VMware vCloud Networking and Security 5.5.3.1 リリース ノート

vCloud Networking and Security 5.5.3.1 | 2014 年 10 月 3 日 | ビルド 2175697

 

リリース ノートの概要

このリリース ノートには、次のトピックが含まれています。

新機能

vCloud Networking and Security 5.5.3.1 リリースにはすべての vCloud Networking and Security アプライアンスに関するパッチが含まれています。 これらのパッチは BASH Shellshock のセキュリティに関する脆弱性を解決します。 このリリースにアップグレードすることをお勧めします。

このリリースには、バージョン 5.1.x、5.1.4.x および 5.5.x からアップグレードできます。

システム要件とインストール

システム要件とインストールまたはアップグレード手順の詳細については、『 vShield インストールとアップグレード ガイド 』を参照してください。

既知の問題

既知の問題は、以下のとおり、分類されています。

アップグレードの問題

vShield Endpoint のアップグレード/アンインストールが次のエラーで失敗する vShield Endpoint のインストールで vib をアンインストールしているときにエラーが発生しました:内部サーバ エラー
vShield Endpoint アップグレード/アンインストールがエラーを出して失敗します。 ESXi コマンド ラインから vib をアンインストールする場合も、次のエラーが発生して失敗します。
[InstallationError]
rm /tardisks/epsec-mu.v00 の実行中にエラーが発生しました:
戻りコード: 1
出力: rm: '/tardisks/epsec-mu.v00' を削除できません: デバイスまたはリソースがビジーです。
安全に続行できません。 完了していない更新を破棄するには、今すぐホストを再起動してください。 詳細についてはログ ファイルを参照してください。

回避策: 以下の手順に従います。

  1. ESXi cli にログインします。
  2. /bootbank/boot.cfg ファイルで、エントリ epsec-mu.v00 をエントリ sb.v00 の後ろに移動します。
    boot.cfg のモジュール エントリには区切り文字「---」があります。 したがって変更後のエントリは sb.v00 --- epsec-mu.v00 のようになります。
  3. /bootbank/boot.cfg ファイルを保存します。
  4. ホストをメンテナンス モードにし、その後 vCenter Web Client から再起動します。
  5. vShield Endpoint をインストール/アップグレードします。

 

全般的な問題

ネットワークで作成されたセキュリティ グループに vNIC が含まれていて、関連する仮想マシンが別のネットワークに移動されている場合、このセキュリティ グループを UI で編集することはできず、vNIC は引き続きセキュリティ グループのメンバーとなります。
回避策: 次の REST 呼び出しを使用してセキュリティ グループから vNIC を削除します。
DELETE https:/<vsm-ip>/api/2.0/services/securitygroup/<securityGroupId>/members/<vNicId>
そうすると、UI でこのセキュリティ グループを編集できるようになります。

VXLAN 用のクラスタを準備すると、ESXi が vSwitch 上でネットワーク接続が失われていることをレポートする
VXLAN 用のクラスタを準備すると、VXLAN 対応のクラスタ上で RSS を有効化するために NIC ドライバがアンインストールされて再インストールされるときに接続性が一時的に失われます。 この問題は Intel ixgpbe ドライバを使用するときのみに発生します。
回避策: なし。

ユーザー名に中国語、日本語、韓国語の文字または拡張 ASCII 文字が含まれている場合、vShield Manager にログインできない
回避策: ブラウザのエンコードを UTF-8 に設定します。

物理ホスト上でネスト化された ESX のサポートが有効にされていると、物理 ESXi-5.x への SVM の展開が失敗する
物理ホスト上でネスト化された ESX のサポートが有効にされていると、vShield SVM に仮想化された Intel VT/EPT のエラーが表示されます。
回避策: なし。

指定したバックアップ ディレクトリが存在しない場合、データがバックアップされない
vShield Manager データをバックアップする際に無効なディレクトリを指定すると、バックアップ ファイルは作成されません。
回避策: 指定するバックアップ ディレクトリが FTP サーバ上に存在することを確認してください。

vShield Manager に関する問題

NSX Manager で Lookup Service を構成する場合、ドメインとユーザー名の間にバックスラッシュを使用できない
回避策: ユーザー名とドメインの間には、バックスラッシュでなく @ を使用します。 たとえば、 domain\user の代わりに user@domain を入力します。

ポートが正しいフォーマットで入力されているにもかかわらず「データ フォーマットが無効です」というエラーが表示される
サービスを追加/作成しているときに、ポートを正しいフォーマットで入力しているにもかかわらず、「データ フォーマットが無効です」というエラーが表示されます。 このエラーは、入力されたポートの数が上限の 15 ポートを超えると、発生することがあります。
回避策: サービスのポート数が 15 を超える場合は、複数のサービスを作成してください。

