Resolvendo OpenSSL Heartbleed para ESXi 5.5 - CVE-2014-0160
search cancel

Resolvendo OpenSSL Heartbleed para ESXi 5.5 - CVE-2014-0160

book

Article ID: 340231

calendar_today

Updated On:

Products

VMware vCenter Server VMware vSphere ESXi

Issue/Introduction

Symptoms:

Disclaimer: Este artigo é uma tradução do Resolving OpenSSL Heartbleed for ESXi 5.5 - CVE-2014-0160 (2076665). Como os artigos são traduzidos em uma base de melhor esforço, o conteúdo pode tornar-se desatualizado. Para obter o conteúdo mais recente, consulte o artigo em Inglês.

Os hosts ESXi 5.5 e ESXi 5.5 Atualização 1 exigem uma atualização para resolver a vulnerabilidade OpenSSL Heartbleed encontrada na biblioteca OpenSSL 1.0.1.

Aplique esta correção imediatamente para atualizar a biblioteca OpenSSL e corrigir a vulnerabilidade crítica de segurança relatada no CVE-2014 0160. Detalhes sobre essa vulnerabilidade podem ser encontrados em VMware Security AdvisoryVMSA-2014-0004.

Para obter detalhes sobre o impacto da vulnerabilidade OpenSSL Heartbleed sobre produtos e portais da VMware, consulte:

Observação:é recomendável que você execute o Remediation para vCenter Server 5.5 antes de realizar as etapas recomendadas para remediar o ESXi na seção a seguir. Consulte Resolving OpenSSL Heartbleed for vCenter Server 5.5 (2076692).


Environment

VMware vCenter Server 5.5.x
VMware vSphere ESXi 5.5

Resolution

Duas correções do ESXi 5.5 foram liberadas para atualizar a biblioteca OpenSSL para a versão 1.0.1g. Essas atualizações não afetam o arquivo openssl.exe:

  • VMware ESXi 5.5, Patch Release ESXi550-201404001
    Aplique essa correção em hosts ESXi 5.5 para resolver todos os problemas corrigidos no ESXi 5.5 Atualização 1 e, adicionalmente, o problema OpenSSL Heartbleed.

    O boletim de correção ESXi550-201404401-SG contém a correção para o OpenSSL Heartbleed e algumas outras correções.
    SOMENTE hosts ESXi 5.5 Atualização 1 devem ser corrigidos com essa correção.
    Para obter mais informações sobre essa versão de correção, consulte KB 2076120.

  • VMware ESXi 5.5, Patch Release ESXi550-201404020
    Não aplique essa correção em hosts ESXi 5.5 Atualização 1. Aplique a correção somente nos seguintes hosts ESXi:
    • Hosts ESXi 5.5.0
    • Hosts ESXi 5.5.0 corrigidos com o boletim ESXi550-201312101-SG
    • Hosts ESXi 5.5.0 corrigidos com o boletim ESXi550-201312401-BG
    • Hosts ESXi 5.5.0 corrigidos com o boletim ESXi550-201403101-SG
    • Hosts ESXi 5.5.0 corrigidos com o perfil de imagem ESXi-5.5.0-20131201001s-standard
    • Hosts ESXi 5.5.0 corrigidos com o perfil de imagem ESXi-5.5.0-20131201001s-no-tools
    • Hosts ESXi 5.5.0 corrigidos com o perfil de imagem ESXi-5.5.0-20131204001-standard
    • Hosts ESXi 5.5.0 corrigidos com o perfil de imagem ESXi-5.5.0-20131204001-no-tools
    • Hosts ESXi 5.5.0 corrigidos com o perfil de imagem ESXi-5.5.0-20140301001s-standard
    • Hosts ESXi 5.5.0 corrigidos com o perfil de imagem ESXi-5.5.0-20140301001s-no-tools

Observação: depois de corrigir os hosts ESXi 5.5 com VMware ESXi 5.5, Patch Release ESXi550-201404020, não atualize os hosts para o ESXi 5.5 Atualização 1, pois os hosts estarão novamente vulneráveis ao problema OpenSSL Heartbleed.
Depois de aplicar VMware ESXi 5.5, Patch Release ESXi550-201404020 nos hosts ESXi 5.5, corrija somente os sistemas com VMware ESXi 5.5, Patch Release ESXi550-201404001 para atualizar os hosts com todas as correções de bugs fornecidas com o ESXi 5.5 Atualização 1 Se você atualizar para o ESXi 5.5 Atualização 1 depois de aplicar essas correções, precisará aplicar ESXi550-201404401-SG antes de gerar novamente os certificados.

