vCloud Networking and Security 5.5.4.1 | 2015 年 4 月 30 日リリース | ビルド 2673026

リリース ノートの概要

このリリース ノートには、次のトピックが含まれています。

新機能

このリリースで、Skip-TLS (CVE-2014-6593)、FREAK (CVE-2015-0204)、POODLE (CVE-2014-3566) の脆弱性、およびその他の問題に対処するための一連の修正が完了します。 このドキュメントの「 解決した問題」セクションを参照してください。 すべてのサード パーティ製コンポーネント(サード パーティ パートナーのソリューションなど)が、vCNS で使用されている更新済みの JRE および OpenSSL をサポートしていることを確認してください。

詳細については、以下を参照してください。

 

システム要件とインストール

システム要件とインストールまたはアップグレード手順の詳細については、『 vShield インストールとアップグレード ガイド』を参照してください。

アップグレード手順

以下のアップグレード手順に従います。

  1. vCloud Networking and Security をバージョン 5.5.4.1 にアップグレードします。 『 vShield インストールとアップグレード ガイド』を参照してください。
  2. 問題 1429432 の修正を適用するために e1000 から vmxnet3 ドライバに切り替える場合、以下の手順を実行します。
    • 現在の Manager アプライアンスのバックアップを作成します。
    • 5.5.4.1 Manager アプライアンスを新規にデプロイします。
    • 元の Manager アプライアンスをシャットダウンします。
    • この新規の Manager アプライアンスに、バックアップをリストアして適用します。

 

既知の問題

既知の問題は、以下のように分類されています。

アップグレードの問題

問題 1375343: アップグレード後に SSO を再構成できない
vShield Manager で構成された SSO サーバが vCenter Server でネイティブである場合、vCenter Server のバージョン 6.0 へのアップグレードおよび vShield Manager のバージョン 5.5.4 へのアップグレード後に、SSO 設定を vShield Manager で再構成できません。
回避策: なし。

問題 1369782: L2VPN サーバを 5.5.4 にアップグレードすると L2VPN トンネルが切断される
L2VPN クライアントをアップグレードせずに vShield Manager と L2VPN サーバを 5.5.4 にアップグレードすると、L2VPN トンネルが切断されます。 バージョン 5.5.4 より前の L2VPN は、SSLv2 または SSLv3 経由で接続されていましたが、これらのプロトコルは 5.5.4 ではサポートされません。
回避策: L2VPN クライアントを 5.5.4 にアップグレードします。 クライアントから TLS プロトコルを使用してサーバに接続できるようになります。

問題 1396592: vCenter Server 6.0 および ESX 6.0 を使用する場合、バージョン付きのデプロイ仕様で 6.0.x への更新が必要になる。
vCloud Networking and Security を使用して登録した NetX ソリューションをご利用のパートナー様は、対応する OVF に 6.0.x の VersionedDeploymentSpec を含めるように登録を更新してください。
回避策: 基本構成が vSphere 5.5 を使用した 5.5.x で、vCloud Networking and Security のアップグレード前にインフラストラクチャがアップグレードされている場合は、以下の手順に従います:

  1. vSphere を 5.5 から 6.0 にアップグレードします。
  2. 以下の API 呼び出しを使用して、6.0.x 用にバージョン付きのデプロイ仕様を追加します。
    POST https://<vCNS-IP>/api/2.0/si/service/<service-id>/servicedeploymentspec/versioneddeploymentspec
    <versionedDeploymentSpec>
    <hostVersion>6.0.x</hostVersion>
    <ovfUrl>http://engweb.eng.vmware.com/~netfvt/ovf/Rhel6-32bit-6.1svm/Rhel6-32bit-6.1svm.ovf</ovfUrl>
    <vmciEnabled>true</vmciEnabled>
    </versionedDeploymentSpec>
  3. 以下の REST 呼び出しを使用してサービスを更新します。
    POST https://<vsm-ip>/api/2.0/si/service/config?action=update
  4. 以下の手順で EAM アラームを解決します。
    1. vSphere Web Client で [ホーム] をクリックします。
    2. [管理] をクリックします。
    3. [ソリューション] で、[vCenter Server 拡張機能] を選択します。
    4. [vSphere ESX Agent Manager] をクリックして、[管理] タブをクリックします。
    5. 失敗したエージェンシーのステータスを右クリックして、[すべての問題の解決] を選択します。

