12 июля 2022 года для vCenter 7 вышло обновление 7.0.3.00700.
Обновление содержит исправление уязвимости CVE-2022-22982, 5.3 балла CVSSv3. Информация об уязвимости server-side request forgery (SSRF) была приватным образом передана VMware. Злоумышленник, обладая доступом к 443 порту vCenter, может эксплуатировать уязвимость для доступа к внешним или внутренним URL.
Данное обновление НЕ УСТРАНЯЕТ уязвимость CVE-2021-22048, 5.3 балла CVSSv3, о чём ранее сообщалось VMware.
VMware vCenter Server 7.0 Update 3f
Подробнее:
https://docs.vmware.com/en/VMware-vSphere/7.0/rn/vsphere-vcenter-server-70u3f-release-notes.html
О патче:
- Download Filename: VMware-vCenter-Server-Appliance-7.0.3.00700-20051473-patch-FP.iso
- Build: 20051473
- Download Size: 6579.7 MB
- md5sum: 3b0003a309c9d70d7b9e961fa56fbb5f
- sha256checksum: 1b5ca1e4a95394d740e96fd2dfe1ce60928ccbb632ad5ab7238a4d998257d146
Обновление через shell
- Примонтируйте VMware-vCenter-Server-Appliance-7.0.3.00700-20051473-patch-FP.iso файл к vCenter Server Appliance CD или DVD drive.
- Выполните вход в shell с правами root и используйте команды:
- Выполнить stage с ISO:
software-packages stage --iso - Посмотреть подготовленный контент:
software-packages list --staged - Установить подготовленные пакеты:
software-packages install --staged
- Выполнить stage с ISO:
Улучшения
- Исправление уязвимости CVE-2022-22982.
- Улучшена масштабируемость VMware HCI Mesh: с vCenter Server 7.0 Update 3f, vSAN кластер может обслуживать локальные датасторы до 10 клиентских кластеров vSAN.
- Улучшения компонентов vSphere Client. Исправлены некоторые проблемы с дата-гридами, инвентарем (более компактное представление), Related Objects и Global Inventory Lists. Улучшено юзабилити клиента.
- Обновление инфраструктуры VMware vSphere with Tanzu (ссылка).
- Обновления безопасности Photon OS (ссылка).
Обновления безопасности
Помимо испрвления уязвимости CVE-2022-22982 имеется ряд других исправлений.
- Обновление cURL до версии 7.82.
- Обновление The Jackson package до версии 2.13.2 и jackson-databind до версии 2.13.2.2.
- Обновление The Oracle (Sun) JRE package до версии 1.8.0_311.
- Обновление The Apache Tomcat server до версии 8.5.78/9.0.62.
- Обновление The OpenSSL library до версии 1.0.2ze/1.1.1o.
- Обновление The SQLite database до версии 3.36.0.3.
- Обновление Apache log4j до версии 2.17.1.
- Обновление Apache Struts до версии 2.5.30.
- Обновление The Spring library до версии 5.2.20/5.3.18.
- Обновление Eclipse Jetty до версии 9.4.46.v20220331.
- Обновление The XStream library до версии 1.4.19.
- Обновление The Expat XML parser до версии 2.4.7.
- Обновление The Struts2 Core framework до версии 2.5.30.
- Обновление The libxml2 library до версииn 2.9.13.
Другие исправления
- Файлы с расширением "flat.ses" отображают логический размер а не фактический.
- Медленный логин пользователей AD с большим количеством групп.
- I/O filter storage provider остаётся после удаления не отвечающего хоста ESXi из vCenter Server.
- Инкрементальные исправления vCenter Server 7.x падают с ошибкой из-за таймаута при рестарте службы lwsmd.
Обновление vCenter 7 через VAMI
Имеется версия VCSA 7.0.3.00600. Доступна для обновления 7.0.3.00700. Нажимаем RUN PRE-UPDATE CHECKS.
Проверка выполнена успешно. Нажимаем STAGE AND INSTALL.
Запускается мастер установки обновлений. Попадаем в раздел "End user license agreement", принимаем лицензионное соглашение. NEXT.
Попадаем в раздел "Join CEIP", снимаем галку. NEXT.
Попадаем в раздел "Backup vCenter Server", ставим галку, подтверждая что есть бэкап. Я целиком склонировал VCSA. FINISH.
Начинается процедура обновления.
Пока скачиваются пакеты, есть возможность отменить обновление по кнопке CANCEL INSTALLATION. После скачивание пакетов начинают останавливаться сервисы. Обновление уже нельзя отменить. Installation in progress.
Установка обновления завершена. Ожидаем перезапуска VCSA.
vCenter обновлён до версии 7.0.3.00700.
