VMSA-2021-0004 VMware vRealize Operations Güvenlik Açığı ve vROps 8.0 to 8.3 Upgrade

Virtualization

Merhaba, VMware vRealize Operations Manager (vROps) uygulamasını etkileyen yeni güvenlik açıklarını duyurdu. CVSSv3 skorları 8.6 ve 7.2 gibi yüksek skorlarda olduğundan alınması gereken önlemleri ve bu zafiyetleri önlemek için kullandığınız vROps versiyon’u son sürümüne güncellenmesi gerekmektedir. Örnek olması için vROps v.8.0 uygulamasını son çıkan v.8.3 sürümüne güncelleme adımlarını anlatacağım.

Zafiyetlerin ilki vROps api’sini server tarafın’a istek sahteciliği yaparak yönetici hesap bilgilerini elde etmeye çalışmaktadır. Diğer zafiyet ise rasgele dosya yazma güvenlik açığını içeriyor. Bu açıkla ilgili VMware güvenlik tavsiye linki için tıklayınız. Her iki zafiyet için vROps uygulamasının response matrixleri aşağıdaki gibidir.

ProductVersionRunning OnCVE IdentifierCVSSv3SeverityFixed VersionWorkaroundsAdditional Documentation
vRealize Operations Manager8.3.0AnyCVE-2021-21975, CVE-2021-219837.2 – 8.6CriticalKB83210KB83210FAQ
vRealize Operations Manager8.2.0AnyCVE-2021-21975, CVE-2021-219837.2 – 8.6CriticalKB83095KB83095FAQ
vRealize Operations Manager8.1.1, 8.1.0AnyCVE-2021-21975, CVE-2021-219837.2 – 8.6CriticalKB83094KB83094FAQ
vRealize Operations Manager8.0.1, 8.0.0AnyCVE-2021-21975, CVE-2021-219837.2 – 8.6CriticalKB83093KB83093FAQ
vRealize Operations Manager7.5.0AnyCVE-2021-21975, CVE-2021-219837.2 – 8.6CriticalKB82367KB82367FAQ
vRealize Operations Manager7.0.0AnyCVE-2021-21975, CVE-2021-219837.2 – 8.6CriticalNo patch plannedKB83287FAQ
ProductVersionRunning OnCVE IdentifierCVSSv3SeverityFixed VersionWorkaroundsAdditional Documentation
VMware Cloud Foundation (vROps)4.xAnyCVE-2021-21975, CVE-2021-219837.2 – 8.6CriticalKB83260See ‘Response Matrix’ workaround column aboveFAQ
VMware Cloud Foundation (vROps)3.xAnyCVE-2021-21975, CVE-2021-219837.2 – 8.6CriticalKB83260See ‘Response Matrix’ workaround column aboveFAQ
vRealize Suite Lifecycle Manager (vROps)8.xAnyCVE-2021-21975, CVE-2021-219837.2 – 8.6CriticalKB83260See ‘Response Matrix’ workaround column aboveFAQ

Çözüm için vROps uygulamanızın sürümünü en son çıkan sürüm paketine yükseltme yapmanız gerekmekte. Bunun için VMware Patch Portal sayfasına login olalım ve  .pak uzantılı dosya paketimizi indirelim.

Resim-1

vROPs versiyonumu  8.0 dan 8.3 versiyonuna güncellemeden önce uygulamanın çalıştığı sunucunun backup’ını alalım. Ardından yükseltme işlemi öncesi snapshot alıp kuruluma başlayalım.

vRealize Operations Manager Administrator arayüzüne https://FQDN-or-IP-address/admin url adresin’den login olalım.

Resim-2

Software Update’e tıklayalım açılan sayfada install’a software update’e tıklayalım.

Resim-3
Resim-4

Browse ile indirdiğimiz .pak uzantılı dosyayı seçip upload edelim.

Resim-5

Upload edilen dosya sunucu’da staging işlemi başlatıldı.

Resm-6

Yüklenecek sürümün bilgisi geldi. Next ile devam edelim.

Resim-7

Son kullanıcı lisans sözleşmesini kabul edelim.

Resim-8

Yükseltme ile ilgili bilgi ekranı next ile devam edelim.

Resim-9

Install ile kurulumu başlatalım.

Resim-10

vROps arayüzünde yükleme işlemini gösterir ekran görüntüsü. Yükseltme işlemi yaklaşık 15-20 dk sürebilmekte web arayüz sayfasını yenileyerek durumunu gözlemleyebilirsiniz.

Resim-11

vROps 8.3 versiyonuna güncelleme başarıyla tamamlandı.

Umarım faydalı bir yazı olmuştur.Konuyla ilgili VMware kb’si için tıklayınız.