Було виявлено вразливості OpenSLP, які впливають на ESXi. Ці вразливості та їхній вплив на продукти VMware задокументовано в наступних порадах щодо безпеки VMware (VMSA),будь ласка, перегляньте їх, перш ніж продовжити, оскільки можуть виходити за рамки цього документа:
VMSA-2022-0030 (CVE-2022-31699)
VMSA-2021-0014 (CVE-2021-21995) – Клікніть сюди для отримання додаткової інформації про консультацію
VMSA-2021-0002 (CVE-2021-21974)
VMSA-2020-0023 (CVE-2020-3992)
VMSA-2019-0022 (CVE-2019-5544)
Команда ESXi дослідила ці вразливості та визначила, що можливість використання можна усунути, виконавши дії, описані в розділі вирішення цієї статті. Це обхідне рішення призначене лише як тимчасове рішення, і клієнтам рекомендується розгортати виправлення, задокументовані у вищезгаданих VMSA.
Попередження:
Це обхідне рішення можна застосувати ТІЛЬКИ до ESXi. Не застосовуйте це рішення до інших продуктів VMware.
Вплив на функціональність:
За допомогою обхідного шляху клієнти CIM, які використовують SLP для пошуку серверів CIM через порт №427, не зможуть знайти службу.
Щоб вимкнути/увімкнути службу, перезавантажувати хост ESXi не потрібно
Рішення
Докладні відомості про доступні параметри powercli для вимкнення служби задокументовано тут
Щоб застосувати обхідний шлях, виконайте такі дії:
1 Увійдіть на хости ESXi за допомогою сесії SSH (наприклад, putty)
2 Зупиніть службу SLP на хості ESXi за допомогою цієї команди:
/etc/init.d/slpd stop
Примітка. Службу SLP можна зупинити лише тоді, коли вона не використовується. Використовуйте таку команду, щоб переглянути робочий стан демона протоколу розташування служби:
esxcli system slp stats get
3 Виконайте таку команду, щоб вимкнути службу SLP:
esxcli network firewall ruleset set -r CIMSLP -e 0
Щоб ця зміна залишалася під час перезавантаження:
chkconfig slpd off
Щоб перевірити, чи зміни застосовуються під час перезавантаження:
chkconfig --list | grep slpd output: slpd off
Щоб видалити обхідний шлях, виконайте такі дії:
1. Виконайте таку команду, щоб увімкнути набір правил служби SLP:
esxcli network firewall ruleset set -r CIMSLP -e 1
2. Виконайте таку команду, щоб змінити поточну інформацію про запуск служби slpd:
chkconfig slpd on
Виконайте таку команду, щоб перевірити, чи зміни застосовано після виконання описаного вище кроку (Крок 2#):
chkconfig --list | grep slpd output: slpd on
3. Виконайте таку команду, щоб запустити службу SLP:
/etc/init.d/slpd start
4. Вимкніть і ввімкніть агент CIM, див. Як вимкнути або ввімкнути агента CIM на хості ESX/ESXi
Пізніші версії ESXi повідомляють про службу SLPD у графічному інтерфейсі vCenter
1. Щоб перевірити, чи можна оновити службу SLP через клієнт vSphere, увійдіть у vCenter
2. Виберіть хост ESXi і натисніть «Налаштувати» — «Служби». Шукайте SLP у списку Якщо SLP немає в списку, скористайтеся описаним вище процесом
3. Виберіть SLPD і натисніть «Зупинити», а потім натисніть «ОК»
4. Виберіть «Редагувати політику запуску» та виберіть «Запуск і зупинка з хостом». Натисніть OK
5. Виконайте наведені вище кроки у зворотному порядку, щоб повторно ввімкнути службу
Якщо вам потрібна допомога з адмініструванням сервера, ви можете замовити послугу адміністрування сервера від Unihost.