VMware vSphere: Kritische Sicherheitslücke im vCenter

Kürzlich gab VMware bekannt, dass es eine Sicherheitslücke in den Plugins des vCenter Servers bekanntgeworden ist (CVE-2021-21985). Betroffen hiervon sind die folgenden vCenter Versionen:

VMware vSphere 6.5
VMware vSphere 6.7
VMware vSphere 7.0
VMware Cloud Foundation Versionen 3.x und 4.x

Ohne Gegenmaßnahmen ist es Angreifern möglich, über das vSAN Health Plugin (Siehe Link) des vSphere Clients (HTML5) Schadcode in das System zu übertragen und Root-Rechte zu erlangen. Diese Sicherheitslücke betrifft auch Kunden, die kein vSAN im Einsatz haben, denn das Plugin ist standardmäßig installiert und aktiviert. Um diese Sicherheitslücke zu schließen hat VMware für die betroffenen vCenter-Versionen jeweils ein Update für den vCenter-Server bereitgestellt. In diesem wird gleichzeitig auch eine weitere Sicherheitslücke (CVE-2021-21986) geschlossen. Diese wurde seitens VMware hingegen als moderat gefährlich bezeichnet und ist im verlinkten KB-Artikel ebenfalls aufgeführt.

Response-Matrix der betroffenen Versionen

Produkt	Version	CVE Identifier	CVSSv3	Einstufung	Behoben ab Version	Workarounds	Dokumentation
vCenter Server	7.0	CVE-2021-21985	9.8	Kritisch	7.0 U2b	KB83829	FAQ
vCenter Server	6.7	CVE-2021-21985	9.8	Kritisch	6.7 U3n	KB83829	FAQ
vCenter Server	6.5	CVE-2021-21985	9.8	Kritisch	6.5 U3p	KB83829	FAQ

VMware vCenter Response-Matrix für CVE-2021-21985

Produkt	Version	CVE-Identifier	CVSSv3	Einstufung	Behoben ab Version	Workarounds	Dokumentation
Cloud Foundation (vCenter Server)	4.x	CVE-2021-21985	9.8	Kritisch	4.2.1	KB83829	FAQ
Cloud Foundation (vCenter Server)	3.x	CVE-2021-21985	9.8	Kritisch	3.10.2.1	KB83829	FAQ

VMware vCenter Cloud Federation Response-Matrix für CVE-2021-21985

Möglicher Workaround (nur ohne aktives vSAN möglich)

Falls es nicht möglich sein sollte, das Update kurzfristig einzuspielen, gibt es einen Workaround, der in dem VMware KB-Artikel 83829 beschrieben wird. Dieser sieht vor in den betroffenen vCenter Versionen das schadhafte Plugin in den Dateien

/etc/vmware/vsphere-ui/compatibility-matrix.xml

bzw.

C:\ProgramData\VMware\vCenterServer\cfg\vsphere-ui\compatibility-matrix.xml

über einen Editor zu deaktivieren. Dies funktioniert allerdings nur, wenn Sie kein VMware vSAN im Einsatz haben.

Sollten Sie noch Fragen zum Schließen der Sicherheitslücke haben oder Unterstützung bei der der Umsetzung benötigen, sind wir gerne behilflich. Kontaktieren Sie gerne kurzfristig unseren Servicedesk oder Ihren Account Manager.

Weiterführende Informationen

https://www.vmware.com/security/advisories/VMSA-2021-0010.html
https://kb.vmware.com/s/article/83829
https://blogs.vmware.com/vsphere/2021/05/vmsa-2021-0010.html

26. März 202026. März 2020

Erneut möglicher SSD-Ausfall bei HPE-Systemen

Hewlett Packard hat in den letzten Tagen eine Kundenmitteilung (Document id a00097382en_us) herausgegeben, in der vor Ausfall von bestimmten SSD-Typen gewarnt wird, wenn kein Firmwareupdate eingespielt wird. Dies betrifft vier SSD-Modelle, die in Servern verbaut sind. Die betroffenen Speichermedien mit einer Firmware kleiner als HPD7 stellen demnach ihren Dienst nach exakt 40.000 Stunden ein und werden vom System nicht mehr erkannt. Eine Reaktivierung und nachträgliches Einspielen der Firmware ist dann nicht mehr möglich.

HPE weist in dem Dokument ausdrücklich darauf hin, dass das Fehlerbild zwar ähnlich zu dem Vorfall vom November letzten Jahres ist, aber dennoch kein Zusammenhang besteht. Continue reading „Erneut möglicher SSD-Ausfall bei HPE-Systemen“

27. November 201927. November 2019

Möglicher SSD-Ausfall bei HPE Systemen

Hewlett Packard hat in den letzten Tagen eine Kundenmitteilung (Document id a00092491en_us) herausgegeben, in der vor Ausfall von bestimmten SSD Typen gewarnt wird, wenn kein Firmwareupdate eingespielt wird. Dies betrifft SSDs in Server und Speicher Systemen gleichzeitig. Die betroffenen Speichermedien mit einer Firmware kleiner als HPD8 stellen demnach ihren Dienst nach 2¹⁵bzw. 32.768 Stunden ein und werden vom System nicht mehr erkannt. Eine Reaktivierung und nachträgliches Einspielen der Firmware ist dann nicht mehr möglich.