修正または追加されたロールを表示するにはログアウトする必要がある
ユーザーがセッションにログインしている間に自分のロールを追加または修正すると、そのセッションではロールの変更が反映されません。
回避策: いったんログアウトし、再びログインしてから更新されたロールの割り当てを表示します。

vShield App に関する問題

古いファイアウォール構成に戻したら、Flow Monitoring テーブルからファイアウォール ルールを追加できない
古いファイアウォール構成をロードすると、Flow Monitoring テーブルからルールを追加できません。 これは、フローを検出したルールが現在のファイアウォール構成に含まれていないためです。
回避策: なし。

vShield App のアップグレード プロセス中に vCenter Server が使用できなくなると、アップグレードが失敗し、アップデート リンクが利用できない
vShield App アップグレード中にアップデート リンクが利用できない」を参照してください。

既存の仮想ワイヤに新しい仮想マシンを追加すると、仮想ワイヤを持つソース/ターゲットでファイアウォール ルールが適用されない
事前構成されたファイアウォール ルールがソース/ターゲットに仮想ワイヤを含んでいる場合、これらのルールはその仮想ワイヤに追加された新しい仮想マシンには適用されません。
回避策: 新しい仮想マシンを仮想ワイヤに追加した後、その仮想ワイヤでファイアウォール構成を再発行します。

vShield Edge に関する問題

SSL VPN-Plus インストール パッケージを変更できない
SSL VPN-Plus インストール パッケージを編集しても変更が適用されません。
回避策: 以下の手順に従います。

  1. インストール パッケージを編集するのではなく削除し、パラメータを変更した新しいインストール パッケージを作成します。
  2. お使いのコンピュータ上に SSL VPN クライアントがある場合には、その SSL VPN クライアントを削除します。
  3. コンピュータを再起動します。
  4. 新しいインストール パッケージをインストールします。

 

DHCP バインドのホスト名に、中国語、日本語、韓国語の文字または拡張 ASCII 文字を使用した文字列を含められない
[DHCP バインド] ウィンドウの [ホスト名] フィールドに中国語、日本語、韓国語の文字または拡張 ASCII 文字を使用した文字列が含まれている場合、そのバインドの発行はエラーが発生しました。
回避策: [ホスト名] フィールドに ASCII 文字を入力します。

vShield Manager を 5.1.3 にアップグレードし、Edge が 5.0.2 のままである場合、CSR/証明書を作成できない
vShield Manager を 5.1.3 にアップグレードし、Edge が下位バージョンの場合は、サイズが 512/1024 ビットの CSR を作成できません。
回避策: なし。

Service Insertion に関する問題

ネットワークにサービス プロファイルをバインドできない
使用可能なネットワークのいずれにもサービス プロファイルをバインドできません。
回避策: vShield Manager を再起動してください。

Data Security に関する問題

Data Security スキャン用のファイル フィルタを指定中に、[最終変更日] をカレンダーから選択できない
Data Security スキャンの実行用に [ 以前] の日付を選択しようとすると、カレンダーがクレー アウトします。
回避策: お使いのブラウザの言語設定を en-US に変更した後に [ 以前] フィールドで日付を選択します。

Service Composer に関する問題

セキュリティ ポリシー名に合計 229 文字を含めることができる
回避策: なし。

解決した問題

vShield 5.5.3.1 リリースでは、次の問題が解決されています。

  • NSX アプライアンスが BASH Shellshock のセキュリティに関する脆弱性に対して脆弱である
    このパッチは NSX アプライアンス内の Bash ライブラリを更新して、一般に Shellshock と呼ばれる複数の重大なセキュリティ問題を解決します。 Common Vulnerabilities and Exposures (CVE) プロジェクト (cve.mitre.org) では、これらの問題に ID CVE-2014-6271、CVE-2014-7169、CVE-2014-7186、および CVE-2014-7187 が割り当てられています。
    この脆弱性を解決するには、すべての vCNS コンポーネントをアップグレードする必要があります。 アップグレードするには、『 vShield インストールとアップグレード ガイド 』の手順に従います。

5.5.3 リリースでは、次の問題が解決されています。

  • SSL ユーザーのパスワード変更が機能しない
    環境内に vShield Manager 5.5.1 と vShield Edge 5.5.0 がインストールされている場合、[ 次のログイン時にパスワードを変更] オプションでユーザーの新しいパスワードに変更しようとしてもできません。