本文详细介绍了如何修复VMware vCenter的CVE-2021-22005漏洞,涉及6.5、6.7和7.0版本的升级步骤。通过WEB页面和SSH命令行两种方式,提供离线和在线升级方法,并强调升级前需备份。
一、概述
写这篇文章是因为VMware 7.0U2A之前版本有个bug,用户可根据漏洞(CVE-2021-22005)进行提权443端口,直接访问vCenter 443管理界面。然后想着将VMware 7.0U2A升级至最新版VMware 7.0U3C。具体的漏洞复现可根据KB去查找。
二、升级前奏
1、登录VMware官网下载最新的补丁包:(需要注册VMware会员)
下载地址:https://my.vmware.com/cn/group/vmware/patch#search
请根据当前vCenter实际版本选择,注意,该补丁不适合跨大版本,如6.5-6.7,6.7-7.0。但是支持如6.7U1-6.7U3,7.0.0-7.0.3。下载版本名称带有Patch,除非指定版本,否则选择发行日期最新的那个。
二、升级方法
1)使用WEB页面升级,进入5480界面。
2)使用SSH命令行升级。
三、升级步骤
0)直接使用覆盖安装方式升级
直接使用新版本vcsa覆盖安装,如下图打开安装文件
选择升级
会出现如下如报错,这里我们发现跨小版本是无法通过安装包方式直接更新升级。
以下通过vCenter 6.5和6.7,以及7.0版本的补丁升级,来介绍以上两种升级补丁的步骤:
1)vCenter 6.5 升级补丁:(以方法一:WEB升级方式为例)
升级支持离线升级和在线升级,在线升级依赖网络,本文档介绍离线小版本升级,以vcsa6.5u2升级到vcsa6.5u3为例。该方式不适合从vcsa6.5升级到vcsa6.7。
1、登录https://vcip:5480,账户root,密码为安装时的密码,登陆后查看当前版本,如下图,当前版本为6.5.0.20000。(注意升级前记得给该虚拟机打快照……万一遇到问题还能回退!)
2、编辑虚拟机,将下载好的iso文件挂载到vcsa虚拟机光驱;
3、导航到左侧,更新,检查CDROM;
4、检查后提示有可用更新;
5、安装CDROM更新;
6、按照提示耐心等待安装更新。
7、版本已经升级到6.5.0.30000。按照提示重新引导即刻升级成功。
2)vCenter 6.7 升级补丁(以方法一:WEB升级方式为例)
1、将下载好的补丁iso文件挂载到vcsa虚拟机光驱
之后登录:https://vcip:5480,账户root,密码为安装时的密码。
2、左侧,更新,会自动加载挂载的ISO补丁文件,需要点时间,耐心等待。
3、更新和修补程序是累积的。选择最新的那个补丁包。转储并安装。
4、按照提示下一页,勾选我已备份(记得一定要提前备份或者给虚拟机做快照)
5、正在进行安装
6、安装成功
7、查看版本,升级成功,没有提示重启。
3)VCSA 7.0升级,也可以参考以上6.5和6.7的WEB升级方式。
PS:本次以SSH升级方式为例来升级VCSA 7.0
将补丁挂载到dvd驱动器之后,除了使用WEB浏览器登录5480端口后台升级,也可以使用root登录shell进行升级:
software-packages stage --iso #转储 ISO
software-packages list --staged #查看已转储的内容
software-packages install --staged #安装已转储的 RPM
如下,当前版本7.0.2,转存ISO
安装补丁
四、总结
升级完之后我们验证成功,升级之前切记备份,防止出现意外情况。
扫一扫
5385
到【灌水乐园】发言