Para obter mais informações sobre esta versão de atualização, consulte KB 2076586.
Cuidado: quando você executar o host ESXi 5.5 com armazenamento NFS, aplique a correção ESXi550-201404020. Se você aplicar a correção ESXi550-201404001, poderá enfrentar os problemas mencionados em Frequent NFS APDs after upgrading ESXi to 5.5 U1 (KB 2076392).

Instruções de instalação:

A forma típica de aplicar correções a hosts ESXi é por meio do VMware Update Manager. Para obter mais detalhes, consulte Installing and Administering VMware vSphere Update Manager.

Em hosts ESXi 5.5:
Aplique a Versão de correção ESXi550-201404020 e, em seguida, aplique a Versão de correção ESXi550-201404001

Em hosts ESXi 5.5 Atualização 1:
Aplique o Boletim de correção ESXi550-201404401-SG da Versão de correção ESXi550-201404001

Instruções de pós-instalação:

Depois de instalar as correções mencionadas acima adequadamente, realize a revogação ou a substituição de certificado e altere as senhas.

Gerar novo certificado autoassinado
Para gerar novos certificados autoassinados, realize as seguintes etapas:

Observação: se você estiver inicializando os hosts por meio do Auto Deploy, remova os diretórios de certificado existentes em C:\ProgramData\VMware\VMware vSphere Auto Deploy\ssl. Você encontra vários diretórios host-xx que contêm o arquivo hostname, o certificado e a chave dos hosts ESXi. Remova os diretórios e reinicie os hosts ESXi em relação ao Perfil de imagem atualizado para gerar novos certificados para os hosts.
  1. Faça login no ESXi Shell como um usuário com privilégios de administrador.
  2. Execute os comandos cd /etc/vmware/ssl e ls -l
  3. No diretório /etc/vmware/ssl, faça backup de todos os certificados e chaves existentes em um diretório de armazenamento persistente (em /vmfs/....).
    Por exemplo:

    mv rui.crt /vmfs/volumes/datastore1/orig.rui.crt
    mv rui.key /vmfs/volumes/datastore1/orig.rui.key

  4. Execute o comando /sbin/generate-certificates para gerar novos certificados.

    Observação:: talvez você encontre a seguinte mensagem de erro:

    WARNING: can't open config file: /usr/ssl/openssl.cnf

    ou

    WARNING: can't open config file: /etc/pki/tls/openssl.cnf


    Você pode ignorar essa mensagem, pois os novos certificados foram gerados com êxito.
  5. Para verificar se o host gerou novos certificados com êxito, execute o comando ls -la e compare os carimbo de data/hora dos novos arquivos de certificado com orig.rui.crt e orig.rui.key
  6. Para definir novamente o sticky bit, execute os comandos chmod +t rui.crt e chmod +t rui.key.
  7. Reinicie o host.
    Gerar os certificados os coloca no local correto. Como alternativa, você pode colocar o host em modo de manutenção, instalar o novo certificado e usar a Direct Console User Interface (DCUI) para reiniciar os agentes de gerenciamento.

    Observação: você precisará se reconectar ao vCenter Server depois de reiniciar o Host. Quando você clica com o botão direito do mouse e seleciona Connect, a seguinte mensagem de aviso pode ser exibida:

    Authenticity of the hosts's SSL certificate is not verified.

    Fechar esta mensagem e insira novamente as credenciais de raiz no Host Connection wizard para reconectar-se com êxito ao vCenter Server.

Você pode também configurar os certificados assinados pela AC para os hosts ESXi 5.5. Para obter mais detalhes, consulte Configuring CA signed certificates for ESXi 5.x hosts (2015499).

Alterar a senha do usuário root do host ESXi
Para alterar o a senha de usuário root do host ESXi, realize as seguintes etapas:
  1. Faça login no console de serviço do host ESXi como root por meio de SSH ou do console físico.
    Insira a senha de root atual quando solicitado.
  2. Altere a senha de root executando o seguinte comando:
    passwd root
  3. Insira a nova senha de root e pressione Enter. Insira a senha mais uma vez para confirmar. O ESXi avisa quanto a senhas não seguras, mas não lhe impede de usá-las.

Observação: se o problema persistir após a conclusão das etapas neste artigo, registre uma solicitação de suporte junto ao Suporte técnico da VMware e anote esta ID de artigo (2076665) da Base de dados de conhecimento na descrição do problema. Para obter mais informações, consulte Filing a Support Request in My VMware (2006985).


Additional Information

Resolving OpenSSL Heartbleed for ESXi 5.5 - CVE-2014-0160

Powered by Wolken Software