Writing Virtual Life

仮想化(VMware)などについて、重箱の隅をつつくタイプのブログ。

VMware製品のうるう秒問題の影響(2015年版)続報

下記記事の続報があったので記載。

writinglife.hatenablog.com


KBに記載される、うるう秒の影響製品の項目が増えました。

VMware Product support of leap seconds (2115818)
http://kb.vmware.com/kb/2115818

以前からあったvCenter Server Appliance 5.0,5.1に加え、vCNSやNSXvCOps/vROpsなど注意すべき製品が増えています。

対策としてはNTP設定をSlewモードに切り替えればよく大きな作業にならないので、まずは対応製品とそのバージョンの確認、そして迅速に設定をしてもらうのがよいかと。
残り10日なのでお早めに。

-------------------------------------

2015/6/24 追記

今現在でも調査が進行中なのか、vCOps/vROpsが「影響なし製品」にカテゴリされるようになっていた。

影響しない製品のリストは以下KBに。

VMware KB: VMware products unaffected by the Leap Second change

 

VMware製品のうるう秒問題の影響(2015年版)

2015年7月1日に起きるうるう秒問題。
実際には2006年から3年おきに発生しており、その都度対応されている。
VMwareが現在うるう秒に対して述べているKBは以下。

VMware Product support of leap seconds (2115818)
http://kb.vmware.com/kb/2115818

2015/5/21時点の修正対象製品:
vCenter Server Appliance
・5.0
・5.0U1b     →5.0U2以降にアップグレード
・5.1.0a
・5.1.0b     →5.1U1a以降にアップグレード

ただしこのKBは情報が入り次第都度更新されるため、定期的に確認しておくとよい。
また、いきなりKBが消される可能性もあるのでVMware KBでの検索も必要。
(別の方がまとめられていた以下記事のKBが気づけば削除されてたり・・・いきなり消されると問題あったのかって不安になりますね)

vSphereへのうるう秒調整の影響
http://qiita.com/tsukamoto/items/5bbecd29ac40ac16e039

一応ご留意しておいたほうがいい情報でした。

仮想化ベンダにおけるVENOMの影響

5月13日に公開されたセキュリティ脆弱性「VENOM」。
古くから知られるエミュレータQEMUの持つ仮想フロッピーディスクコントローラ(FDC)のバグが原因となっており、影響としては仮想マシン上からホストOSに対してコードを実行させることができるという。
FDCが脆弱性の原因となっているが、VMおよびホストがFDを接続していない場合でも関連する。なぜならFDCコードはQEMUの中に残っており、VMを追加する際にデフォルトで追加されてしまうため、脆弱性の影響を受けてしまう。

なお、この脆弱性を使って悪意のコードを流すのはなかなか困難であるらしく、事例は挙がっていない。
影響のある製品については情報と同時に脆弱性対応パッチが公開されているため、パッチ適用さえ怠らなければよい。

VENOM Vulnerability
http://venom.crowdstrike.com/

影響のない製品

VMware QEMUを使用していない
 http://kb.vmware.com/kb/2117469
Bochs QEMUを使用していない
Hyper-V Xenをコアにしているもののエミュレータとしては使用していないため

影響のありうる製品

本家HPに対象リストがあり、そのなかで個人的に気になるものをピックアップした。
URLと対象となるOSバージョン、そのパッケージを記載。

QEMU:
http://git.qemu.org/?p=qemu.git;a=commitdiff;h=e907746266721f305d67bc0718795fedee2e824c

Xen Project:
http://xenbits.xen.org/xsa/advisory-133.html
Xen 4.2.x-4.5.x
qemu関連

Red Hat:
https://access.redhat.com/articles/1444903
RHEL 5,6,7
kvm,xen,qemu-kvm,qemu-kvm-rhev

Citrix:
http://support.citrix.com/article/CTX201078
XenServer 6.0-6.5

Ubuntu:
http://www.ubuntu.com/usn/usn-2608-1/
Ubuntu 12.04, 14.04, 14.10, 15.04
qemu, qemu-kvm

Debian:
https://security-tracker.debian.org/tracker/CVE-2015-3456

Suse:
https://www.suse.com/support/kb/doc.php?id=7016497
SLES 10-SP3,SP4 11-SP1,SP2,SP3 12

Amazon:
http://aws.amazon.com/security/security-bulletins/XSA_Security_Advisory_CVE_2015_3456/
対策済み。

3月12日更新のVMware製品ドキュメントリンク

1月もPEXのときも更新しなかったくせに、こんなときだけテンション上がってしまったのでブログ更新です。主に会社で読む用。
目についたものを追加しただけなので抜け漏れはあると思いますが。
 
