VMware 安全修补指南(适用于 ESXi 和 ESX)
search cancel

VMware 安全修补指南(适用于 ESXi 和 ESX)

book

Article ID: 341053

calendar_today

Updated On:

Products

VMware vSphere ESXi

Issue/Introduction

Symptoms:

免责声明: 本文为 VMware Security Patching Guidelines for ESXi and ESX (2020972) 的翻译版本。 尽管我们会不断努力为本文提供最佳翻译版本,但本地化的内容可能会过时。 有关最新内容,请参见英文版本。


VMware 已提供多个修补程序和更新版本,用以解决包括 ESX、ESXi、Workstation 和 Player 在内的多款产品的严重安全问题。 作为最佳做法,VMware 建议客户安装所有安全修补程序以便将 VMware 所提供的保护最大化。

本文列出了自 2013 年 7 月 12 日起 VMware ESXi 和 VMware ESX 所有可用的最新安全修补程序。 更新到这些修补程序将让您获得最大程度的保护。 该列表不包括已由最新修补程序弃用的修补程序。

本文不提供有关 VMware Workstation 或 VMware Player 的信息。 有关保护这些产品的安全以及有关建议的 ESXi 和 ESX 更新版本级别的信息,请参见知识库文章 2019941

Environment

VMware ESXi 4.1.x Installable
VMware ESX 4.1.x
VMware vSphere ESXi 5.5
VMware ESXi 3.5.x Installable
VMware ESXi 4.0.x Embedded
VMware vSphere ESXi 5.0
VMware ESX Server 3.5.x
VMware ESXi 4.0.x Installable
VMware ESXi 4.1.x Embedded
VMware ESXi 3.5.x Embedded
VMware ESX 4.0.x
VMware vSphere ESXi 5.1
VMware vSphere ESXi 6.0

Resolution

安全修补程序表
 

产品 版本 修补程序
ESXi 6.0
5.5
5.1
5.0
4.1 ESXi410-201404401-SG
ESXi410-201312401-SG
ESXi410-201307401-SG
ESXi410-201304401-SG
ESXi410-201301401-SG
ESXi410-201211401-SG
ESXi410-201208101-SG
ESXi410-201208102-SG
ESXi410-201206401-SG
ESXi410-201205401-SG
4.0 ESXi400-201404401-SG
ESXi400-201404402-SG
ESXi400-201310401-SG
ESXi400-201305401-SG
ESXi400-201302401-SG
ESXi400-201302402-SG
ESXi400-201302403-SG
ESXi400-201209401-SG
ESXi400-201206401-SG
ESXi400-201205401-SG
ESXi400-201103402-SG
3.5
必备条件:

June 2011 3.5 U5 roll-up

后续安全修补程序:

ESXe350-201302401-O-SG
VI Client
VMware Tools
固件

ESXe350-201206401-O-SG
VI Client
VMware Tools
固件
ESXe350-201205401-O-SG
VI Client
VMware Tools
固件

