1. Ana Sayfa
  2. Sanallaştırma
  3. VMSA-2021-0004 VMware vRealize Operations Güvenlik Açığı ve vROps 8.0 to 8.3 Upgrade

VMSA-2021-0004 VMware vRealize Operations Güvenlik Açığı ve vROps 8.0 to 8.3 Upgrade

security
JFORCE - Dell Technologies İşbirliği Başlıyor!

Merhaba,VMware (vROps) uygulamasını etkileyen yeni güvenlik açıklarını duyurdu. CVSSv3 skorları 8.6 ve 7.2 gibi yüksek skorlarda olduğundan alınması gereken önlemleri ve bu zafiyetleri önlemek için kullandığınız vROps versiyon’u son sürümüne güncellenmesi gerekmektedir. Örnek olması için vROps v.8.0 uygulamasını son çıkan v.8.3 sürümüne güncelleme adımlarını anlatacağım.

Zafiyetlerin ilki vROps api’sini server tarafın’a istek sahteciliği yaparak yönetici hesap bilgilerini elde etmeye çalışmaktadır. Diğer zafiyet ise rasgele dosya yazma güvenlik açığını içeriyor. Bu açıkla ilgili VMware güvenlik tavsiye linki için tıklayınız. Her iki zafiyet için vROps uygulamasının response matrixleri aşağıdaki gibidir.

 

Product Version Running On CVE Identifier CVSSv3 Severity Fixed Version Workarounds Additional Documentation
vRealize Operations Manager
8.
Any
CVE-2021-21975, CVE-2021-21983
7.2 – 8.6
Critical
vRealize Operations Manager
8.2.0
Any
CVE-2021-21975, CVE-2021-21983
7.2 – 8.6
Critical
vRealize Operations Manager
8.1.1, 8.1.0
Any
CVE-2021-21975, CVE-2021-21983
7.2 – 8.6
Critical
vRealize Operations Manager
8.0.1, 8.0.0
Any
CVE-2021-21975, CVE-2021-21983
7.2 – 8.6
Critical
vRealize Operations Manager
7.5.0
Any
CVE-2021-21975, CVE-2021-21983
7.2 – 8.6
Critical
vRealize Operations Manager
7.0.0
Any
CVE-2021-21975, CVE-2021-21983
7.2 – 8.6
Critical
No patch planned

 

Product Version Running On CVE Identifier CVSSv3 Severity Fixed Version Workarounds Additional Documentation
VMware Cloud Foundation (vROps)
4.x
Any
CVE-2021-21975, CVE-2021-21983
7.2 – 8.6
Critical
See ‘Response Matrix’ workaround column above
VMware Cloud Foundation (vROps)
3.x
Any
CVE-2021-21975, CVE-2021-21983
7.2 – 8.6
Critical
See ‘Response Matrix’ workaround column above
vRealize Suite Lifecycle Manager (vROps)
8.x
Any
CVE-2021-21975, CVE-2021-21983
7.2 – 8.6
Critical
See ‘Response Matrix’ workaround column above

Çözüm için vROps uygulamanızın sürümünü en son çıkan sürüm paketine yükseltme yapmanız gerekmekte. Bunun için VMware Patch Portal sayfasına login olalım ve  .pak uzantılı dosya paketimizi indirelim.

Resim-1

vrOPs versiyonumu  8.0 dan 8.3 versiyonuna güncellemeden önce uygulamanın çalıştığı sunucunun backup’ını alalım. Ardından yükseltme işlemi öncesi snapshot alıp kuruluma başlayalım.

vRealize Operations Manager Administrator arayüzüne https://FQDN-or-IP-address/admin url adresin’den login olalım.

Resim-2

Software Update’e tıklayalım açılan sayfada install a software update’e tıklayalım.

Resim-3

 

Resim-4

Browse ile indirdiğimiz .pak uzantılı dosyayı seçip upload edelim.

Resim-5

Upload edilen dosya sunucu’da staging işlemi başlatıldı.

Resim-6

Yüklenecek sürümün bilgisi geldi. Next ile devam edelim.

Resim-7

Son kullanıcı lisans sözleşmesini kabul edelim.

Resim-8

Yükseltme ile ilgili bilgi ekranı next ile devam edelim.

Resim-9

Install ile kurulumu başlatalım.

Resim-10

vROps arayüzünde yükleme işlemini gösterir ekran görüntüsü. Yükseltme işlemi yaklaşık 15-20 dk sürebilmekte web arayüz sayfasını yenileyerek durumunu gözlemleyebilirsiniz.

Resim-11

vROps 8.3 versiyonuna güncelleme başarıyla tamamlandı.

Resim-12

Umarım faydalı bir yazı olmuştur.Konuyla ilgili VMware kb’si için tıklayınız.

Bu konuyla ilgili sorularınızı https://forum.mshowto.org linkini kullanarak ulaşacağınız forum sayfamızda sorabilirsiniz.

Referanslar

https://www.mshowto.org

https://www.aykutarar.com/

TAGs:  VMware vROps Security Patch,VMSA2021-004, How to Upgrade vROps 8.0 to 8.3, vRealize Operations Manager,

 

JFORCE - Dell Technologies İşbirliği Başlıyor!
Yorum Yap

Yazar Hakkında

1990 İstanbul doğumluyum.İstanbul Üniversitesi Bilgisayar ve Öğretim Teknolojileri Öğretmenliği mezunuyum.Profesyonel iş hayatıma 2015 yılında Belbim A.Ş. de adım attım halen burada çalışmaktayım. Microsoft Sistem ürünleri ailesi ile başladığım iş hayatıma şuanda Storage ve Sanallaştırma ürünlerinin yönetimiyle sürdürmekteyim.Her gün kendime yeni bilgiler katarak bu sektör de kişisel gelişimimi devam ettiriyorum.Siber güvenlik konusuna ilgi duymaktayım.Yakın zamanda Ahmet Yesevi Üniversitesi Siber Güvenlik Yüksek Lisans'ı bitirdim.

Yorum Yap