VMware Global Community
fabianalarcon
Enthusiast
Enthusiast
Jump to solution

Corrección de Vulnerabilidad VMware vSphere Esxi 5.5

Amigos,

Hoy estoy nuevamente en la comunidad publicando un post para buscar su consejo y experiencia en VMware, el tema de hoy es la corrección de una vulnerabilidad en una plataforma VMware vSphere a continuación la tabla que resume la vulnerabilidad que sebo corregir:

ActiveTrendAsset
VMware ESXi 5.5.0 Build 1331820Vulnover ssl

Encontré a mi criterio el KB (2076665) de VMware que habla de la solución de este pero no estoy seguro de si este KB o los parches allí sugeridas son los que corrigen esta vulnerabilidad expuesta en la tabla anterior, ahora de llegar a ser este KB el correcto lo que entiendo que debo hacer es:

1. Descargar los patches "ESXi550-201404001" y "ESXi550-201404020"

2. Subirlos a VMware Update Manager para con esta posteriormente instalarlos en los Host.

3. El orden para aplicar los  patches es Primero "ESXi550-201404020" y luego "ESXi550-201404001".

4. Reiniciar el Host y estaría corregida la Vulnerabilidad.

Nota: también me indican que no debo actualizar a la versión VMware vSphere 5.5 U1 de lo contrario volvería a encontrarme la vulnerabilidad y tendría que corregirla nuevamente.

Dudas:

1. Este si es el KB correcto para la correcion de la vulnerabilidad?

2. Esta si es la forma (orden) de aplicar los patches?

3. Es cierto que no debo actualizar a la versión 5.5 U1?

De antemano gracias por su tan acostumbrada colaboración. Smiley Wink

Tags (3)
1 Solution

Accepted Solutions
xacolabril
Expert
Expert
Jump to solution

Te refieres a la reciente vulnerabilidad de Heartbleed de Open SSL. Intento responder a tus dudas.

Ejecuta los siguientes comandos y dime si la versión de ESXi que tienes e informas es ciertamente la que es (5.5.0 1331820). Si es así esa versión queda bajo la vulnerabilidad:

# vmware -vl

VMware ESXi 5.5.0 build-1331820

VMware ESXi 5.5.0 GA


  OpenSSL 1.0.1 through 1.0.1f (inclusive) are vulnerable

Ejecuta ahora el comando siguiente para ver la versión de Open SSL y si te sale esta versión, estás en riesgo:


# openssl version -a

OpenSSL 1.0.1e 11 Feb 2013

built on: Tue Feb 26 16:34:26 PST 2013


De hecho, si te aparece otra versión de SSL ten en cuenta que también puede ser vulnerable. Son todas las versiones 1.01 a la 1.0.1f. Así que la del ejemplo, que sería para el ESXi 5.5. build 1331820, verás que es la 1.01e y por lo tanto tiene el problema.

Sabiendo esto entonces te respondo a tus dudas:

1) Sí, el KB que indicas soluciona el problema de la vulnerabilidad Heartbleed.

VMware KB:    Resolving OpenSSL Heartbleed for ESXi 5.5 - CVE-2014-0160 

2) Sí, el orden de instalación de los parches es el que dices.

No obstante si utilizas VMware Update Manager (desconozco si lo tienes instalado y configurado), ya se encargará él de descargar los parches de internet y tenerlos en el vCenter listos para ser desplegados en el host. Además VMware Update Manager hará el orden de instalación que sea preciso.

Te recomiendo que cuando tengas un rato eches un ojo a Update Manager y hagas alguna prueba. Te gustará.

Echa un ojo al siguiente artículo: Patching ESXi 5.5 for Heartbleed without installing Update 1 | VMware Support Insider - VMware Blogs

3) Tengo entendido que sí, que U1 también está afectado.

Echa un ojo al siguiente KB de VMware que publicó recientemente para indicar qué productos de su propiedad quedan afectados por esa vulnerabilidad: VMware KB:    Response to OpenSSL security issue CVE-2014-0160/CVE-2014-0346 a.k.a: "Heartbleed...

