VMware製品とbash脆弱性
VMware assessment of bash Code Injection Vulnerability via Specially Crafted Environment Variables (CVE-2014-6271 CVE-2014-7169, aka "shellshock") (2090740)
http://kb.vmware.com/kb/2090740
最近話題になったbashの脆弱性(CVE-2014-6271, CVE-2014-7169)に関するVMware KBが公開されています。
とはいえ、肝心要の仮想アプライアンス系については現時点で調査中とのことです。
vSphere5.0 - 5.5
使用しているシェルがashなので影響なし。
※自分はbashとashの違いを理解できていません。不勉強・・・
WindowsベースのVMware製品
影響なし。
Linux or MacOSベースのVMware製品
使っているOSのbashバージョンが大丈夫かを確かめてください。
仮想アプライアンスのVMware製品
影響を受ける可能性があるため調査中。
ついでにVMware社カスタマーポータルおよびサイトのbash脆弱性影響に関するKBも記載。
基本的に影響なし。
Impact of bash code injection vulnerability on VMware Customer Portals and web sites (CVE-2014-6271 and CVE-2014-7169, aka "shellshock") (2090817)
http://kb.vmware.com/kb/2090817
【イベント】第1回 Re-Virtualize Night
構成の上限リンク(~vSphere5.5)
先日発売されたマスタリングvSphere5.5を読んでいるのですが、なかなか面白いです。学生時代に読まされていた技術書よりかはやる気が違うからでしょうか。
以下にvSphere構成の上限に関するリンクを並べておきます。
基本最新版だけでいいのでしょうが、過去バージョンとの比較をするときに意外と確認することがあるので。
VMware vSphere 5.5 構成の上限
http://www.vmware.com/files/jp/pdf/vsphere-55-configuration-maximums.pdf
VMware vSphere 5.1 構成の上限
http://www.vmware.com/files/jp/pdf/vsphere-51-configuration-maximums.pdf
VMware vSphere 5.0 構成の上限
http://www.vmware.com/files/jp/pdf/vsp_50_config_max_ja.pdf
VMware vSphere 4.1 構成の上限
http://www.vmware.com/files/jp/pdf/support/VMware-vsp_41_config_max-PG-JP.pdf
VMware vSphere 4.0 構成の上限
http://www.vmware.com/files/jp/pdf/support/VMware-vsp_40_u1_config_max-PG-JP.pdf
Windows Server 2012R2上でView Composer6.0構築
Horizon 6.0 がWindows Server 2012R2に対応したとのことで、色々構築して遊んでみようとしたものの、View Composerインストールで詰まりました。
エラーコードは1920。
いくつか調べていたところ、下記URLの記事で無事解決。感謝。
View Composer 6.0 インストール時の1920エラー|IAサーバーの仮想化メモ
ただKBには説明および解決策が書かれてはいましたが、Windows Vista/7/2008/2008R2用パッチを適用しろとしか記述されておらず、2012R2の場合どうすれば、と思っていました。
証明書の自動更新無効を設定する手順を簡単ながら説明。
1.Active Directoryサーバにて、「グループポリシーの管理」を起動
2.ドメインのデフォルトグループポリシーを右クリックして「編集」
3.グループポリシーエディタにて、「コンピュータの構成/管理テンプレート/システム/インターネット通信の管理/インターネット通信の設定」を展開
4.「ルート証明書の自動更新を無効にします。」を有効にする
これで自分の場合はインストールが正常に完了できるようになりました。
ODBC関連でも多少躓きはしましたが、一番わからなかったのはこの点だったので記録として残します。
Windows版 vCenter ServerのvSAN Observerで苦労したこと
vSAN Observerの件で再び困ったことがあったので記録。まあこれは次回のアップデートか何かで改善される可能性が高いのですが。
Windows 2008R2 / 2012R2にWindows版vCenter Server 5.5 update 1 をインストールし、vSAN ObserverのRVCを起動したところ自身のデータセンターが見えない(cdコマンドでデータセンターを選択できない)という問題が発生しました。タブキーなど押すとエラーが表示されます(その時のエラーは下記)。
RuntimeError: unknown VMODL type AnyType
自分が作成したデータセンターが見えないということは、その下にいるクラスタやホストも選択できないということで、つまりはパフォーマンスを見るコマンドすべてが使えないということです。
vSANのパフォーマンスが見えないと、試しに使うにも不安になります。vCSAを採用すれば問題なく動作するのですが、アプライアンス版を信じていいのかわからないと判断された場合にはWin版を選ばざるを得ないですよね。
この問題点について調査していたところ、下記URLにて解決案が提示されているのを見つけました。
http://vinfrastructure.it/2014/05/vmware-virtual-san-observer/
RVCで使用されているnokogiriというファイルを古いバージョンにすることで改善されるとのこと。
これにより正常にvSAN Observerが利用できるようになります。
わかった人、素晴らしい。
自社環境で使用する場合にはこちらも気をつけましょうという話でした。
VSAN ObserverのWebインタフェースの注意点
VSANのパフォーマンスを計測するためのツール「VSAN Observer」をさわっていて困ったことがあったので記録。
Webインタフェースの実行コマンド
vsan.observer ~/computers/cluster -r -o
コマンドで観測を開始させた後、指定されたURLにアクセスすればWebUIを閲覧できます。
そのはずなのに、画面にはメニューしか表示されない。
いくつか環境構成を試してみたところ、以下の条件が必要であることがわかりました。
- アクセスする端末のブラウザは新しいものを使用すること
- アクセスする端末はインターネット接続可能であること
ブラウザの確認は2種類だけ。まずIE8ではダメで、Firefox ならOKだった。下記URLを見ると「Google Chromeのようなモダンなブラウザを使え」とあったのに気がついて、ようやく理解した。
vSphere 5.5: Using RVC VSAN Observer Pt1
http://www.punchingclouds.com/2013/09/02/vsphere-5-5-using-rvc-vsan-observer-pt1/
WebUIにはグラフ描画用などの用途でWebAPIが使用されており、インターネットに繋がらない環境だとグラフは一切表示されなかった。
ここらへん、ローカルな環境で確認していたのでしばらくわからなかった。 でもIE使ったときにセキュアサイトの登録ウィンドウが出てきた時点で気づくべきだった・・・。
自社の評価環境などで構築する場合には気をつけましょうという話でした。
VMware製品におけるOpenSSLの影響
つい最近大きな問題として取り上げられていたOpenSSLの影響について、VMwareで公開されたKBです。
Impact of OpenSSL security issue CVE-2014-0160/CVE-2014-0346 a.k.a: "Heartbleed" on VMware Customer Portals and web sites (2076353)
http://kb.vmware.com/kb/2076353
Response to OpenSSL security issue CVE-2014-0160/CVE-2014-0346 a.k.a: "Heartbleed" (2076225)
http://kb.vmware.com/kb/2076225
4月14日時点では随時更新中らしく、今後も変更予定らしいですが。