 

問題 1291731:vShield Endpoint のアップグレードまたはアンインストールが以下のエラーを表示して失敗する: vShield Endpoint のインストールで vib をアンインストールしているときにエラーが発生しました:内部サーバ エラー
vShield Endpoint のアップグレードまたはアンインストールがエラーで失敗します。 ESXi コマンド ラインから vib をアンインストールする場合も、次のエラーが発生して失敗します。
 
[InstallationError]
rm /tardisks/epsec-mu.v00 の実行中にエラーが発生しました:
戻りコード: 1
出力: rm: '/tardisks/epsec-mu.v00' を削除できません: デバイスまたはリソースが使用中です
続行することは安全ではありません。 完了していない更新を破棄するには、今すぐホストを再起動してください。 詳細についてはログ ファイルを参照してください。

 
回避策: 以下の手順に従います。

  1. ESXi cli にログインします。
  2. /bootbank/boot.cfg ファイルで、エントリ epsec-mu.v00 をエントリ sb.v00 の後ろに移動します。
    boot.cfg のモジュール エントリには区切り文字「---」があります。 したがって変更後のエントリは sb.v00 --- epsec-mu.v00 のようになります。
  3. /bootbank/boot.cfg ファイルを保存します。
  4. ホストをメンテナンス モードにし、その後 vCenter Server Web Client から再起動します。
  5. vShield Endpoint をインストール/アップグレードします。

 

全般的な問題

問題 1411125: ゲスト仮想マシンをパワーオンできない
ゲスト仮想マシンをパワーオンするときに、「現在、必要なすべてのエージェント仮想マシンがデプロイされていない」という内容のエラーが表示される場合があります。
回避策: 以下の手順に従います。

  1. vSphere Web Client で [ホーム] をクリックします。
  2. [管理] をクリックします。
  3. [ソリューション] で、[vCenter Server 拡張機能] を選択します。
  4. [vSphere ESX Agent Manager] をクリックして、[管理] タブをクリックします。
  5. [解決] をクリックします。

 

問題 1341573: 7 文字を超える東アジア言語のユーザー ID、または 10 文字を超えるヨーロッパ言語のユーザー ID で SSL VPN ポータルにログインできない
SSL VPN Plus ユーザーの作成時に、ユーザー ID の長さが 63 文字(ASCII または非 ASCII 文字)を超えていると、エラー「ユーザー ID の長さが文字数の上限を超えました。」が表示されます。 ユーザー ID が 63 文字以下の場合には受け入れられ、ユーザーが作成されます。
回避策: SSL VPN Plus ユーザー ID は、ASCII 文字のみで作成することをお勧めします。 ユーザー ID の一部に非 ASCII 文字を使用する必要がある場合は、各ユーザー名に含まれる非 ASCII 文字が東アジア文字の場合には 7 文字以下、ダイアクリティカル付きのラテン文字の場合には 10 文字以下であることを確認してください。

問題 1311302: ネットワークに接続されたセキュリティ グループに vNIC が含まれていて、関連する仮想マシンが別のネットワークに移動されている場合、このセキュリティ グループを UI で編集することはできず、vNIC が引き続きセキュリティ グループのメンバーになる
回避策: 以下の REST 呼び出しを使用して、セキュリティ グループから vNIC を削除します。
DELETE https://<vsm-ip>/api/2.0/services/securitygroup/<securityGroupId>/members/<vNicId>
UI でセキュリティ グループの編集ができるようになります。