Ya nos dirás.

Saludos.

Xavier Colomé Abril. VMware Certified Professional VCP3, VCP4 and VCP5. [Si encuentras que esta o cualquier otra respuesta ha sido de utilidad, vótalas. Gracias.] [If you find this or any other information helpful or correct, please consider awarding points. Thank you.]

View solution in original post

3 Replies
xacolabril
Expert
Expert
Jump to solution

Te refieres a la reciente vulnerabilidad de Heartbleed de Open SSL. Intento responder a tus dudas.

Ejecuta los siguientes comandos y dime si la versión de ESXi que tienes e informas es ciertamente la que es (5.5.0 1331820). Si es así esa versión queda bajo la vulnerabilidad:

# vmware -vl

VMware ESXi 5.5.0 build-1331820

VMware ESXi 5.5.0 GA


  OpenSSL 1.0.1 through 1.0.1f (inclusive) are vulnerable

Ejecuta ahora el comando siguiente para ver la versión de Open SSL y si te sale esta versión, estás en riesgo:


# openssl version -a

OpenSSL 1.0.1e 11 Feb 2013

built on: Tue Feb 26 16:34:26 PST 2013


De hecho, si te aparece otra versión de SSL ten en cuenta que también puede ser vulnerable. Son todas las versiones 1.01 a la 1.0.1f. Así que la del ejemplo, que sería para el ESXi 5.5. build 1331820, verás que es la 1.01e y por lo tanto tiene el problema.

Sabiendo esto entonces te respondo a tus dudas:

1) Sí, el KB que indicas soluciona el problema de la vulnerabilidad Heartbleed.

VMware KB:    Resolving OpenSSL Heartbleed for ESXi 5.5 - CVE-2014-0160 

2) Sí, el orden de instalación de los parches es el que dices.

No obstante si utilizas VMware Update Manager (desconozco si lo tienes instalado y configurado), ya se encargará él de descargar los parches de internet y tenerlos en el vCenter listos para ser desplegados en el host. Además VMware Update Manager hará el orden de instalación que sea preciso.

Te recomiendo que cuando tengas un rato eches un ojo a Update Manager y hagas alguna prueba. Te gustará.

Echa un ojo al siguiente artículo: Patching ESXi 5.5 for Heartbleed without installing Update 1 | VMware Support Insider - VMware Blogs

3) Tengo entendido que sí, que U1 también está afectado.

Echa un ojo al siguiente KB de VMware que publicó recientemente para indicar qué productos de su propiedad quedan afectados por esa vulnerabilidad: VMware KB:    Response to OpenSSL security issue CVE-2014-0160/CVE-2014-0346 a.k.a: "Heartbleed...

Ya nos dirás.

Saludos.

Xavier Colomé Abril. VMware Certified Professional VCP3, VCP4 and VCP5. [Si encuentras que esta o cualquier otra respuesta ha sido de utilidad, vótalas. Gracias.] [If you find this or any other information helpful or correct, please consider awarding points. Thank you.]
fabianalarcon
Enthusiast
Enthusiast
Jump to solution

Amigo ,

Muchas gracias por tu tan acertiva, organizada, detallada y efectiva respuesta, por el momento logre realizar el parchado de los Host satisfactoriamente solo me resta una nueva revision del appliance encargo de la revision de vulnerabilidades para ver si detecta la correccion de la vulnerabilidad.

Nuevamente muchas gracias y que pena la demora en responder.:smileygrin:

Reply
0 Kudos
xacolabril
Expert
Expert
Jump to solution

A mandar.

Xavier Colomé Abril. VMware Certified Professional VCP3, VCP4 and VCP5. [Si encuentras que esta o cualquier otra respuesta ha sido de utilidad, vótalas. Gracias.] [If you find this or any other information helpful or correct, please consider awarding points. Thank you.]
Reply
0 Kudos