 
VMware vSphere 6.0
 
VMware vCloud Suite 6.0
 
VMware vSphere Replication 6.0
 
VMware vSphere Data Protection リリース 6.0
 
VMware vRealize Automation 6.2
 
VMware vRealize Orchestrator 6.0.1 
 
vSphere Management Assistant 6.0
 
VMware Virtual SAN 6.0
 
VMware Integrated OpenStack
 
vCloud Networking and Security 5.5.4
 
VMware Horizon 6.1
 
VMware Workspace Portal 2.1.1
 
VMware vRealize Code Stream 1.1
 
 
 
 
Horizon FLEX 1.1、VMware Mirage 5.3は3月3日にアップデートされていたんですね。

タスクイベントにて定期的にエラーメッセージが表示される事象

もう年末も年末ですので、今年最後のブログ投稿です。
なるべく月1更新は落とさないように考えていたのですが、なかなか続かないもので。気になるKBの紹介メインで考えていれば、記事も短く済み更新しやすかったのではないかと思います。来年はそこを目標に。
 
今回紹介するには最近のKBにあった、vCenter Serverのタスクイベントで表示されるメッセージについて。
 
タイトル:Tasks and events tab shows error message every ten minutes: Cannot login root @ IP address (2030304)
 
・10分置きに「Cannot login root@192.168.99.17」というエラーメッセージがタスク・イベントに表示される。
・hostdに以下のようなログが記載される。
[63813B90 verbose 'Proxysvc Req11445'] New proxy client SSL(TCP(local=IPaddress:443, peer=IPaddress:52916))
pam_per_user: create_subrequest_handle(): doing map lookup for user "root"
pam_per_user: create_subrequest_handle(): creating new subrequest (user="root", service="system-auth-generic")
pam_unix(system-auth-generic:auth): authentication failure; logname= uid=0 euid=0 tty= ruser= rhost= user=root
 
[63813B90 info 'ha-eventmgr'] Event 3479 : Cannot login root@IPaddress Rejected password for user root from IPaddress
 
原因:
ほかのホストもしくはvCenter Serverと、3rd party製品との接続で失敗しているため。
 
解決策:
・接続する製品間でIPアドレスおよびユーザ名、パスワードが間違っていないかを確認する。
・接続を再確立させる。
 
 
検証環境あたりで見たことあるようなログだったので記載。
年始に改めて確認してみます。
 
それでは良いお年を。

 

ホスト起動後VMが起動できなかった現象

以前よりよくわからない現象だなーと思っていたことがKBにあったので記録。

ESXi ホストを再起動後に仮想マシンをパワーオンすると、次のメッセージが表示されて失敗する:現在のホストの接続状態では、この操作を実行できません。 (2073284)
http://kb.vmware.com/kb/2073284

事象

  • ESXi ホストを再起動後、仮想マシンのパワーオン、テンプレートのデプロイ、クローン操作ができません。
  • 仮想マシンのパワーオンすると、次のメッセージが表示されて失敗します:

現在のホストの接続状態では、この操作を実行できません。

対策:

  • ESXi ホストがシャットダウンされたことを認識してから、vCenter Server をシャットダウンするようにしてください。
  • この事象が発生してしまった場合は、vCenter Server 上で ESXi ホストへの接続を一旦切断し、再接続してください。

この、ESXiシャットダウンを認識してから、が曲者でした。停電作業後これやってるとかなり焦ります。


そういえばvForumではHorizon6ガイドを購入しました。他の本も欲しくなってしまうんでしょうけど、さすがにあのでかい本を複数持って帰るのは辛かろうと思って。

NSXも自動化もきちんと勉強したいお年頃ではありますが、まぁまたの機会に。

VMware製品とSSL脆弱性(POODLE)

VMware Products and CVE-2014-3566 (POODLE) (2092133)
http://kb.vmware.com/kb/2092133

既に数日ずれていますが、SSL 3.0脆弱性問題(POODLE)向けKBがVMwareより公開されています。

基本的にサーバではなくクライアント(ブラウザ)側の問題であるため、ブラウザのオプションを変更してもらうことで対処可能です。
VMware製品はSSLだけでなくTLS(SSLの後継)も対応しているので、そちらに切り替えれば問題ありません。

以下にSSL3.0のdisable方法も記載されているページを挙げておきます。

黒翼猫のコンピュータ日記 2nd Edition - SSL 3.0の脆弱性に関する基礎知識
http://blog.livedoor.jp/blackwingcat/archives/1878347.html