ESXe350-201105401-O-SG
VI Client
VMware Tools
固件
ESX 4.1 ESX410-201410401-SG
ESX410-201404401-SG
ESX410-201404402-SG
ESX410-201312401-SG
ESX410-201312403-SG
ESX410-201307401-SG
ESX410-201307402-SG
ESX410-201307403-SG
ESX410-201307404-SG
ESX410-201307405-SG
ESX410-201304401-SG
ESX410-201304402-SG
ESX410-201301401-SG
ESX410-201301402-SG
ESX410-201301403-SG
ESX410-201301405-SG
ESX410-201211401-SG
ESX410-201211402-SG
ESX410-201211405-SG
ESX410-201211407-SG
ESX410-201208101-SG
ESX410-201208102-SG
ESX410-201208103-SG
ESX410-201208104-SG
ESX410-201208105-SG
ESX410-201208106-SG
ESX410-201208107-SG
ESX410-201206401-SG
ESX410-201205401-SG
ESX410-201204402-SG
ESX410-201201407-SG
ESX410-201201406-SG
ESX410-201201405-SG
ESX410-201201404-SG
ESX410-201201402-SG
ESX410-201110225-SG
ESX410-201110224-SG
ESX410-201110207-SG
ESX410-201110206-SG
ESX410-201110204-SG
ESX410-201110201-SG
ESX410-201107406-SG
ESX410-201107405-SG
ESX410-201104407-SG
ESX410-201104404-SG
ESX410-201104403-SG
ESX410-201010413-SG
ESX410-201010412-SG
ESX410-201010409-SG
ESX410-201010404-SG
ESX410-201010402-SG
4.0 ESX400-201410401-SG
ESX400-201404401-SG
ESX400-201404402-SG
ESX400-201310401-SG
ESX400-201310402-SG
ESX400-201305401-SG
ESX400-201305402-SG
ESX400-201305403-SG
ESX400-201305404-SG
ESX400-201302401-SG
ESX400-201209401-SG
ESX400-201209402-SG
ESX400-201209404-SG
ESX400-201206401-SG
ESX400-201205401-SG
ESX400-201203407-SG
ESX400-201203406-SG
ESX400-201203405-SG
ESX400-201203404-SG
ESX400-201203403-SG
ESX400-201203402-SG
ESX400-201203401-SG
ESX400-201110410-SG
ESX400-201110409-SG
ESX400-201110408-SG
ESX400-201110406-SG
ESX400-201103407-SG
ESX400-201103405-SG
ESX400-201103404-SG
ESX400-201101404-SG
ESX400-201101402-SG
ESX400-201009411-SG
ESX400-201009407-SG
ESX400-201009406-SG
ESX400-201009402-SG
ESX400-201005407-SG
ESX400-201005405-SG
ESX400-201005404-SG
ESX400-201003403-SG
ESX400-201002407-SG
ESX400-201002406-SG
ESX400-201002404-SG
ESX400-200912404-SG
ESX400-200911239-SG
ESX400-200911234-SG
ESX400-200906411-SG
3.5 必备条件:

June 2011 3.5 U5 roll-up

后续安全修补程序:

ESX350-201302401-SG
ESX350-201206401-SG
ESX350-201205401-SG
ESX350-201203405-SG
ESX350-201203403-SG
ESX350-201203401-SG
ESX350-201105406-SG
ESX350-201105404-SG
ESX350-201105401-SG
ESX350-201012409-SG
ESX350-201012408-SG
ESX350-201012401-SG
ESX350-201008412-SG
ESX350-201008411-SG
ESX350-201008407-SG
ESX350-201008406-SG
ESX350-201008405-SG
ESX350-201006407-SG
ESX350-201006406-SG
ESX350-201006405-SG
ESX350-201006401-SG

 

注意: 修补程序以 RPM 或 VIB 形式交付,具体视 ESX/ESXi 版本而定。 VMware 打包策略指示修补程序 RPM 或 VIB 的内容在整个产品支持生命周期内累积处理。 例如,如果应用的公告中包含适用于 ESXi 5.0 的最高版本的 ESX-base VIB,则无需应用较低版本的 ESX-base VIB。 所有 VMware 修补工具都能够解析软件包版本的格式,并根据查询基准确定要安装的最新软件包。

查找和下载安全修补程序

可以通过 Download Patch Portal 或 vSphere Update Manager 查找并下载修补程序。

  • Download Patch Portal。 转至 Download Patch Portal。 使用“按产品搜索”区域选择产品和版本。 按照安全筛选搜索类别。 搜索结果应仅列出扩展名为 –SG 的公告。 搜索结果按最新到最早的时间顺序列出。

    使用下载链接下载要安装的修补程序。 如果只需要使用在特定 ESXi 或 ESX Update 版本之后发布的安全修补程序,请只下载发行日期晚于主机上所运行的 Update 版本的修补程序。 下载安全修补程序后,按照已筛选搜索的“公告列表”列显示的知识库文章中的安装说明操作。

  • vSphere Update Manager。 转至 vSphere Client 的 Update Manager 区域。 Update Manager 下载所有修补程序元数据,并在用户界面的“修补程序存储库”区域显示修补程序,您可以通过公告名称末尾的扩展名 –SG 来识别安全修补程序。 视 Update Manager 版本而定,您还可以按如下所述查找安全修补程序。

    • Update Manager 5.0。 在修补程序存储库表的类别列中查找。

    • Update Manager 4.x 及更早版本。 在修补程序存储库表的严重程度列中查找。

使用 Update Manager 安装 ESXi 和 ESX 修补程序

可以通过 Update Manager 主机修复应用安全修补程序。 要在 Update Manager 中修复主机,可创建一个固定基准,用以定义要用于修复的修补程序,或者创建一个动态基准,用以定义要用于修复的修补程序的类别。 然后,按照该基准修复主机。