問題 1303665: VXLAN にクラスタを準備すると、ESXi で vSwitch 上のネットワーク接続が失われたと報告される
VXLAN にクラスタを準備すると、NIC ドライバをアンインストールしてから再インストールして、VXLAN を有効にしたクラスタで RSS を有効にしたときに、一時的に接続が失われます。 この問題は Intel ixgbe ドライバを使用するときのみに発生します。
回避策: なし。

問題 1056970: ユーザー名に中国語、日本語、韓国語の文字または拡張 ASCII 文字が含まれている場合、vShield Manager にログインできない
回避策: ブラウザのエンコードを UTF-8 に設定します。

vShield Manager に関する問題

問題 1405582/1310034: SSL VPN のリモート ユーザーが AD ユーザーの認証情報を変更できなくなる
SSL VPN が Active Directory 経由で認証されたときは、このドメインの認証情報を使用して SSL VPN にログインし、企業ネットワーク(プライベート ネットワーク)にアクセスできます。 ユーザーがリモートの場合、AD パスワードを変更できません。
回避策: SSL VPN 構成には、特定の回避策はありません。 管理者が AD パスワードを変更するための外部ユーティリティを提供する必要があります。

問題 1303278: 1100 を超える MAC セットがある場合、[グループ] ページの読み込みが遅く、行エントリが重なって表示されることがある
vShield Manager にある MAC セットが多すぎる(たとえば 1100 以上)と、[グループ] ページの読み込みが遅くなり、MAC セットの行エントリ同士が重なり、読めなくなります。 新しい MAC セットの追加に時間がかかります。
回避策: セキュリティ グループの MAC セットの数は 1100 未満に抑えるようにしてください。

問題 1301688: NSX Manager で Lookup Service を構成する場合、ドメインとユーザー名の間にバックスラッシュを使用できない
回避策: ユーザー名とドメインの間には、バックスラッシュではなく @ を使用します。 たとえば、 domain\user の代わりに user@domain を入力します。

問題 1161237: サービスの作成時に「データ フォーマットが無効です」というエラーが表示される
サービスの追加または作成時に、15 個を超えるポートを入力すると、「データ フォーマットが無効です」というエラーが表示される場合があります。
回避策: サービスのポート数が 15 を超える場合は、複数のサービスを作成してください。

問題 1161214: 修正または追加されたロールを表示するにはログアウトする必要がある
ユーザーがセッションにログインしている間に自分のロールを追加または修正すると、そのセッションではロールの変更が反映されません。
回避策: いったんログアウトし、再びログインしてから更新されたロールの割り当てを表示します。

vShield App に関する問題

問題 1197810: 古いファイアウォール構成に戻したら、Flow Monitoring テーブルからファイアウォール ルールを追加できない
古いファイアウォール構成をロードすると、Flow Monitoring テーブルからルールを追加できません。 これは、フローを検出したルールが現在のファイアウォール構成に含まれていない可能性があるためです。
回避策: なし。

問題 967277: vShield App のアップグレード プロセス中に vCenter Server が使用できなくなると、アップグレードが失敗し、アップデート リンクが利用できない
詳細は、VMware ナレッジベースの記事「 vShield App アップグレード中にアップデート リンクが利用できない」を参照してください。

問題 1089671: 既存の仮想ワイヤに新しい仮想マシンを追加すると、仮想ワイヤを持つソース/ターゲットでファイアウォール ルールが適用されない
事前定義されたファイアウォール ルールがソース/ターゲットの仮想ワイヤを含む場合、これらのルールはその仮想ワイヤに追加された新しい仮想マシンには適用されません。
回避策: 新しい仮想マシンを仮想ワイヤに追加した後、その仮想ワイヤでファイアウォール構成を再発行します。

vShield Edge に関する問題

問題 1405586/1311273: SSL VPN ポータルのログイン画面に何も表示されない。
SSL VPN ポータルで使用されている javascript ファイルの 1 つが vShield Edge で破損します。 これにより、ポータル ページのレンダリングが失敗します。
回避策: この問題が発生した場合は、vShield Edge を再デプロイします。

