[English]Der Anbieter VMware hat Updates seiner vCenter-Server veröffentlicht, um gravierende (Einstufung als important) Schwachstellen (CVE-2023-20892, CVE-2023-20893, CVE-2023-20894, CVE-2023-20895 und CVE-2023-20896) zu schließen. Zudem könnte bei der Gelegenheit auch ein Update der VMware-Tools durchgeführt werden, um die Authentifizierungs-Schwachstelle CVE-2023-20867 zu schließen.
Anzeige
Ich hatte die Informationen über die Schwachstellen u.a. bereits auf Twitter bei den Kollegen in nachfolgendem Tweet gesehen, aber Blog-Leser Stefan K. hatte mich parallel per Mail informiert (danke dafür) und schrieb:
Moin Günter,
ist vielleicht einen Hinweis wert, dass VMware in vCenter Server einige Sicherheitslücken (CVE-2023-20892, CVE-2023-20893, CVE-2023-20894, CVE-2023-20895 und CVE-2023-20896) geschlossen hat.
[…]
Auch wenn ein vCenter Server ja nicht aus dem Internet erreichbar sein sollte, so gab es in der Vergangenheit schon erfolgreiche Angriffe, weil es doch einige wagen. Du hattest berichtet: Rückblick auf das Cyberdebakel bei VMware ESXi-Servern (Feb. 2023)
Bei der Aktion kann auch gleich die Lücke in den VMware-Tools gepatched werden (CVE-2023-20867), auch wenn diese nicht ganz so kritisch ist.
VMware hat dazu am 22. Juni 2023 das Security Advisory VMSA-2023-0014 veröffentlicht, in dem die oben genannten Schwachstellen aufgeführt werden. Das Unternehmen schreibt dort:
VMware wurden mehrere Schwachstellen in VMware vCenter Server gemeldet, die den Speicher beschädigen. Es sind Updates verfügbar, um diese Schwachstellen in den betroffenen VMware-Produkten zu beheben.
Details zu den Schwachstellen und betroffenen Produktversionen finden sich im Security Advisory. Betroffen sind die folgenden VMware-Produkte:
Anzeige
- VMware vCenter Server (vCenter Server)
- VMware Cloud Foundation (Cloud Foundation)
VMware hat dazu bereits am 21. Juni 2023 nachfolgende Seiten mit Release Notes freigegeben (danke an Stefan für die Links).
Informationen zur Aktualisierung der VMware-Tools finden sich im Sicherheitshinweis VMSA-2023-0013 vom 13. Juni 2023, wo über eine Authentification-Bypass-Schwachstelle (CVE-2023-20867) berichtet wird. Der CVSSv3-Index wird aber nur mit 3.8 bewertet.
Anzeige
Danke für die Meldung !
Ein vCenter v7 konnte ich auf die letzte Version bringen :-)
Ein andere vCenter v8 ist auf 80% Update hängen geblieben :-(
"Exception occured in postinstallHook"
Ich musste die ganze VM vom Backup zurückladen
Bei mir hat es auch ewig bei 80% gehangen. Version 8. So 5-10min. Ist dann aber ohne probleme und ohne Fehlermeldung durchgelaufen und erfolgreich installiert.
Vor Install waren 26min geschätzt, knapp 20min hat es tatsächlich insgesamt gedauert.
2x vCenter 7 erfolgreich aktualisiert
Hier 1x vCenter 7 erfolgreich aktualisiert
1x vcsa 7 aktualisiert, ohne Probleme.
VMware – mittlerweile löchriger als Adobe Flash…
vCenter 7 und VMware Tools erfolgreich aktualisiert
Da scheinbar viele (noch) v7 verwenden, gibt es Gründe gegen ein Upgrade auf die v8?
Bei mir ist 8 problemlos durchgelaufen. 20min hat es etwa gedauert und die meiste Zeit bei 80% gehangen.
Bei uns gibt es zwei Gründe:
– Die alte Version ist gut abgehangen und bekommt noch gut zwei Jahre Sichersupdates. Das ist eigentlich der Idealzustand. Das läuft stabil und keiner bastelt an den eigentlichen Funktionen. Kein Druck zum Upgrade vorhanden.
– Die HCL von VMware. Wir haben hier noch eine MSA2050 Storage (Full Flash), welche von VMware nur bis ESXi 7U3 unterstützt wird. Die darf gerne noch zwei weitere Jahre für ihr Geld arbeiten. Auch gibt es dann vielleicht schon eine 2070 und wir können die 2060 überspringen.
Grundsätzlich sind wir ehr konservativ. Ob nun Veeam Backup, MECM, Windows oder Creo Parametric. Keines dieser Produkte läuft in der letzten Hauptversion, aber alle verwendeten Hauptversion sind auf dem letzten Sicherheitspatchlevel und noch im Support.
Das testen und debuggen neuer Versionen dürften andere übernehmen. Wir steigen auf, wenn das Pferd eingeritten wurde. ;-)
Moin,
Hauptgrund ist bei uns auch, der der Hardwarehersteller (Huawei) nur Support für V7 gibt für unsere Modelle.
Der Support der Hardware läuft aber nächstes Jahr aus, dann gibt es neue und V8 kann auch kommen 😅
MfG,
Blackii
Ja die HP Gen 9 Server….
Wenn ich mich nicht vertue betrifft das aber nur die ESXis. Das vCenter könntest du schon auf 8 ziehen. Aber ich würde auch erst bei 7 bleiben solange noch im Support und genug Zeit und Ressourcen für Umstellung da ist.
1x VCSA 7.03 aktualisiert, ohne Probleme. Update steht etwas länger bei 89%