VMware vCenter 6.5/6.7/7.0升级攻略

一、概述

写这篇文章是因为VMware 7.0U2A之前版本有个bug,用户可根据LD(CVE-2021-22005)进行提权443端口,直接访问vCenter 443管理界面。然后想着将VMware 7.0U2A升级至最新版VMware 7.0U3C。具体的LD复现可根据KB去查找。

一、正文

此文档罗列出部分目录,正文部分尚未全部显示

目 录

1 原因和目的 4

1.1 变更原因和目的 4

1.1.1 变更原因 4

1.1.2 变更目的 4

1.2 变更影响 4

2 实施步骤和计划 4

2.1.1 vCenter现有环境 5

2.2 变更前备份 5

2.2.1 Vinchin备份 5

2.2.1 快照备份 5

2.3 实施计划、人员分工 7

2.4 实施步骤 7

2.4.1 vCenter配置备份 7

2.4.2 vCenter升级 8

3 实施后验证计划 12

3.1 验证步骤 13

4 应急、回退措施 13

4.1 操作前备份已有配置 13

4.2 vCenter版本回退 13

5 风险分析和规避措施 14

6 总结 14

三、升级前奏

1、登录VMware官网下载最新的补丁包:(需要注册VMware会员)

下载地址:

https://my.vmware.com/cn/group/vmware/patch#search

 

请根据当前vCenter实际版本选择,注意,该补丁不适合跨大版本,如6.5-6.7,6.7-7.0。但是支持如6.7U1-6.7U3,7.0.0-7.0.3。下载版本名称带有Patch,除非指定版本,否则选择发行日期最新的那个。

四、原因和目的

变更原因和目的

变更原因

2021年9月21日,VMware发布安全公告,公开披露了vCenter Server中的19个安全LOUDONG,

最为严重的LOUDONG为vCenter Server 中的任意文件上传LOUDONG(CVE-2021-22005),该LOUDONG存在于vCenter Server的分析服务中,其CVSSv3评分为 9.8。能够网络访问vCenter Server 上的 443 端口的gongji者可以通过上传eyi文件在 vCenter Server 上线远程执行代码。该LOUDONG无需经过身份验证即可远程利用,gongji复杂度低,且无需与用户交互。LOUDONG链接:Workaround Instructions for CVE-2021-22005 (85717) (vmware.com)

建议将现有VMware vCenter 7.0u2a版本升级至VMware vCenter 7.0U3C以解决相关问题。

变更目的

升级Mware vCenter至最新版本解决eyi上传执行代码获取vCenter443权限LOUDONG。

变更影响

此次变更升级时业务会中断,不影响用户数据.

实施步骤和计划

vCenter现有环境

 

设备节点

设备IP

产品

软件版本号

单节点

xxx.xxx.xxx.xxx

VMware vCenter

7.0U2A 17920168

 
 
 

vCenter升级

 

序号

任务

任务详细描述

vCenter升级

1

下载并上传软件包

从VMware官网下载
VMware-vCenter-Server-Appliance-7.0.3.00300-19234570-patch-FP:

通过ESXI或者vCenter上传至存储卷

2

升级方法一

PS:本次以SSH升级方式为例来升级VCSA 7.0

将补丁挂载到dvd驱动器之后,除了使用WEB浏览器登录5480端口后台升级,也可以使用root登录shell进行升级:

software-packages stage --iso     #转储 ISO
software-packages list --staged   #查看已转储的内容
software-packages install --staged  #安装已转储的 RPM

1、ssh 登录Vmware vCenter 设备;

 

2、运行命令

software-packages stage –iso

3、按照提示一直回车,注意最后输入yes

 

4、安装补丁,software-packages install --staged

 

5、成功升级到7.0U3C

 

6、查看当前版本

 

3

升级方法二

0)直接使用覆盖安装方式升级

直接使用新版本vcsa覆盖安装,如下图打开安装文件

 

选择升级

 

会出现如下如报错,这里我们发现跨小版本是无法通过安装包方式直接更新升级。

 

以下通过vCenter 6.5和6.7,以及7.0版本的补丁升级,来介绍以上两种升级补丁的步骤:

1)vCenter 6.5 升级补丁:(以方法一:WEB升级方式为例)

升级支持离线升级和在线升级,在线升级依赖网络,本文档介绍离线小版本升级,以vcsa6.5u2升级到vcsa6.5u3为例。该方式不适合从vcsa6.5升级到vcsa6.7。

1、登录https://vcip:5480,账户root,密码为安装时的密码,登陆后查看当前版本,如下图,当前版本为6.5.0.20000。(注意升级前记得给该虚拟机打快照……万一遇到问题还能回退!)

 

2、编辑虚拟机,将下载好的iso文件挂载到vcsa虚拟机光驱;

 

3、导航到左侧,更新,检查CDROM;

 

4、检查后提示有可用更新;

 

5、安装CDROM更新;

 

6、按照提示耐心等待安装更新。

 

 

7、版本已经升级到6.5.0.30000。按照提示重新引导即刻升级成功。

 

2)vCenter 6.7 升级补丁(以方法一:WEB升级方式为例)

1、将下载好的补丁iso文件挂载到vcsa虚拟机光驱

 

之后登录:https://vcip:5480,账户root,密码为安装时的密码。

 

2、左侧,更新,会自动加载挂载的ISO补丁文件,需要点时间,耐心等待。

 

3、更新和修补程序是累积的。选择最新的那个补丁包。转储并安装。

 

4、按照提示下一页,勾选我已备份(记得一定要提前备份或者给虚拟机做快照)

 

5、正在进行安装

 

6、安装成功

 

7、查看版本,升级成功,没有提示重启。

 

5

检查应用

检查应用是否访问正常

 
 
 

实施后验证计划

  1. 验证任务
 

序号

任务

任务详细描述

责任人

成功标准

1

vCenter验证

验证vCenter配置是否正常

 

通过vCenter管理的平台以及对接ddc电源正常

 
 
 

验证步骤

 

序号

任务

任务详细描述

VCenter验证

1

Version验证

  1. 网页登录5480端口,查看版本

 

2

 

 

 
 
 

应急、回退措施

操作前备份已有配置

vCenter版本回退

 

序号

任务

任务详细描述

VCenter版本回退

1

版本回退

  1. 通过快照还原;
  1. 通过备份还原恢复;
  1. 设备重启,版本和升级时一样,检查是否正常管理集群和ddc。
 
 
 

风险分析和规避措施

变更风险小,不影响云桌面业务连续性,不影响用户业务数据的安全。如遇紧急情况将会在第一时间通过备份或者快照恢复。

总结

此方案主要用于修复VCenter LOUDONG,

官方指出修复措施:
https://www.vmware.com/security/advisories/VMSA-2021-0025.html

https://kb.vmware.com/s/article/86292

posted @ 2022-03-07 10:43  Hum0ro_C  阅读(6661)  评论(0编辑  收藏  举报