有关用法信息,请阅读针对修补程序公告的知识库文章的“修补程序下载和安装”部分。

使用命令行安装 ESXi 和 ESX 修补程序

可以使用命令行界面安装 ESXi 和 ESX 安全修补程序。 所用的方法和命令取决于产品版本以及使用 ESXi 主机还是 ESX 主机。

使用命令行在 ESXi 5.0 主机上安装修补程序

使用 esxcli 命令安装完整映像配置文件(包括安全修补程序)或者安装包含所需的特定修补程序的单独 VIB。

  • 要安装完整的映像配置文件,请执行以下 esxcli 命令。

    esxcli software profile update -d <depot bundle file offline or url zip> -p <profile_name>

    示例:
    esxcli software profile update -d /vmfs/volumes/datastore/ESXi500-201205001.zip -p ESXi-5.0.0-20120504001-standard

    注意每个配置文件对于修补程序包都是唯一的,请参阅每个包的修补程序版本 KB,获取要应用的可用配置文件列表。

  • 要安装包含特定安全修补程序的单独 VIB,请执行以下 esxcli 命令。

    esxcli software vib update -v <viburl>

    示例:
    esxcli software vib update -v http://release/bundle/vib20/tools-light/VMware_locker_tools-light_5.0.0-1.12.653509.vib

有关使用 esxcli 命令的信息,请展开 vSphere Command-Line Interface Documentation 以查看有关 vSphere 命令行界面的讨论、概念和参考资料。 有关用法信息,请阅读针对公告的知识库文章的“修补程序下载和安装”部分。

使用命令行在 ESX 4.x / ESXi 4.x 主机上安装修补程序

使用 esxupdate 或 vihostupdate 安装所需修补程序。 具体选择视使用 ESX 主机还是 ESXi 主机而定。

  • 可以使用 esxupdate 通过执行以下命令在 ESX 4.x 主机上安装修补程序。

    esxupdate -m <metadata.zip> -b <bulletin id> update

    示例,单个修补程序:
    esxupdate -m http://10.112.69.40/metadata.zip -b ESX410-201205401-SG update

    示例,多个修补程序:
    esxupdate -m http://10.112.69.40/metadata.zip -b ESX410-201205401-SG -b ESX410-201204402-SG update

    有关使用 esxupdate 的信息,请参见 ESX 4.1 Patch Management GuideESX 4 Patch Management Guide

  • 可以使用 vihostupdate 在 ESXi 4.x 主机或 ESX 4.x 主机上安装修补程序,方法是通过 vSphere CLI 提示执行以下命令。

    vihostupdate --server <server ip> --install -b <bundle zip> -B <bulletin id>

    示例:
    vihostupdate --server 10.112.69.40 --install -b https://hostupdate.vmware.com/software/VUM/OFFLINE/release-332-20120419-828226/ESX410-201204001.zip -B ESX410-201204402-SG

    vihostupdate --server 10.112.69.40 --install -b C:\Temp\ESX410-201204001.zip -B ESX410-201204402-SG

    有关在 ESX/ESXi 4.1 主机和 ESX/ESXi 4.0 主机上使用 vihostupdate 的信息,请参见 vSphere Command-Line Interface Installation and Scripting Guide

有关用法信息,请阅读针对公告的知识库文章的“修补程序下载和安装”部分。

使用命令行在 ESX 3.5 / ESXi 3.5 主机上安装修补程序

使用 esxupdate 或 vihostupdate 安装所需修补程序。 具体选择视使用 ESX 主机还是 ESXi 主机而定。

  • 使用 esxupdate 通过执行以下命令在 ESX 3.5 主机上安装修补程序。

    esxupdate -r <url bundle location of the> update

    示例:
    esxupdate -r http://ESXi-3.5.0-expresspatch02/ update

    有关使用 esxupdate 的信息,请参见 ESX Server 3 Patch Management Guide

  • 使用 vihostupdate 通过 vSphere CLI 提示执行以下命令在 ESXi 3.5 主机上安装修补程序。

    vihostupdate --server <server ip> --install -b <bundle zip>

    有关在 ESXi 3.5 主机上使用 vihostupdate 的信息,请参见 ESX Server 3i Configuration Guide

有关用法信息,请阅读针对公告的知识库文章的“修补程序下载和安装”部分。

 

Additional Information