Welche SSDs/Systeme sind betroffen?

HPE hat die SSDs in folgenden Produkten verbaut:

HPE ProLiant,
Synergy,
Apollo,
JBOD D3xxx, D6xxx, D8xxx,
MSA,
StoreVirtual 4335 und StoreVirtual 3200.

25. September 20191. April 2021

Neueröffnung des HPE Pointnext Education Services vLABs-Centers

Unser Fokus-Partner Hewlett Packard Enterprise eröffnete das innovative Training & vLabs Center auf etwa 900 Quadratmeter am deutschen Hauptstandort in Böblingen. Die michael wessel wurde dabei vor Ort aus dem Consulting durch David Yoel Wandschneider sowie unseren Teamleiter des Teams Datacenter Infrastructure, Daniel Lengies, vertreten. Im Dialog konnte die Zusammenarbeit partnerschaftlich gestärkt werden, Gespräche und Präsentationen lieferten einige – teils neue, teils bereits von uns in unseren Services enthaltenen Aspekte in der Weiterentwicklung IT-gestützter Prozesse und der chancenreichen Digitalisierung.

Wir haben im Folgenden unsere Eindrücke aus den Bereichen Technoligieentwicklung, Mobility, IoT und VR-Guidance, sowie Prozessoptimierung und Mitarbeiterawareness zusammengefasst.

9. September 201911. September 2019

Nils Kaczenski auf der Storage2Day 2019

Nächste Woche vom 17.-19. September findet die Storage2Day in Heidelberg statt. Die Konferenz für Speichernetze und Datenmanagement.

9. Juli 2018

Veeam: Update 3a (v. 9.5.0.1922) veröffentlicht

Viele Kunden haben drauf gewartet: Veeam hat das Update 3a für die Version 9.5.0.1922 mit wichtigen Änderungen veröffentlicht, was u.A. auch den Support von VMware vSphere 6.7 beinhaltet. Lesen Sie selbst, welche Änderungen Veeam mit dem Update erzielt und sprechen Sie uns gerne an, wenn Sie Fragen haben oder Unterstützung oder Informationen zu Veeam erhalten möchten.

Continue reading „Veeam: Update 3a (v. 9.5.0.1922) veröffentlicht“

2. März 201720. September 2017

Flat SAN

SAN Infrastrukturen hören sich meistens kompliziert an und jeder will davon Abstand halten. Mit Begriffen wie Zoning, Mapping und Fabrics möchte sich auch niemand beschäftigen. Fibre Channel scheint kompliziert zu sein, benötigt vermeintlich viel an zusätzlicher Infrastruktur und bedarf hoher Aufwände für die Administration. Dem ist aber nicht so!

Continue reading „Flat SAN“

14. Oktober 201626. April 2018

Hyperconverged in wenigen Schritten

Ein Hyperconverged System beschreibt eine Lösung, welche Rechenleistung (Compute) und Speicher (Storage) in einer Hardware vereint.

Wie dieses gelöst wird unterliegt keinen Standards oder Normen. Nun ist der Aufbau eines Systems, welches Speicher und Rechenleistung enthält keine Herausforderung, Server mit Raidcontroller und ein paar Festplatten kann mittlerweile jeder bereitstellen. Ein weiterer Bestandteil eines Hyperconverged Systems ist die Clusterfunktion. Im Allgemeinen sprechen wir dann von einem Hypervisor, vSphere Hypervisor oder Microsoft Hyper-V, welcher auf der Serverhardware läuft und die Compute und Storage Ressourcen den virtuellen System bereitstellt.

Continue reading „Hyperconverged in wenigen Schritten“

12. Februar 201620. September 2017

Nutanix Community Edition nested on ESXi

Want to test drive Nutanix‘ Xtreme Computing Platform or build a lab without providing (at least) three physical hosts? Get one with decent equipment to run vSphere Hypervisor (aka ESXi) and do it like this:

Extract the ce-<version>.img from the downloaded archive, rename it to ce-flat.vmdk, create a disk descriptor file (or download it) and save it as ce.vmdk.

Install ESXi and create a vSwitch with promiscuous mode enabled. If building on an existing vSphere deployment, do NOT use an existing vSwitch and enable promiscuous mode there, but create a new one with dedicated interface(s).

Create a VM per Nutanix node (minimum 3) with the following parameters (bare minimum):

CentOS 64Bit
4 sockets with 1 core each
16GB RAM
1x Intel e1000 vNIC
LSI SAS controller
- disk 0:0 500GB (pretending HDD)
- disk 0:1 200GB (pretending SSD)
Copy ce.vmdk and ce-flat.vmdk to VM folder on datastore (browse datastore, upload)
- attach existing disk ce.vmdk as 1:0 (pretending flash with Nutanix OS)
edit VM configuration to expose virtualization functions of CPU to VM, if not able to set this through VMware web GUI, download VMX file through datastore and edit it:
- set hardware version to „9“ (required for me as I was using ESXi 5.1)
- add line: vhv.enable = „TRUE“

Power on the VM and enter BIOS (F2), move SCSI1:0 to top of SCSI disks in boot order. Save (F10).

Now your VM will boot the Nutanix CE image. Login as root (nutanix/4u) and edit the sysUtil.py script:

# vi /home/install/phx_iso/phoenix/sysUtil.py

Find lines “SSD_rdIOPS_thresh = 5000” and “SSD_wrIOPS_thresh = 5000” and lower the respective thresholds so the script will accept your disks as SSDs. If both VMDKs will satisfy the thresholds, Nutanix will see your nodes as all-flash, but well… Write and quit, logout. Login as install and install Nutanix CE (don’t build single node clusters).

When all nodes and CVMs are up, connect to one of the CVMs, login as nutanix (nutanix/4u) and build your cluster:

cluster -s CVMIP1,CVMIP2,CVMIP3 create

After receiving the successful cluster overview, start the cluster:

cluster start

Now you need to set some parameters to enable your cluster to talk to the outside world (required for verification of your Community Edition account and download of updates etc.) as well as your admin workstation:

ncli cluster edit-params new-name=YOURCLUSTERNAME

ncli cluster add-to-name-servers servers=“DNSSERVERIP1,DNSSERVERIP2″

ncli cluster add-to-ntp-servers servers=“NTPSERVERIP1,NTPSERVERIP2″

ncli cluster set-timezone timezone=“YOURTIMEZONE“ (e.g. „Europe/Berlin“)

ncli cluster set-external-ip-address external-ip-address=“YOURCLUSTERIP“

Ready to go! Connect your browser to your cluster ip, login as admin (admin) and use your AHV powered Nutanix cluster.

With the bare minimum parameters given above you will only have about 1,8GB of RAM available for VMs on each node. This still allows for tests like validation of transparent storage failover: forcefully rebooting a CVM during constant disk i/o in three VMs running on the three nodes of the cluster shows performance impact in the VM on the affected node only. It takes about 6-8 minutes for i/o performance to recover automatically.

Kudos and hat tip to Kalle!

29. September 201520. September 2017

Dreamteam: Nutanix und Citrix Workspace Cloud

Der Vorreiter in wirklich konvergenten Infrastrukturen Nutanix und der Marktführer bei Applikations- und Desktopvirtualisierung Citrix verfolgen mit ihren aktuellen Entwicklungen die gleichen Ziele: IT-Organisationen die Zeit und Kapazität zu geben, sich auf die wirklich geschäftsrelevanten Dinge zu konzentrieren.

Nutanix kondensiert mit seiner Xtreme Computing Platform (XCP) die üblichen Infrastrukturkomponenten Storage, Server, Hypervisor und Management in schlüsselfertige Appliances, die nur noch ein Rechenzentrumsnetz und je nach Hypervisor-Wahl entsprechende Lizenzen benötigen. Warum sollten Unternehmen auch mit horrendem Aufwand und entsprechenden Betriebskosten komplexe Storage Area Networks, Speichersysteme, Serverparks und Management Tools betreiben, nur um darauf dann endlich ihre Anwendungssysteme installieren zu können? Weil es bislang eben nötig war. Aber wertschöpfend war das noch nie.

Citrix bietet mit seiner Workspace Cloud (CWC) inzwischen die Möglichkeit, die Basiskomponenten und Management Infrastruktur für seine Virtualisierungs- und Mobility Lösungen als Service aus der Cloud zu beziehen und die eigentlichen Workloads (VDI oder Hosted Shared Desktops) separat davon bereitzustellen. Auch hier kann sich die IT im Unternehmen auf das konzentrieren, womit wirklich gearbeitet wird und womit wirklich die Wertschöpfung stattfindet: die Arbeitsumgebungen und Applikationen für das Business.

In der Kombination bedeutet das, Commodity Komponenten wie Storage, Server, Hypervisor, Infrastruktur sind vorhanden und können genutzt werden. Zeit und Energie können in die ausgestaltung der Line of Business Applikationen und Arbeitsumgebungen investiert werden. Zugleich gewinnt das Unternehmen enorme Flexibilität, um auf Anforderungen wie globale Präsenz, Verfügbarkeit, Skalierung und Disaster Recovery zu reagieren, da beide Hersteller offene Schnittstellen zu Clouds wie AWS und Azure bieten. Citrix Desktops und Applikationen können unter der zentralen Steuerung der CWC in Minuten auf AWS (oder den meisten anderen Clouds, egal ob public oder private) ausgerollt und Anwendern bereitgestellt werden, Workloads auf der Nutanix XCP können „mal eben“ zu Azure konvertiert und verschoben werden.

Bei unseren Kunden führen diese Möglichkeiten und auch die von Nutanix gelieferte Performance wiederholt zu leuchtenden Augen. Haben Sie es auch schon erlebt?