影响和修复的 vCenter Server 版本:
| 版本 | 受影响的版本 | 固定版本 | 发布日期 | VAMI/发行说明 内部版本 | Client/MOB/vpxd.log 内部版本编号 |
| 7.0 | 7.0 U1c 之前的所有版本 | 7.0 U1c(或更高版本) | 2020-12-17 | 17327517(或更高版本) | 17327586(或更高版本) |
| 6.7 VCSA | 6.7 U3l 之前的所有版本 | 6.7 U3l(或更高版本) | 2020-11-19 | 17138064(或更高版本) | 17137327(或更高版本) |
| 6.7 Windows | 6.7 U3l 之前的所有版本 | 6.7 U3l(或更高版本) | 2020-11-19 | 17138064(或更高版本) | 17137232(或更高版本) |
| 版本 | 影响的版本 | 固定版本 | 发布日期 | 内部版本号 |
| 6.5(VCSA 和 Windows) | 6.5 U3n 之前的所有版本 | 6.5 U3n(或更高版本) | 2021-02-23 | 17590285(或更高版本) |
以下链接详细说明了如何升级 VCSA 计算机。vSphere 6.7 https://communities.vmware.com/t5/vSphere-Upgrade-Install/Addressing-VMSA-2021-0002-for-vCenter-6-7/ta-p/2833192vSphere 7.0https://communities.vmware.com/t5/vSphere-Upgrade-Install/Addressing-VMSA-2021-0002-for-vCenter-7-0/ta-p/2833079
功能影响:
影响仅限于使用 vRealize Operations 的环境。需要注意的是,无论 vRealize Operations 是否引入到环境中,vCenter Server 中都存在易受攻击的端点。
- 新 vRealize Operations 客户将没有通过插件自动安装和配置 vRealize Operations Appliance 的置备/选项。
- 在 vRealize Operations with vCenter 中配置 vCenter 适配器的客户将无法在 vSphere Client (HTML 5) 中显示衡量指标和警示详细信息(包括 vCenter Server 和 vSAN 概览小组件)。
要实施基于 Linux 的虚拟设备 (vCSA) 上 CVE-2021-21972 和 CVE-2021-21973 的解决办法,请执行以下步骤:
插件必须设置为”不兼容”。从 UI 中禁用插件不会保护系统免受此漏洞的影响。
在运行 vCenter High Availability (VCHA) 的环境中,需要同时在主动节点和被动节点上执行此解决办法
- 使用 SSH 会话和 root 凭据连接到 vCSA。
- 备份 /etc/vmware/vsphere-ui/compatibility-matrix.xml 文件:
cp -v /etc/vmware/vsphere-ui/compatibility-matrix.xml /etc/vmware/vsphere-ui/compatibility-matrix.xml.backup
- 在文本compatibility-matrix.xml 文件:
vi /etc/vmware/vsphere-ui/compatibility-matrix.xml
- 此文件的内容如下所示:
- 添加以下条目:
<Matrix>
<pluginsCompatibility>
. . . .
. . . .
<PluginPackage id=”com.vmware.vrops.install” status=”incompatible”/>
</pluginsCompatibility>
</Matrix>
- 该文件应如下所示:
- 通过键入:compatibility-matrix.xmlcompatibility-matrix.xml :wq!
- 重新启动 vsphere-ui 服务。使用命令: service-control –restart vsphere-ui.
- 导航到 https://<VC-IP-or-FQDN>/ui/vropspluginui/rest/services/checkmobregister。此页面显示”404/未找到(如下所示)”错误。
- 在 vSphere Client (HTML5) 中,在管理 > Solutions > client-plugins 下,VMware vROPS Client 插件可能会显示为”不兼容”,如下所示
- 这可确认端点/ui/vropspluginui设置为”不兼容”。
要针对基于 Windows 的 vCenter Server 部署实施 CVE-2021-21972 和 CVE-2021-21973 的解决办法,请执行以下步骤:
(插件必须设置为”不兼容”。从 UI 中禁用插件不会保护系统免受此漏洞的影响)
- 从 RDP 到基于 Windows 的 vCenter Server。
- 备份文件 –
C:\ProgramData\VMware\vCenterServer\cfg\vsphere-ui\compatibility-matrix.xml
- 此文件的内容如下所示:
- 添加以下条目:
<Matrix>
<pluginsCompatibility>
. . . .
. . . .
<PluginPackage id=”com.vmware.vrops.install” status=”incompatible”/>
</pluginsCompatibility>
</Matrix>
- 文件应如下所示:
- 使用命令重新启动 vsphere-ui 服务:C:\Program Files\VMware\vCenter Server\bin> service-control –restart vsphere-ui
- 从 Web 浏览器中,导航到:
https://<VC-IP-or-FQDN>/ui/vropspluginui/rest/services/checkmobregister.
页面显示”404/未找到(如下所示)”错误:
- 在 vSphere Client (HTML 5) 中,在 管理 > Solutions > client-plugins 下,VMware vROPS Client 插件可能会显示为”不兼容”,如下所示:
- 这可确认端点/ui/vropspluginui 设置为”不兼容”。
要恢复在基于 Linux 的虚拟设备 (vCSA) 上 CVE-2021-21972 和 CVE-2021-21973 的解决办法,请执行以下步骤:
- 使用 SSH 会话和 root 凭据连接到 vCSA。
- 在文本compatibility-matrix.xml 文件:
vi /etc/vmware/vsphere-ui/compatibility-matrix.xml
- 移除该文件中的以下行。
<Matrix>
<pluginsCompatibility>
. . . .
. . . .
<PluginPackage id=”com.vmware.vrops.install” status=”incompatible”/>
</pluginsCompatibility>
</Matrix>
- 重新启动 vsphere-ui service。使用命令 – service-control –restart vsphere-u
- 验证 vSphere-ui 服务已启动。
- VMware vROPS 客户端插件状态为已部署/已启用
要恢复基于 Windows 的 vCenter Server 部署中 CVE-2021-21972 和 CVE-2021-21973 的解决办法,请执行以下步骤:
- 连接到 Windows vCenter Server。
- 使用文本编辑器编辑文件:
C:\ProgramData\VMware\vCenterServer\cfg\vsphere-ui\compatibility-matrix.xml
- 移除该文件中的以下行。
<Matrix>
<pluginsCompatibility>
. . . .
. . . .
<PluginPackage id=”com.vmware.vrops.install” status=”incompatible”/>
</pluginsCompatibility>
</Matrix>
- 使用命令重新启动 vsphere-ui 服务:C:\Program Files\VMware\vCenter Server\bin> service-control –restart vsphere-ui
- 验证 vSphere-ui service 已启动。
- VMware vROPS 客户端插件状态为已部署/已启用