Tags: vSphere, ESXi, vCenter, Schwachstellen
Im November 2021 entfernte VMware wegen eines Bugs ESXi 7 Update 3 von seiner Download-Seite und empfahl Kunden, mit dem Update zu warten. Der Hypervisor ist nun wieder als Version 7 U3c zurück. vCenter 7 U3 bringt zusätzliche Update-Checks, aber auch veraltete Versionen einiger Open-Source-Komponenten.
VMware benannte in vSphere 7 Update 3, 3a und 3b den Treiber für Intels Ethernet-Adapter erst von i40en nach i40enu um und kehrte dann wieder zum ursprünglichen Namen zurück. Dies führte dazu, dass einige Hosts nach dem Update auf ESXi 7 U3a oder höher beide Treiber erhielten.
Kritische Fehler behoben
Dies resultierte in einer Reihe von schwerwiegenden Problemen, darunter dem Fehlschlagen von Updates auf eine der betroffenen Versionen oder dem Scheitern der HA-Aktivierung im Cluster. VMware hat daraufhin im November letzten Jahres alle Versionen von ESXi 7 Update 3 zurückgezogen.
In vSphere 7 Update 3c behob der Hersteller diesen und andere Fehler. Eine detaillierte Übersicht bieten die Release Notes für ESXi 7 Update 3c. Aus ihnen geht allerdings auch hervor, dass der Hypervisor nun wieder die veraltete Version 7.77.0 von cURL enthält, während ESXi 6.5 und 6.7 bereits auf cURL 7.78.0 aktualisiert wurden. Sie leidet unter einigen bekannten Schwachstellen.
vCenter 7 Update 3c
Das Update 3c bringt wie bei ESXi 7 auch für vCenter 7 keine neuen Features, so wie dies sonst üblich ist. Als Neuerung geht höchstens die Funktion zur Prüfung des ESXi-Hosts auf ihre Update-Tauglichkeit durch. Der Scan soll Server entdecken, die vom Problem des geänderten Namens für den Intel-Treiber betroffen sind.
VMware vCenter darf man erst auf Version 7 Update 3c aktualisieren, nachdem man alle fraglichen ESXi-Hosts auf diesen Stand gebracht hat. Außerdem verhindert der vSphere Lifecycle Manager, dass man die Update-Methode für solche ESXi-Server von Baselines auf Single Image für Cluster umstellt.
Neues log4j, alter Tomcat
vCenter war eines der VMware-Produkte, das im Gegensatz zu ESXi von der kritischen Schwachstelle in log4j betroffen war. Diese Sicherheitslücke schließt nun die Version 7 U3c.
Andererseits bringt das Update mehrere alte Versionen von Open-Source-Komponenten zurück, die in den noch unterstützten Releases von vSphere 6.x bereits durch neuere ersetzt wurden. Dazu zählen Apache Tomcat, Eclipse Jetty, OpenSSL, JRE und JDK sowie SQLite. Hinzu kommt wie bei ESXi noch cURL, allerdings in der noch älteren Version 7.75.
Alle von ihnen weisen bekannte Schwachstellen auf. Sowohl bei ESXi als auch vCenter verweist VMware auf künftige Versionen, die ein aktuelles cURL sowie neuere Ausführungen der anderen OSS-Komponenten enthalten sollen.
Täglich Know-how für IT-Pros mit unserem Newsletter
Verwandte Beiträge
- VMware vSphere 8 Update 2: ESXi Lifecycle Management Service, mehr KI-Rechenleistung, Integration mit Azure AD
- Schwachstellen in VMware ESXi (CVE-2022-31696) und vCenter, Updates verfügbar
- Apache log4j: Welche VMware-Produkte sind betroffen?
- Tool für Maximalwerte in VMware vSphere, Poster für Cmdlets in PowerCLI 10
- Lizenzen für ESXi, vCenter, vSAN in vSphere und My VMware verwalten
Weitere Links