Ivan Zini

Blog tecnico di un sistemista bolognese. [senza condivisione la conoscenza è inutile.]

vmware ESXi 5.5 affetto da vulnerabilità OpenSSL Heartbleed

heartbleed_logol’8 Aprile 2014 è stata resa nota una vulnerabilità su OpenSSL nota come Heartbleed (CVE-2014-0160). e molti sistemi operativi sono vulnerabili, tra cui Debian Wheezy, Ubuntu 12.04.4 LTS, CentOS 6.5, Fedora 18, OpenBSD 5.3, FreeBSD 8.4, NetBSD 5.0.2 and OpenSUSE 12.2.
OpenSSL è utilizzato anche sui web server più usati, Apache e nginx, così come sui server vpn, server mail, etc, ma anche vmware esxi utilizza, per le comunicazioni criptate OpenSSL,  e la versione 5.5 è affetta proprio ufficialmente dal bug heartbleed, come specifica la stessa vmware in un comunicato (KB2076225), e per l’esattezza la versione affetta  è OpenSSL 1.0.1/1.0.1f, mentre la versionesenza bug è  la OpenSSL 1.0.1g 7 Apr 2014.
Per verificare se gli host esxi 5.5 presentano la vulnerabilità digitare il seguente comando in console:

openssl version

e verificare anche la versione di esxi:

vmware –version

heartbleed01

Infatti questo host esxi 5.5 è vulnerabile!

Vmware non ha ad oggi rilasciato aggiornamenti correttivi sulla versione 5.5 mentre le versioni precedenti non sono vulnerabili perché hanno una versione differente di OpenSSL come la OpenSSL 0.9.8q 2 Dec 2010.
Rimaniamo in attesa di patch correttive da parte di vmware.

ecco una tabella riepilogativa dei prodotti affetti (in rosso):

Product Build OpenSSL Version
ESXi 5.1 U2 VMware ESXi 5.1.0 build-1612806 OpenSSL 0.9.8y 5 Feb 2013
ESXi 5.5 GA (no U1) VMware ESXi 5.5.0 build-1331820 OpenSSL 1.0.1e 11 Feb 2013
vCenter 5.1 U1 VMware vCenter Server 5.1.0 Build 1235232 OpenSSL 0.9.8t 18 Jan 2012
vCenter 5.1 U2 <unknown> OpenSSL 0.9.8y 5 Feb 2013
vCenter 5.5 GA <unknown> OpenSSL 1.0.1e 11 Feb 2013
OpenSSL 0.9.8y 5 Feb 2013
vMA 5.0 virtual appliance vMA 5.0.0 BUILD-724898 OpenSSL 0.9.8j-fips 07 Jan 2009
vMA 5.1 virtual appliance vMA 5.1.0 BUILD-1062361 OpenSSL 1.0.0c 2 Dec 2010

*UPDATE*

in data 19/04 vmware ha rilasciato la patch correttiva con relativa KB2076665 per ESXi 5.5 / ESXi 5.5 Update 1 e nel portale di vmware troviamo la patch da scaricare:
esxi_hbl

Per aggiornare gli host esxi 5.5 stand alone, copiare il file .zip in una directory sull’host e lanciare il comando:

esxcli software vib install -d ESXi550-201404001.zip

esxi_hbl_01

Una volta aggiornato l’host  eseguire il reboot  e seguire queste istruzioni  per rigenerare un nuovo certificato.

IZ

About these ads

2 risposte a “vmware ESXi 5.5 affetto da vulnerabilità OpenSSL Heartbleed

  1. Daniele Gubert 10/05/2014 alle 15:02

    Ottenevo questo errore:

    # esxcli software vib install -d ESXi550-201404001.zip
    [MetadataDownloadError]
    Could not download from depot at zip:/var/log/vmware/ESXi550-201404001.zip?index.xml, skipping ((‘zip:/var/log/vmware/ESXi550-201404 001.zip?index.xml’, ”, “Error extracting index.xml from /var/log/vmware/ESXi550-201404001.zip: [Errno 2] No such file or directory: ‘/var/log/vmware/ESXi550-201404001.zip'”))
    url = zip:/var/log/vmware/ESXi550-201404001.zip?index.xml
    Please refer to the log file for more details.

    Tutto ha funzionato specificando il percorso completo della patch:
    # esxcli software vib install -d /vmfs/volumes/zorg01/ESXi550-201404001.zip

    My two cents, :DTM. aka Daniele Gubert

Rispondi

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...

Iscriviti

Ricevi al tuo indirizzo email tutti i nuovi post del sito.

Unisciti agli altri 181 follower

%d blogger cliccano Mi Piace per questo: