VMware by Broadcom hat gerade Sicherheitsupdates für seine Produkte ESXi 8.0U3j sowie VSA 8.0U3J (vSphere Storage Appliance) veröffentlicht. Ergänzung: Es gab in Kommentaren Hinweise, dass Updates ohne Wartungsvertrag nicht installiert werden dürfen. Ich habe was dazu geschrieben.
Stefan schrieb mir dazu: "Für den 9er Versionszweig bleibt es aktuell noch beim Stand Januar 2026. Es ist aber gut möglich, dass dort die Tage noch weitere Updates nachkommen. Ich denke für den einen oder anderen ist das Thema noch relevant, da längst nicht alle Firmen VMware durch einen Wechsel auf andere Produkte aus ihrem Bestand entfernt haben." Danke an Blog-Leser Stefan K. für den Hinweis.
VMware ESXi 8.0 Update 3j
Der Patch VMware ESXi 8.0 Update 3j vom 27. Mai 2026 behebt nach den VMware Release Notes eine Reihe Bugs und wohl auch Sicherheitslücken, obwohl ich beim schnellen Überfliegen keine CVE-Nummern gesehen habe. Der Patch steht als ISO-Datei:
- VMware-VMvisor-Installer-8.0U3j-25429389.x86_64.iso
für VMware by Broadcom-Kunden bereit. Details sind den Release Notes zu entnehmen.
VMware vCenter Server Photon OS Security Patches
Das vCenter Server 8.0 Update 3j vom 27. Mai 2026 enthält neben Bug-Fixes vor allem Sicherheitsfixes, die in diesen Release Notes aufgeführt werden. Die Neuerungen und behobenen Probleme für vCenter Server 8 Update 3j werden in diesen Release Notes aufgelistet. Details sind den jeweiligen Release-Notes zu entnehmen.
- VMware vCenter Server Photon OS Security Patches
- VMware ESXi 8.0 Update 3j Release Notes
- VMware vCenter 8.0 Update 3j Release Notes
Diskussion um Wartungsvertrag und Updates
Ergänzung: Ich greife mal den Hinweis aus diesem Kommentar von Jules auf. Dieser weist darauf hin, dass Kunden ohne aktiven Wartungsvertrag ein Problem mit Updates bekommen. VMware bei Broadcom würde, seit Umstellung auf das Abonnement-Modell, verstärkt Kunden auditieren. Wenn Kunden die Wartungsverträge nicht ausgetauscht und zu neuen Lizenzen gewechselt seien, gebe es mit Auslauf der Wartung keinerlei Ansprüche mehr auf Updates. Das gelte auch dann, wenn ein Versions-Freeze stattfand. Alle Updates nach Auslauf der Wartung seien nicht mehr Teil der Lizenz und damit als Urheberrechtsverletzung einzustufen. Kunden soll dann von VMware by Broadcom eine Unterlassungserklärung zugegangen sein.
Ich habe dann direkt bei Stefan Tauchhammer, Geschäftsführer von Software ReUse, nachgefasst und versuche zu sortieren. Die Antwort von Herrn Tauchhammer ist ziemlich klar.
- Broadcom auditiert tatsächlich mehr als früher. Die Aussage von Jules aus obigem Kommentar ist zutreffend – und das Vorgehen von VMware bei Broadcom ist nachvollziehbar.
- Mindestens einer der Software ReUse-Kunden hatte ein Audit durch eine von Broadcom beauftragte Beratungsfirma. Der Kunde war trotz der bei Software ReUse gekauften gebrauchten Lizenzen compliant, es hat also alles gepasst!
Bezüglich der Unterlassungserklärung hatte der Geschäftsführer von Software ReUse-Kunden auch gehört. Es ist laut seiner Aussage auch nachvollziehbar, dass die Kunden keine Updates (wären ja Feature-Updates) mehr verwenden dürfen, wenn der Vertrag ausgelaufen ist.
Aber es gibt ja die von Broadcom angebotenen kostenlosen "Zero day patches", die für die gröbsten Sicherheitslücken auch für ausgelaufene Verträge von Broadcom zur Verfügung gestellt werden. Wer seine VMware-Produkte mit diesen Patches absichert, fällt wohl nicht unter die obige Problematik. Hier müssen Kunden ohne Wartungsvertrag halt prüfen, ob angebotene Updates weiterhin unter die 0-day-Patch-Kategorie fallen.
MVP: 2013 – 2016
Hier der Hinweis für alle, die VMware zwar noch haben, aber keine aktive Wartung mehr.
