VMware vSphere: Kritische Sicherheitslücke im vCenter

Kürzlich gab VMware bekannt, dass es eine Sicherheitslücke in den Plugins des vCenter Servers bekanntgeworden ist (CVE-2021-21985). Betroffen hiervon sind die folgenden vCenter Versionen:

  • VMware vSphere 6.5
  • VMware vSphere 6.7
  • VMware vSphere 7.0
  • VMware Cloud Foundation Versionen 3.x und 4.x

Ohne Gegenmaßnahmen ist es Angreifern möglich, über das vSAN Health Plugin (Siehe Link) des vSphere Clients (HTML5) Schadcode in das System zu übertragen und Root-Rechte zu erlangen. Diese Sicherheitslücke betrifft auch Kunden, die kein vSAN im Einsatz haben, denn das Plugin ist standardmäßig installiert und aktiviert. Um diese Sicherheitslücke zu schließen hat VMware für die betroffenen vCenter-Versionen jeweils ein Update für den vCenter-Server bereitgestellt. In diesem wird gleichzeitig auch eine weitere Sicherheitslücke (CVE-2021-21986) geschlossen. Diese wurde seitens VMware hingegen als moderat gefährlich bezeichnet und ist im verlinkten KB-Artikel ebenfalls aufgeführt.

Response-Matrix der betroffenen Versionen

ProduktVersionCVE IdentifierCVSSv3EinstufungBehoben ab VersionWorkaroundsDokumentation
vCenter Server 7.0CVE-2021-219859.8Kritisch 7.0 U2bKB83829FAQ
vCenter Server6.7CVE-2021-219859.8Kritisch 6.7 U3nKB83829FAQ
vCenter Server6.5CVE-2021-219859.8Kritisch 6.5 U3pKB83829FAQ
VMware vCenter Response-Matrix für CVE-2021-21985
ProduktVersionCVE-IdentifierCVSSv3EinstufungBehoben ab VersionWorkaroundsDokumentation
Cloud Foundation (vCenter Server) 4.xCVE-2021-219859.8Kritisch 4.2.1KB83829FAQ
Cloud Foundation (vCenter Server) 3.xCVE-2021-219859.8Kritisch 3.10.2.1KB83829FAQ
VMware vCenter Cloud Federation Response-Matrix für CVE-2021-21985

Möglicher Workaround (nur ohne aktives vSAN möglich)

Falls es nicht möglich sein sollte, das Update kurzfristig einzuspielen, gibt es einen Workaround, der in dem VMware KB-Artikel 83829 beschrieben wird. Dieser sieht vor in den betroffenen vCenter Versionen das schadhafte Plugin in den Dateien

/etc/vmware/vsphere-ui/compatibility-matrix.xml

bzw.

C:\ProgramData\VMware\vCenterServer\cfg\vsphere-ui\compatibility-matrix.xml

über einen Editor zu deaktivieren. Dies funktioniert allerdings nur, wenn Sie kein VMware vSAN im Einsatz haben.

Sollten Sie noch Fragen zum Schließen der Sicherheitslücke haben oder Unterstützung bei der der Umsetzung benötigen, sind wir gerne behilflich. Kontaktieren Sie gerne kurzfristig unseren Servicedesk oder Ihren Account Manager.

Weiterführende Informationen

https://www.vmware.com/security/advisories/VMSA-2021-0010.html
https://kb.vmware.com/s/article/83829
https://blogs.vmware.com/vsphere/2021/05/vmsa-2021-0010.html

Erneut möglicher SSD-Ausfall bei HPE-Systemen

Hewlett Packard hat in den letzten Tagen eine Kundenmitteilung (Document id a00097382en_us) herausgegeben, in der vor Ausfall von bestimmten SSD-Typen gewarnt wird, wenn kein Firmwareupdate eingespielt wird. Dies betrifft vier SSD-Modelle, die in Servern verbaut sind. Die betroffenen Speichermedien mit einer Firmware kleiner als HPD7 stellen demnach ihren Dienst nach exakt 40.000 Stunden ein und werden vom System nicht mehr erkannt. Eine Reaktivierung und nachträgliches Einspielen der Firmware ist dann nicht mehr möglich.

HPE weist in dem Dokument ausdrücklich darauf hin, dass das Fehlerbild zwar ähnlich zu dem Vorfall vom November letzten Jahres ist, aber dennoch kein Zusammenhang besteht. Continue reading „Erneut möglicher SSD-Ausfall bei HPE-Systemen“

Möglicher SSD-Ausfall bei HPE Systemen

Hewlett Packard hat in den letzten Tagen eine Kundenmitteilung (Document id a00092491en_us) herausgegeben, in der vor Ausfall von bestimmten SSD Typen gewarnt wird, wenn kein Firmwareupdate eingespielt wird. Dies betrifft SSDs in Server und Speicher Systemen gleichzeitig. Die betroffenen Speichermedien mit einer Firmware kleiner als HPD8 stellen demnach ihren Dienst nach 215 bzw. 32.768 Stunden ein und werden vom System nicht mehr erkannt. Eine Reaktivierung und nachträgliches Einspielen der Firmware ist dann nicht mehr möglich.

