Относительно недавно в статье «VMware ESXi 7.0 Update 1 Release Notes» мы писали о коренных изменениях версии гипервизора. Но, с тех пор VMware уже успела выпустить два апдейта к нему: 7.0U1a и 7.0U1b. Первый – 4 ноября 2020 года (обновлено 12.11.20) и второй – 19 ноября. Разумеется, сегодня они попадут в фокус нашего внимания.
Буквенная нумерация говорит о том, что кардинальных перемен от этих версий ждать не приходится – эти патчи направлены на доработку глобального 7.0U1 и исправление ошибок. Все же, касающееся требований к совместимости, out-date, локализации и прочих общих моментов осталось прежним (см. в «VMware ESXi 7.0 Update 1 Release Notes»). Однако номер деталей актуальной сборки сменился, поэтому, если вы хотите пользоваться самым свежим вариантом гипервизора, его надо взять на заметку.
Актуальная сборка
Самый последний на данный момент билд ESXi 7.0U1b – 17168206:
И на странице выкачки версий исправленный билд 17168206 доступен в составе ISO-образа самого гипервизора:
Если вы не забираете компоненты vSphere с нуля, рекомендуется пользоваться vSphere Lifecycle Manager для применения патчей к уже существующей среде. Либо же вручную искать подвергшиеся изменениям VIB и апдейтить конкретно их (см. ниже список под каждой исправленной ошибкой).
Исправленные в апдейте 7.0U1b и 7.0U1a ошибки
Оба патча работали над исправлением пробоев в области безопасности.
7.0U1a
- Проблема с use-after-free OpenSLP. Суть в том, что, если у злоумышленника есть доступ к сетевому порту 427 на ESXi-хосте, он может получить достучаться до use-after-free службы OpenSLP и удаленно запустить на исполнение код.
С целью исправления внесены изменения в следующие VIB: vdfs, vdfs, esx-base, native-misc-drivers, esx-xserver, crx, esx-dvfilter-generic-fastpath, cpu-microcode, vsan, gc, esx-ui, vsanhealth, а также в loadesx и esx-update.
7.0U1b
- Use-after-free уязвимость в контроллере XHCI USB. Злоумышленник с локальными правами администратора может ее использовать для запуска на исполнение кода на виртуальной машине, как запущенный на хосте VMX-процесс.
- Уязвимость поднятия в привилегиях путем определенных системных запросов. Злоумышленник с привилегиями только на VMX-процессы может повысить свои привилегии в используемой системе.
Исправлены такие VIB: vdfs, esx-base, native-misc-drivers, esx-xserver, crx, esx-dvfilter-generic-fastpath, cpu-microcode, vsan, gc, esx-ui, vsanhealth, а также loadesx и esx-update.