問題 1165472: vShield Manager を 5.1.3 にアップグレードし、Edge が 5.0.2 のままである場合、CSR/証明書を作成できない
vShield Manager を 5.1.3 にアップグレードし、Edge が下位バージョンの場合は、サイズが 512/1024 ビットの CSR を作成できません。
回避策: なし。

Service Insertion に関する問題

問題 1062057: ネットワークにサービス プロファイルをバインドできない
使用可能なネットワークのいずれにもサービス プロファイルをバインドできません。
回避策: vShield Manager を再起動してください。

Data Security に関する問題

問題 1291748: Data Security スキャン用のファイル フィルタを指定中に、[最終変更日] をカレンダーから選択できない
Data Security スキャンの実行用に [以前] の日付を選択しようとすると、カレンダーが灰色で表示されます。
回避策: お使いのブラウザの言語設定を en-US に変更した後に [以前] フィールドで日付を選択します。

解決した問題

次の問題が 5.5.4.1 リリースで解決されました。

問題 1414763:vShield SSL VPN が OSX Yosemite クライアントにコード署名を実装しない
Yosemite リリースでは、システムにロードされるすべてのカーネル拡張機能 (kexts) に対するコード検証が OSX によって追加されます。 OSX クライアントはコード署名を実装していないため、処理に失敗します。

問題 1429432: vShield Manager が応答不能になるとマルチマシン ブループリントのデプロイが失敗する
マルチマシン ブループリントのデプロイは、vShield Manager が VMXnet3 アダプタを認識できないときに失敗します。この問題が発生すると、vShield Manager は応答不能のままになります。 この修正により、vCNS Manager アプライアンスのネットワーク アダプタが vmxnet3 アダプタに置き換えられます。 修正の適用方法については、前述の「 アップグレード手順」セクションを参照してください。

問題 1424601: セキュリティ脆弱性 Skip-TLS および Poodle
OpenSSL はバージョン 0.9.8zd に更新されています。 Oracle (Sun) JRE パッケージは 1.7.0_75 に更新されています。 この更新は、Oracle (Sun) JRE の初期リリースにある複数のセキュリティ上の問題に対処しています。 Oracle では、2015 年 1 月に JRE 1.7.0_75 で対処されている CVE 識別子の情報を「Oracle Java SE Critical Patch Update Advisory」に掲載しています。 この修正により、vShield Manager では SSLv3 が無効になりました。

次の問題が 5.5.4 リリースで解決されました。

問題 1343847/1343842/1362763: 脆弱性 CVE-2014-3566 "POODLE" に対処するための修正
5.5.4 リリースには、脆弱性 CVE-2014-3566(「POODLE」として知られる SSLv3 の脆弱性)に対処する 2 つの変更が含まれています。

  • vShield Edge システムの SSL ライブラリが OpenSSL 0.9.8zc に更新されました。
  • 管理者が vShield Edge で POODLE 脆弱性に対処できるように API メソッドが更新されました。

API メソッドを使用して、環境中の特定の vShield Edge で SSLv3 サポートを無効にできます。 これを実行するには、以下の API 呼び出し中で sslVersionList パラメータを使用して、NSX Edge の任意の SSL バージョンをホワイトリストに登録します。

API メソッド:

POST https://<vsm-ip>/api/3.0/edges/<edge-id>/sslvpn/config/server/
                      

要求の本文の例:

この例では、SSLv3、TLSv1、TLSv1_2 および TLSv1_1 を有効にしています。

<serverSettings>
   <ip>SSLVPN-Server IP</ip>
   <port>443</port>
   <cipherList>
      <cipher>RC4-MD5</cipher>
   </cipherList>
   <sslVersionList>
      <version>SSLv3</version>
      <version>TLSv1</version>
      <version>TLSv1_2</version>
      <version>TLSv1_1</version>
   </sslVersionList>
</serverSettings>
                        

sslVersionList パラメータが空白の場合、上記の例でリストされているすべての SSL バージョンがホワイトリストに登録されます。