Welche SSDs/Systeme sind betroffen?

HPE hat die SSDs in folgenden Produkten verbaut:

  • HPE ProLiant,
  • Synergy,
  • Apollo,
  • JBOD D3xxx, D6xxx, D8xxx,
  • MSA,
  • StoreVirtual 4335 und StoreVirtual 3200.
Continue reading „Möglicher SSD-Ausfall bei HPE Systemen“

Neueröffnung des HPE Pointnext Education Services vLABs-Centers

Unser Fokus-Partner Hewlett Packard Enterprise eröffnete das innovative Training & vLabs Center auf etwa 900 Quadratmeter am deutschen Hauptstandort in Böblingen. Die michael wessel wurde dabei vor Ort aus dem Consulting durch David Yoel Wandschneider sowie unseren Teamleiter des Teams Datacenter Infrastructure, Daniel Lengies, vertreten. Im Dialog konnte die Zusammenarbeit partnerschaftlich gestärkt werden, Gespräche und Präsentationen lieferten einige – teils neue, teils bereits von uns in unseren Services enthaltenen Aspekte in der Weiterentwicklung IT-gestützter Prozesse und der chancenreichen Digitalisierung.

Wir haben im Folgenden unsere Eindrücke aus den Bereichen Technoligieentwicklung, Mobility, IoT und VR-Guidance, sowie Prozessoptimierung und Mitarbeiterawareness zusammengefasst.

Continue reading „Neueröffnung des HPE Pointnext Education Services vLABs-Centers“

Veeam: Update 3a (v. 9.5.0.1922) veröffentlicht

Viele Kunden haben drauf gewartet: Veeam hat das Update 3a für die Version 9.5.0.1922 mit wichtigen Änderungen veröffentlicht, was u.A. auch den Support von VMware vSphere 6.7 beinhaltet. Lesen Sie selbst, welche Änderungen Veeam mit dem Update erzielt und sprechen Sie uns gerne an, wenn Sie Fragen haben oder Unterstützung oder Informationen zu Veeam erhalten möchten.

Continue reading „Veeam: Update 3a (v. 9.5.0.1922) veröffentlicht“

Flat SAN

SAN Infrastrukturen hören sich meistens kompliziert an und jeder will davon Abstand halten. Mit Begriffen wie Zoning, Mapping und Fabrics möchte sich auch niemand beschäftigen. Fibre Channel scheint kompliziert zu sein, benötigt vermeintlich viel an zusätzlicher Infrastruktur und bedarf hoher Aufwände für die Administration. Dem ist aber nicht so!

Continue reading „Flat SAN“

Hyperconverged in wenigen Schritten

Ein Hyperconverged System beschreibt eine Lösung, welche Rechenleistung (Compute) und Speicher (Storage) in einer Hardware vereint.

Wie dieses gelöst wird unterliegt keinen Standards oder Normen. Nun ist der Aufbau eines Systems, welches Speicher und Rechenleistung enthält keine Herausforderung, Server mit Raidcontroller und ein paar Festplatten kann mittlerweile jeder bereitstellen. Ein weiterer Bestandteil eines Hyperconverged Systems ist die Clusterfunktion. Im Allgemeinen sprechen wir dann von einem Hypervisor, vSphere Hypervisor oder Microsoft Hyper-V, welcher auf der Serverhardware läuft und die Compute und Storage Ressourcen den virtuellen System bereitstellt.

Continue reading „Hyperconverged in wenigen Schritten“

Nutanix Community Edition nested on ESXi

Want to test drive Nutanix‘ Xtreme Computing Platform or build a lab without providing (at least) three physical hosts? Get one with decent equipment to run vSphere Hypervisor (aka ESXi) and do it like this:

Register and download Nutanix Community Edition.

Extract the ce-<version>.img from the downloaded archive, rename it to ce-flat.vmdk, create a disk descriptor file (or download it) and save it as ce.vmdk.

Install ESXi and create a vSwitch with promiscuous mode enabled. If building on an existing vSphere deployment, do NOT use an existing vSwitch and enable promiscuous mode there, but create a new one with dedicated interface(s).

Create a VM per Nutanix node (minimum 3) with the following parameters (bare minimum):

  • CentOS 64Bit
  • 4 sockets with 1 core each
  • 16GB RAM
  • 1x Intel e1000 vNIC
  • LSI SAS controller
    • disk 0:0 500GB (pretending HDD)
    • disk 0:1 200GB (pretending SSD)
  • Copy ce.vmdk and ce-flat.vmdk to VM folder on datastore (browse datastore, upload)
    • attach existing disk ce.vmdk as 1:0 (pretending flash with Nutanix OS)
  • edit VM configuration to expose virtualization functions of CPU to VM, if not able to set this through VMware web GUI, download VMX file through datastore and edit it:
    • set hardware version to „9“ (required for me as I was using ESXi 5.1)
    • add line: vhv.enable = „TRUE“

Power on the VM and enter BIOS (F2), move SCSI1:0 to top of SCSI disks in boot order. Save (F10).

