[English]Der Anbieter VMware hat zum 13. Juli 2021 ein neues VMware Security Advisory VMSA-2021-0014 mit dem Schweregrad "Important" veröffentlicht. VMware ESXi-Updates beheben Authentifizierungs- und Denial-of-Service-Schwachstellen (CVE-2021-21994, CVE-2021-21995). Das Ganze betrifft VMware ESXi und VMware Cloud Foundation (Cloud Foundation).
In VMware ESXi wurden dem Hersteller privat mehrere Sicherheitslücken (CVE-2021-21994, CVE-2021-21995)gemeldet. VMware weist in nachfolgendem Tweet auf diesen Sachverhalt hin und stellt Updates zum Schließen der Schwachstellen bereit.
Details sowie die Download-Links lassen sich dem neues VMware Security Advisory VMSA-2021-0014 entnehmen.
Anzeige
Auch Citrix hat seine Admins mal wieder mit Arbeit beglückt:
https://support.citrix.com/article/CTX319750
Ohne Patch kann sich ein normaler Benutzer zu Mr. oder Mrs. SYSTEM befördern.
Hm,
ist das nicht "Schnee von gestern"?
Unser ESXi bzw. VSphere Client findet keine Updates (Version 6.7).
Folgt man dem oben angegebenen Link (https://www.vmware.com/security/advisories/VMSA-2021-0014.html) und geht von dort weiter zu den Seiten für die jeweilige "Fixed version", dann findet man Bulletins vom 18. März 2021.
Die "Schnee von gestern"-Frage kann dir imho nur VMware beantworten. Mehr als einen Hinweis auf die Sicherheitswarnung kann ich nicht liefern – ich betreibe keine ESXi-Clients. Geht man aber die einzelnen Sub-Links zu den Produkten durch, fällt auf, dass diese unterschiedliche Datumsangaben für die gepatchten Versionen haben.
VMware ESXi 6.5, Patch Release ESXi650-202107001 Release Date: 13 JUL, 2021
Moin!
Ich hatte nur bei 7.0 und 6.7 nach dem Erscheinungsdatum der Patches geschaut. Jeweils März. Daher meine Frage. Bevor mir da was durchgeht.
Anscheinend wurden die Fixes für 6.5 mit vier Monaten Verzug nachgeliefert. Sorry für die Konfusion…
Ist ja keine Konfusion – und kritisch nachfragen ist ja in Ordnung – mir unterlaufen ja auch Fehler. Ich hatte mir das Datum der Sicherheitswarnung angesehen und einen der Patches vom Datum kontrolliert und war mir sicher, dass es noch aktuell war. Auf FB hatte ich beim Post übrigens die gleiche Diskussion ;-).
Moin,
bin bei 6.5. Der Update Manager zeigt mir die Version an, die bei 6.5 als "Fixed Version" makiert ist. Erschienen am 13.07. :)
Für mich passend statt "Schnee von gestern" :D
Mfg,
Blackii
Doch Schnee von gestern:
Ich habe letztes Monat drei Server neu hochezogen mit den HP 7.0.2 free ESXi Images mit Stand ESXi-7.0U2a-17867351.
Das Security Advisory spricht hier aber von Stand ESXi-70U2-17630552.
Da bin ich mit den HP Images eindeutig schon darüber…
Ebenso auf einem Supermicro Server mit free ESXi-7.0U2a-17867351.
Auf der Patchseite von VMWare https://my.vmware.com/patch/#search (die Homepage ist für mich konzeptionell die totale Katastrophe) bekommt man erst bis 7.0.1 angeboten?? Hat da wer noch eine andere Idee/Zugang.
Bin grad etwas sehr verwirrt, oder ist die 7.0U2a davon überhaupt nicht betroffen…
Die haben da irgendwas durcheinander gebraucht ^^
Oder dachten, die Lücke ist nur in der 7 Version und haben jetzt die älteren auch überprüft 🤷🏻♂️
Mit freundlichen Grüßen,
Blackii