VSM 応答エラー (214): エンティティ:vcloud-netsec 機能:vxlan:アドオンへのライセンスがありません:」
  • vMotion を使用して仮想マシンを、vShield App をインストールしていない ESXi ホストから vShield App がインストールされた ESXi ホストに移行した後、仮想マシンのネットワーク接続が失われる
  • vShield Manager が VMInfo メッセージで無効な VNIC UUID を送信することが原因で、vShield App のインストールが失敗する
  • vMotion を使用して移行した直後、仮想マシンがネットワークに接続できないか、DHCP アドレスを取得できない。 DHCP アドレスを取得できるようにするには、強制同期が必要です。
  • vShield App を同じ ESXi ホストにインストールすると、サードパーティ製アンチウイルス オフロード製品への接続に影響が及ぶ
  • vMotion を使用して移行した直後、仮想マシンがネットワークに接続できないことがある
  • ファイアウォール ルールのプロビジョニングに時間がかかる
  • 短縮されたイーサネット トレーラーが指定されたパケットを含むトラフィックが仮想マシンでブロックされる
  • vSM や vSA のパワーオフ、vSA vnic の切断、ESXi ホストのパワーオフの組み合わせなど、エンド ユーザーの構成に誤りがあるため同期が取れなくなることにより、主要なインフラストラクチャ コンポーネント間で vSA が通信できなくなった後、何もルールが設定されていない、あるいはすべてのルールが通信を許可するように設定されているにもかかわらず、vShield App でトラフィックがブロックされる
  • vSA カーネルが実行されているストレージに問題がある場合、またはディスク タイムアウト値が低いことが原因でストレージが使用できない場合、vSA カーネル パニックが発生する。 新しいディスク タイムアウト値は 180 秒に設定されます。
  • クラスタ間で ESXi ホストを移動した結果、vDS 上の仮想マシンでネットワーク接続が失われる
  • vCenter Server オブジェクトから vApp、クラスタ、リソース プールなどの別のオブジェクトに仮想マシンを移動すると、ターゲット オブジェクトに適用されるファイアウォール ルールが継承されない
  • 広い IP 範囲(たとえばクラス A 全体)を使用してルールを定義すると、vShield App Appliance が再起動される
  • 誤った間隔でのセッション タイムアウトにより、トラフィックがドロップされる
  • Flow Monitoring により、物理ソースを起点とする特定の種類のトラフィックについて、ソースとターゲットが逆転していると報告される
  • ファイアウォール ルールの再公開が一定の回数に達した後に、このルールを公開すると、セキュリティ グループが誤って削除される
  • 値の大きい MACset を使用すると、イーサネット (L2) ファイアウォール ルールの公開が失敗する
  • RSA ACE サーバも実行されていると、ロード バランサの仮想 IP (VIP) を vShield Edge に追加できない
  • vShield Edge 構成の変更(再デプロイ、アップグレード、HA イベントの発生)が適用されると、RSA 認証が失敗する
  • パスワード ポリシー内に構成されたパスワードの有効期限のタイムアウトが近づくと、SSL VPN の Mac クライアントがログインできなくなる
  • HA モードで構成された vShield Edge で同時にカーネル パニックが発生する
  • 2 つの異なる IP アドレスとサブネットが、1 つのサブネット (0.0.0.0/32) で定義されている VNIC では vShield Edge DHCP が動作しない
  • HA ペアの両方の vShield Edge がアクティブ モードになる
  • vShield Edge で、メモリ不足 (OoM) 状態になった後、ドロップされた IPSEC VPN トンネルを再確立できない
  • vShield Edge が最初にデプロイされたリソース プールが利用できなくなると、vShield Edge のアップグレードが失敗する
  • SSL VPN サービスを利用した HA 対応の vShield Edge で、高い CPU 使用率が表示され、短期間のうちに何度もフェイルオーバーが行われる
  • UI の DHCP 静的バインド構成で、仮想ワイヤに接続された vShield Edge が空白で表示される
  • vShield Edge でスループットとパフォーマンスが低下する
  • 4 vCPU の vShield Edge をデプロイするためのオプションが追加された
  • SSL L2 VPN トンネル通過時のデータパスの問題
  • vSE L2VPN トンネルに対する SNAT ルールにより、vSE の背後にある VM がパブリック IP に到達できない
  • vShield Edge Appliance でコア ダンプの保存がサポートされていない。 CLI に debug crashdump コマンドが追加されました。
  • PFS が有効になっているときに IPsec トンネルが頻繁にドロップされる
  • UI でロード バランサの永続性メソッドを設定または変更しても、変更が確定しない
  • 永続性メソッドが SSL_SESSION_ID に設定されていると、ロード バランサがクラッシュする
  • OSX 10.9 (Mavericks) への SSL VPN クライアントのインストールに失敗する
  • ファイアウォール ルールでセキュリティ グループの使用中に UI と REST 間の動作に一貫性がない
  • vShield Edge の構成/インストール/アップグレードの各ワークフローで次のエラーが報告される
  • VIX エージェントから無効な応答を受信した
  • VIX エージェントが VC に接続されていない
  • 証明書モードの IPsec トンネルが確立できない