Now your VM will boot the Nutanix CE image. Login as root (nutanix/4u) and edit the sysUtil.py script:

# vi /home/install/phx_iso/phoenix/sysUtil.py

Find lines “SSD_rdIOPS_thresh = 5000” and “SSD_wrIOPS_thresh = 5000” and lower the respective thresholds so the script will accept your disks as SSDs. If both VMDKs will satisfy the thresholds, Nutanix will see your nodes as all-flash, but well… Write and quit, logout. Login as install and install Nutanix CE (don’t build single node clusters).

When all nodes and CVMs are up, connect to one of the CVMs, login as nutanix (nutanix/4u) and build your cluster:

cluster -s CVMIP1,CVMIP2,CVMIP3 create

After receiving the successful cluster overview, start the cluster:

cluster start

Now you need to set some parameters to enable your cluster to talk to the outside world (required for verification of your Community Edition account and download of updates etc.) as well as your admin workstation:

ncli cluster edit-params new-name=YOURCLUSTERNAME

ncli cluster add-to-name-servers servers=“DNSSERVERIP1,DNSSERVERIP2″

ncli cluster add-to-ntp-servers servers=“NTPSERVERIP1,NTPSERVERIP2″

ncli cluster set-timezone timezone=“YOURTIMEZONE“ (e.g. „Europe/Berlin“)

ncli cluster set-external-ip-address external-ip-address=“YOURCLUSTERIP“

Ready to go! Connect your browser to your cluster ip, login as admin (admin) and use your AHV powered Nutanix cluster.

With the bare minimum parameters given above you will only have about 1,8GB of RAM available for VMs on each node. This still allows for tests like validation of transparent storage failover: forcefully rebooting a CVM during constant disk i/o in three VMs running on the three nodes of the cluster shows performance impact in the VM on the affected node only. It takes about 6-8 minutes for i/o performance to recover automatically.

Kudos and hat tip to Kalle!

Dreamteam: Nutanix und Citrix Workspace Cloud

Der Vorreiter in wirklich konvergenten Infrastrukturen Nutanix und der Marktführer bei Applikations- und Desktopvirtualisierung Citrix verfolgen mit ihren aktuellen Entwicklungen die gleichen Ziele: IT-Organisationen die Zeit und Kapazität zu geben, sich auf die wirklich geschäftsrelevanten Dinge zu konzentrieren.

Nutanix kondensiert mit seiner Xtreme Computing Platform (XCP) die üblichen Infrastrukturkomponenten Storage, Server, Hypervisor und Management in schlüsselfertige Appliances, die nur noch ein Rechenzentrumsnetz und je nach Hypervisor-Wahl entsprechende Lizenzen benötigen. Warum sollten Unternehmen auch mit horrendem Aufwand und entsprechenden Betriebskosten komplexe Storage Area Networks, Speichersysteme, Serverparks und Management Tools betreiben, nur um darauf dann endlich ihre Anwendungssysteme installieren zu können? Weil es bislang eben nötig war. Aber wertschöpfend war das noch nie.

Citrix bietet mit seiner Workspace Cloud (CWC) inzwischen die Möglichkeit, die Basiskomponenten und Management Infrastruktur für seine Virtualisierungs- und Mobility Lösungen als Service aus der Cloud zu beziehen und die eigentlichen Workloads (VDI oder Hosted Shared Desktops) separat davon bereitzustellen. Auch hier kann sich die IT im Unternehmen auf das konzentrieren, womit wirklich gearbeitet wird und womit wirklich die Wertschöpfung stattfindet: die Arbeitsumgebungen und Applikationen für das Business.

In der Kombination bedeutet das, Commodity Komponenten wie Storage, Server, Hypervisor, Infrastruktur sind vorhanden und können genutzt werden. Zeit und Energie können in die ausgestaltung der Line of Business Applikationen und Arbeitsumgebungen investiert werden. Zugleich gewinnt das Unternehmen enorme Flexibilität, um auf Anforderungen wie globale Präsenz, Verfügbarkeit, Skalierung und Disaster Recovery zu reagieren, da beide Hersteller offene Schnittstellen zu Clouds wie AWS und Azure bieten. Citrix Desktops und Applikationen können unter der zentralen Steuerung der CWC in Minuten auf AWS (oder den meisten anderen Clouds, egal ob public oder private) ausgerollt und Anwendern bereitgestellt werden, Workloads auf der Nutanix XCP können „mal eben“ zu Azure konvertiert und verschoben werden.

Bei unseren Kunden führen diese Möglichkeiten und auch die von Nutanix gelieferte Performance wiederholt zu leuchtenden Augen. Haben Sie es auch schon erlebt?