VMware vCenter Server中的CVE-2021-21972 and CVE-2021-21973漏洞处理方法

影响和修复的 vCenter Server 版本:

版本受影响的版本固定版本发布日期VAMI/发行说明
内部版本
Client/MOB/vpxd.log
内部版本编号
 7.0  7.0 U1c 之前的所有版本 7.0 U1c(或更高版本)2020-12-1717327517(或更高版本)17327586(或更高版本)
 6.7 VCSA6.7 U3l 之前的所有版本6.7 U3l(或更高版本)2020-11-1917138064(或更高版本)17137327(或更高版本)
6.7 Windows6.7 U3l 之前的所有版本6.7 U3l(或更高版本)2020-11-1917138064(或更高版本)17137232(或更高版本)
版本影响的版本固定版本发布日期内部版本号
6.5(VCSA 和 Windows)6.5 U3n 之前的所有版本6.5 U3n(或更高版本)2021-02-2317590285(或更高版本)

以下链接详细说明了如何升级 VCSA 计算机。vSphere 6.7 https://communities.vmware.com/t5/vSphere-Upgrade-Install/Addressing-VMSA-2021-0002-for-vCenter-6-7/ta-p/2833192vSphere 7.0https://communities.vmware.com/t5/vSphere-Upgrade-Install/Addressing-VMSA-2021-0002-for-vCenter-7-0/ta-p/2833079

功能影响
影响仅限于使用 vRealize Operations 的环境。需要注意的是,无论 vRealize Operations 是否引入到环境中,vCenter Server 中都存在易受攻击的端点。

  • 新 vRealize Operations 客户将没有通过插件自动安装和配置 vRealize Operations Appliance 的置备/选项。
  • 在 vRealize Operations with vCenter 中配置 vCenter 适配器的客户将无法在 vSphere Client (HTML 5) 中显示衡量指标和警示详细信息(包括 vCenter Server 和 vSAN 概览小组件)。

要实施基于 Linux 的虚拟设备 (vCSA) 上 CVE-2021-21972 和 CVE-2021-21973 的解决办法,请执行以下步骤:

插件必须设置为”不兼容”。从 UI 中禁用插件不会保护系统免受此漏洞的影响。
在运行 vCenter High Availability (VCHA) 的环境中,需要同时在主动节点和被动节点上执行此解决办法

  1. 使用 SSH 会话和 root 凭据连接到 vCSA。
  2. 备份 /etc/vmware/vsphere-ui/compatibility-matrix.xml 文件:

cp -v /etc/vmware/vsphere-ui/compatibility-matrix.xml /etc/vmware/vsphere-ui/compatibility-matrix.xml.backup

  1. 在文本compatibility-matrix.xml 文件:

vi /etc/vmware/vsphere-ui/compatibility-matrix.xml

  1. 此文件的内容如下所示: 
/etc/vmware/vsphere-ui/compatibility-matrix.xml before 解决办法
  1. 添加以下条目:

<Matrix>

<pluginsCompatibility>

. . . . 

. . . . 

<PluginPackage id=”com.vmware.vrops.install” status=”incompatible”/>

</pluginsCompatibility>

</Matrix>

  1. 该文件应如下所示:
/etc/vmware/vsphere-ui/compatibility-matrix.xml (解决办法后)
  1. 通过键入:compatibility-matrix.xmlcompatibility-matrix.xml :wq!
  2. 重新启动 vsphere-ui 服务。使用命令: service-control –restart vsphere-ui.
  3. 导航到 https://<VC-IP-or-FQDN>/ui/vropspluginui/rest/services/checkmobregister。此页面显示”404/未找到(如下所示)”错误。 
导航到 https://<VC-IP-or-FQDN>/ui/vropspluginui/rest/services/checkmobregister。此页面显示"404/未找到 (404/Not Found)"错误
  1. 在 vSphere Client (HTML5) 中,在管理 > Solutions > client-plugins 下,VMware vROPS Client 插件可能会显示为”不兼容”,如下所示
在 h5-client 中,在 管理 > Solutions > client-plugins 下,VMware vROPS Client 插件可能会显示为"不兼容",如下所示
  1. 这可确认端点/ui/vropspluginui设置为”不兼容”。

要针对基于 Windows 的 vCenter Server 部署实施 CVE-2021-21972 和 CVE-2021-21973 的解决办法,请执行以下步骤:

插件必须设置为”不兼容”。从 UI 中禁用插件不会保护系统免受此漏洞的影响)
 

  1. 从 RDP 到基于 Windows 的 vCenter Server。
  2. 备份文件 – 

C:\ProgramData\VMware\vCenterServer\cfg\vsphere-ui\compatibility-matrix.xml

  1. 此文件的内容如下所示:
compatibility-matrix.xml before 解决办法
  1. 添加以下条目: 

<Matrix>

<pluginsCompatibility>

. . . . 

. . . . 

<PluginPackage id=”com.vmware.vrops.install” status=”incompatible”/>

</pluginsCompatibility>

</Matrix>

  1. 文件应如下所示:
compatibility-matrix.xml after 解决办法
  1. 使用命令重新启动 vsphere-ui 服务:C:\Program Files\VMware\vCenter Server\bin> service-control –restart vsphere-ui
  2. 从 Web 浏览器中,导航到:
    https://<VC-IP-or-FQDN>/ui/vropspluginui/rest/services/checkmobregister.
    页面显示”404/未找到(如下所示)”错误:
  1. 在 vSphere Client (HTML 5) 中,在 管理 > Solutions > client-plugins 下,VMware vROPS Client 插件可能会显示为”不兼容”,如下所示:
在 h5-client 中,VMware vROPS Client 插件在 管理 > Solutions > client-plugins 下可视为"不兼容"
  1. 这可确认端点/ui/vropspluginui 设置为”不兼容”。

要恢复在基于 Linux 的虚拟设备 (vCSA) 上 CVE-2021-21972 和 CVE-2021-21973 的解决办法,请执行以下步骤:

  1. 使用 SSH 会话和 root 凭据连接到 vCSA。
  2. 在文本compatibility-matrix.xml 文件:

vi /etc/vmware/vsphere-ui/compatibility-matrix.xml

  1. 移除该文件中的以下行。 

<Matrix>

<pluginsCompatibility>

. . . . 

. . . . 

<PluginPackage id=”com.vmware.vrops.install” status=”incompatible”/>

</pluginsCompatibility>

</Matrix>

  1. 重新启动 vsphere-ui service。使用命令 – service-control –restart vsphere-u
  2. 验证 vSphere-ui 服务已启动。
  3. VMware vROPS 客户端插件状态为已部署/已启用

要恢复基于 Windows 的 vCenter Server 部署中 CVE-2021-21972 和 CVE-2021-21973 的解决办法,请执行以下步骤:

  1. 连接到 Windows vCenter Server。
  2. 使用文本编辑器编辑文件:

C:\ProgramData\VMware\vCenterServer\cfg\vsphere-ui\compatibility-matrix.xml

  1. 移除该文件中的以下行。 

<Matrix>

<pluginsCompatibility>

. . . . 

. . . . 

<PluginPackage id=”com.vmware.vrops.install” status=”incompatible”/>

</pluginsCompatibility>

</Matrix>

  1. 使用命令重新启动 vsphere-ui 服务:C:\Program Files\VMware\vCenter Server\bin> service-control –restart vsphere-ui
  2. 验证 vSphere-ui service 已启动。
  3. VMware vROPS 客户端插件状态为已部署/已启用