Actualización a vCenter Server 7.0 Update 3c
Hola, en este nuevo post vamos a realizar la actualización de vCenter Server 7.0 Update 3c. Esta nueva versión liberada contine la solución a la vulnerabilidad Apache Log4j Remote Code Execution (RCE) identificada como crítica según el equipo de seguridades de VMware bajo el VMSA (VMware Security Advisory) VMSA-2021-0028.2. Así como la solución a otras brechas de seguridad encontradas y problemas resueltos KB86281.
En esta ocasión vamos a realizar la actualización de nuestro vCSA versión 7, para la versión 6.7 podemos seguir los pasos de mi post aquí.
IMPORTANTE: VMware eliminó las versiones de ESXi 7.0 Update 3, 7.0 Update 3a y 7.0 Update 3b de todos los sitios el 19 de noviembre de 2021 debido a un problema que afecta la actualización. El build 19193900 de ESXi 7.0 Update 3c reemplaza al build 18644231 de ESXi 7.0 Update 3, 18825058 de 7.0 Update 3a y 18905247 de 7.0 Update 3b. Los KBs relacionados a estos problemas están en KB87327.
Como lo mencione, VMware liberó las versiones vCenter Server 6.5 Update 3r, vCenter Server 6.7 Update 3p y vCenter Server 7.0 Update 3c para solventar las siguientes vulnerabilidades reportadas (CVEs) en los paquetes de software open source OSS. Para mayor información aquí:
Script Python pre-check
VMware crea un script basado en python para identificar los hosts ESXi 7.0 (U2c/U2d/U3/U3a) con drivers Intel dobles; para más detalles del problema consulta dual driver conflict. Este problema debe ser remediado antes de realizar la actualización, caso contrario se producirán problemas en el upgrade.
El script llamado vSphere_upgrade_assessment.py se encuentra en el KB87258 el mismo que debe ser descargado y subido al vCenter Server, puede ser en la ubicación /tmp y luego correr con python, así:
python /tmp/vSphere_upgrade_assessment.py
El script crea 4 archivos, uno de ellos es el .log que muestra si se encontraron hosts con problemas a remediar:
En el ejemplo se detalla en el cuadrado de color verde los hosts escaneados que tengan problemas, si el mensaje es "Completed scan of 0 out of 0 hosts" quiere decir que el script no encontró servidores con driver doble y por ende, no se continuará con el chequeo.
El mensaje importante es en "Number of hosts with dual drivers:" si está en 0 el ambiente está listo para realizar el upgrade sin inconvenientes, pero si el mensaje no es igual a 0, se requiere realizar remediación de los hosts. Siguiendo el KB86447.
Los archivos creados son los que están dentro del cuadrado de color rojo y estos son:
vSphere_upgrade_assessment_faulty_hosts_<timestamp>.txt --> contiene los hosts que fueron encontrados con el conflicto del driver Intel i40en
vSphere_upgrade_assessment_skipped_hosts_<timestamp>.txt --> contiene todos los hosts que no fueron tomados en cuenta porque no estaban conectados o no respondieron.
vSphere_upgrade_assessment_errored_hosts_<timestamp>.txt --> contiene cualquier host que no se haya podido comprobar con el scritp, si existen hosts dentro de este archivo, se debe investigar en el dual_driver_check_<timestamp>.log porque no fue posible el escaneo.
Y por último, la configuración avanzada"config.SDDC.VCUpgradeVLCMPrecheck.Skip" en el cuadro azul, se cambia al valor de TRUE. Una vez que la actualización haya sido satisfactoria se recomienda revisar que este parámetro haya vuelto a establecerse en FALSE. Dirigiéndonos a la opción de "Configure" en nuestro vCSA, luego en "Advanced Settings" y en la tabla "Advanced vCenter Server Settings" buscamos la configuración avanzada.
Actualización usando CLI
Primero, no olvidarse siempre tener un respaldo o un snapshot de nuestro vCSA ya que vamos a trabajar con cambios que pueden afectar a la base de datos vpostgres. Dicho esto, procedemos a realizar la descarga del paquete de vCSA desde la página de VMware (VMware-vCenter-Server-Appliance-7.0.3.00300-19234570-patch-FP.iso) o la descarga del paquete directamente desde la consola VAMI del vCSA si este tiene salida al internet.
En nuestro ejemplo, lo descargamos usando la consola VAMI:
Y preparando el paquete para la instalación, procedemos a realizar la validación y posterior instalación del mismo.
Luego de la correcta instalación procedemos a realizar la revisión del paquete instalado.
Finalmente, la nueva versión liberada por VMware solventa varios problemas y vulnerabilidades que deben ser cubiertas para evitar potenciales riesgos de seguridad y/o administración. Recordemos que unas de las mejores prácticas de seguridad es evitar que los servidores tengan salida al internet; por lo tanto, se recomienda restringir el acceso y únicamente mantener las conexiones abiertas para los repositorios de parches de VMware.
Tags: vCenterServer, vCSA, Appliance, upgrade, vulnerabilidad, logshell, vmsa, cve, cve-2021-44228, cve-2021-45056, VMware7, python, script