Apache Struts 2脆弱性(CVE-2017-5638)に関するVMware製品の対応状況
そろそろ情報が確定したかと思い記載(以下アドバイザリページは7回ほど更新されていました)。
VMSA-2017-0004.7
対象製品:
・Horizon Desktop as-a-Service Platform (DaaS)
・VMware vCenter Server (vCenter)
・vRealize Operations Manager (vROps)
・vRealize Hyperic Server (Hyperic)
特にvCenter Server 6.0,6.5、crops 6.xが関連しやすいと思いますが、
現在はパッチ、もしくはワークアラウンドが揃っています。
CVE-2017-5638については以下をご参照。
VMware KBの短縮URL取得
ESXiのvibパッケージをブラウザ上で確認する方法(Host Client)
vSphere 6.0/6.5とVMware NSXの互換性
ESXiのSSH警告を無効化する方法
ESXiのSSH / ESXi Shellを有効化していると、ESXiのサマリで警告が表示されます。
もちろんSSHが有効ということはセキュリティ対策として気にすべき点かと思いますが、有効にしておきたい評価環境ような場合ではこれが気になってしまいます。また、常時警告が出てしまうことで、他の警告が気づきにくくなってしまうといった懸念もあり。
なのでこの警告表示を無効化する手順をご紹介します。
以下画像では、ホストのサマリにて「ホストのESXi シェルは有効になっています」と言った警告が出ています。
ホストを選択し「管理」タブ、「設定」タブ、「システムの詳細設定」をクリック。
パラメータ「UserVars.SuppressShellWarning」を探します。「Shell」でフィルタすると見つけやすいです。
そしてこの値を「1」に設定し、「OK」をクリックします。
警告が表示されなくなりました。
この方法は以下KBに記載されております。
KB上はバージョン5.5.xまでとなっていますが、6.5でも適用可能です。
vCSA6.5アプライアンス シェルのAPI
vCSAをコンソールで開くと、まず始めにアプライアンス シェル画面が表示されます。
vCenter Server Appliance シェルの API コマンドvCenter Server Appliance の API コマンドを使用すると、vCenter Server Appliance のさまざまな管理タスクを実行できます。これらの API コマンドは、vCenter Server Appliance のアプライアンス管理サービスによって提供されます。時刻同期設定の編集、プロセスとサービスの監視、SNMP 設定のセットアップなどを実行できます。
例:
・com.vmware.appliance.version1.system.version.get
アプライアンスのバージョンを取得します。
・com.vmware.appliance.version1.system.time.get
システム時刻を取得します。
また、割と統計情報や健全性情報をCUIで得られるのがポイント高めです。その紹介は後日。
仮想マシンメモリのオーバーヘッド
vSphere5.5まではオーバーヘッドメモリの一覧表がドキュメントに記載されていました。6.0では一覧表がなくなってしまいましたが、6.5になってまたドキュメントに記載されるようになっていました。
vSphere 5.5の場合
vSphere 6.0の場合
vSphere 6.5の場合
数字としては5.5 - 6.5で変わらないようです。ドキュメントに復帰した理由は不明ですが、ちゃんと記載されることでオーバーヘッドを意識できるようになったのは少し嬉しいですね。