VMware опублікувала оновлення безпеки VMSA-2019-0009 для VMware Tools.
VMware опублікувала оновлення безпеки VMSA-2019-0009 для VMware Tools.
VMware опублікувала повідомлення VMSA-2019-0009 для пакету VMware Tools, який містить уразливість, що дозволяє непривілейованому користувачеві читати дані з гостьової ВМ, а також негативно впливати на її гостьову ОС. Уразливості схильні до версії VMware Tools нижче 10.3.10.
Як приклад використання такої вразливості можна навести Windows-машини, де включені служби Microsoft Remote Desktop Services. Також ризику піддаються служби Microsoft SQL Server або IIS, які використовують сервісні облікові записи.
Спочатку треба вивести всі ВМ, які мають VMware Tools версії нижче 10.3.10 за допомогою наступної команди PowerCLI:
Get-VM | Where-Object {$_.Guest.ToolsVersion -lt ‘10.3.10’} | Sort-Object Name | Format-Table
Ось така команда видасть всі Windows-машини з VMware Tools нижче 10.3.10:
Get-VM | Where-Object {$_.Guest.ToolsVersion -lt ‘10.3.10’ -and $_.Guest.GuestFamily -eq ‘windowsGuest’} | Sort-Object Name | Format-Table
Перевірити версію VMware Tools можна і самостійно у VMware vSphere Client:
VMware 6.7 Update 2a йде з версією VMware Tools 10.3.5. Слід зазначити, що гостьові ОС Linux не схильні до вразливості, тому не лякайтеся, що open-vm-tools мають лише версію 10.3.5.
Останню версію пакета тулзів можна завантажити за цим посиланням: https://www.vmware.com/go/tools
Якщо ви хочете оновити VMware Tools через офлайн-бандл, завантажте "VMware Tools Offline VIB Bundle", після чого можна використовувати vSphere Update Manager (VUM) для розгортання інсталяторів пакета на хостах ESXi без простою. Після цього машини повинні протягом 5 хвилин схопити нову версію тулзов (такий період оновлення інформації про актуальну версію пакета). Встановлена версія VMware Tools також перевіряється і при vMotion, а, крім того, і під час операцій з живленням ВМ (ввімкнення/вимкнення).
У великій інфраструктурі ви можете налаштувати централізований репозиторій VMware Tools для використання як джерело для багатьох хостів ESXi.
Оновлення VMware Tools можна ініціювати через PowerCLI за допомогою наступного командлета:
Get-VM | Where-Object {$_.ExtensionData.Guest.ToolsVersionStatus -eq "guestToolsNeedUpgrade" -and $_.PowerState -eq "PoweredOn"} | Get-VMGuest | Where-Object {$_.GuestFamily -eq "windowsGuest"} | Update-Tools -NoReboot -RunAsync
Пам'ятайте, що при апгрейді VMware Tools вам може знадобитися перезавантаження віртуальних машин та їх гостьових ОС. Також ви Ви можете використовувати наведений вище сценарій для кількох ВМ в одній папці:
Get-VM "TEST-VM-02" | Where-Object…
Get-Folder “Тест VM - Snapshotted” | Get-VM | Where-Object…
Якщо ви використовуєте опцію "Automatic Upgrade", машина буде оновлена автоматично (без взаємодії з гостьовою ОС) і, при необхідності, перезавантажиться. Також ви можете використовувати оновлення тулзів без негайного перезавантаження, застосувавши інструкції, описані в KB1018377. Треба пам'ятати, що в цьому випадку до перезавантаження працюватиме стара версія VMware Tools, а значить, до перезавантаження машини вразливість буде актуальною.
Ще одна опція – налаштувати оновлення тулзів у налаштуваннях віртуальної машини