Die Wahrscheinlichkeit von Lizenz-Audits seitens VMware ist prinzipiell gestiegen, seitdem auf Subscription umgestellt wurde und Broadcom bestimmt den einen oder anderen Euro kassieren will. Insofern die Wartungsverträge nicht ausgetauscht wurden zu neuen Lizenzen, wurde eine Unterlassungserklärung an die Kunden versandt, dass mit Auslauf der Wartung keinerlei Ansprüche mehr bestehen auf Updates, etc. und auch ein Versions-Freeze stattfand. Alle Updates nach Auslauf der Wartung sind nicht mehr Teil der Lizenz und damit als Urheberrechtsverletzung einzustufen (laut Broadcom). Was davon rechtlich konform ist und was nicht, kann und will ich nicht beurteilen.
Ob diese Audits jemals stattfinden werden (Stand 28.05.2026 wurde letztes Jahr angeblich vereinzelt an Kunden eine Mitteilung diesbezüglich rausgegeben), wird sich aber wohl die nächsten Monate/Jahre noch zeigen.
Eine schöne Restwoche.
– Jules
Ob das mit der "Unterlassungserklärung" rechtlich durchsetzbar ist, da sollte man ein großes Fragezeichen dran setzen. Läuft mir auf FUD hinaus – ein Grund mehr, VMware zu kicken.
Hast Du eine Kopie einer solchen Unterlassungserklärung, die Du mir per E-Mail (steht im Impressum) zukommen lassen kannst? Ich würde dann Software ReUse, die Gebrauchtlizenzen vertreiben, mal drüber schauen lassen.
Hat das denn überhaupt noch Relevanz? Broadcom hat die öffentlichen Downloadlinks im April 2025 deaktiviert, seitdem sind Patches nur noch mit aktivem Entitlement, also entweder gültige Wartung oder gültige Abolizenz erhältlich. Dafür wurde ja die Geschichte mit den Kundenindividuellen Download-Tokens in der URL eingeführt. Somit sollten Kunden ohne gültigem Wartungs- oder Abovertrag gar nicht erst in der Lage sein, das Update herunterzuladen.
Ich habe direkt Nägel mit Köpfen gemacht, und Herrn Stefan Tauchhammer von Software ReUse mit Verweis auf diesen Kommentar-Thread angemailt. Die verkaufen ja Gebrauchtlizenzen.
Seine Antwort ist ziemlich klar. Broadcom auditiert tatsächlich mehr als früher. Mindestens einer der Software ReUse-Kunden hatte ein Audit durch eine von Broadcom beauftragte Beratungsfirma. Der Kunde war trotz der bei Software ReUse gekauften gebrauchten Lizenzen compliant, es hat also alles gepasst!
Bezüglich der Unterlassungserklärung hatte der Geschäftsführer von Software ReUse-Kunden auch gehört. Es ist laut seiner Aussage auch nachvollziehbar, dass die Kunden keine Updates (wären ja Feature-Updates) mehr verwenden dürfen, wenn der Vertrag ausgelaufen ist.
Aber es gibt ja die kostenlosen "Zero day patches", die für die gröbsten Sicherheitslücken auch für ausgelaufene Verträge von Broadcom zur Verfügung gestellt werden. Wer seine VMware-Produkte mit diesen Patches absichert, fällt wohl nicht unter die obige Problematik.
Der Wichtigste Teil ist der Secure Boot fix für non tpm, kein manuell einspielen des kek mehr!
Falls es noch jemanden interessiert: vSphere v8 ist Oktober 2027 auch ganz offiziell End of Support. Stand heute gibts v9 nur im VVF und VCF und die sind noch einmal eine Ecke teurer als die "kleinen" Core Lizenzen. Die Bereitstellung ändert sich auch und erfolgt nur noch über das hauseigene Operation Center.
VMware ist für viele kleine und mittelständische Unternehmen schlichtweg nicht mehr tragbar. Die Schmerzgrenze dürfte doch selbst bei den Letzten langsam überschritten sein, oder? Wir reden hier ja nicht von ein paar Euro mehr, sondern oft im vier-fünfstelligen Bereich.
Ich erinnere mich an Zeiten da hat eine Verlängerung von Essentials Paketen niedrig dreistellig gekostet. Das war quasi nix für eine gute Software, die ich auf bis zu 3x Hosts einsetzen durfte. Heute zahl ich bei 3x Hosts mit je 2x CPU mindestens 96-Cores und das sind je nach Lizenzmodell grob überschlagen zwischen:
4.800€ (vSphere Std.),
14.400€ (vSphere Enterprise),
18.240€ (vSphere Foundation) oder gar
34.560€ (vSphere Cloud Foundation) pro JAHR.
Ich empfehle jedem seine persönliche Exitstrategie im Blick zu haben und nicht auf ein Wunder zu hoffen, dass Broadcom plötzlich doch noch ein paar Jahre gönnt oder plötzlich den "vSphere Minimalism" ankündigt der wieder ins Budget passt. Das Geld das man da potenziell sparen kann, kann man zum Beispiel super nutzen, um seine eigenen Mitarbeitenden fortzubilden und den Techstack zu erweitern…