こんにちは。
VMware製品から2017/03/28 にクリティカルな脆弱性が公開されており、
日本語でも情報が出回っているので、少し記事にしたいと思います。
脆弱性の内容よりもパッチ適用の手順にフォーカスした内容です。
今回対象の脆弱性はVMware社から既にSecurity Advisory が公開されています。
【VMware Security Advisories - VMSA-2017-0006】
+ VMware ESXi, Workstation and Fusion updates address critical and moderate security issues
http://www.vmware.com/us/security/advisories/VMSA-2017-0006.html
CVE-2017-4902 ,CVE-2017-4903,CVE-2017-4904,CVE-2017-4905
日本語の情報サイトでも一部されていました。
http://www.security-next.com/080075
手元にESXi6.5の環境 がありましたので、パッチを適用しておこうと思います。
■手元環境
[root@localhost:~] vmware -v
VMware ESXi 6.5.0 build-5146846
■作業
アップデートを行う為のファイルをダウンロードします。
ダウンロード先は下記となりますのでこちらをご使用ください。
https://my.vmware.com/group/vmware/patch#search
ESXiの6.5から検索します。青いダウンロードボタンよりダウンロード可能です。
ダウンロード後は、ESXiホストのデータストアにアップロードします。
データストアブラウザなどでアップロードしてください。
vSphere Client であれば対象のホストを選択し、[構成]タブより[ストレージ]を選択します。
空きのあるデータストアを選択し、右クリック、[データストアの参照]を選択し、
データストアブラウザ画面のメニューバーから上向きの矢印アイコンをクリックして、
アップロードするファイルの選択画面が出てきますので、ダウンロードしていたファイルを選択してください。アップロード完了後に×ボタンで終了してください。
Host Client でもvSphere Web Client でも同様のことができるので、好きなものを使ってデータストアにコピーしてください。
■ホストをメンテナンスモードにします。
右クリック、[メンテナンスモードへの切り替え]を選択します。
事前にESXi上で仮想マシンが稼働しないようにしておいてください。
(Host Client の例)
■SSH接続して事前確認
SSHではなくDCUI(コンソール)からでも構いませんが、操作性からTeratermなどでSSH接続して作業するほうが楽だと思います。
まずはパッチファイルのプロファイルを確認します。
[root@localhost:~] esxcli software sources profile list --depot=/vmfs/volumes/LocalDisk900GB/patch-module/ESXi650-201703002.zip
Name Vendor Acceptance Level
------------------------------- ------------ ----------------
ESXi-6.5.0-20170304101-no-tools VMware, Inc. PartnerSupported
ESXi-6.5.0-20170304101-standard VMware, Inc. PartnerSupported
※LocalDisk900GB はデータストア名です。
※現在のプロファイルは"esxcli software profile get"より確認できます。
※no-toolsはvmware-toolsを含まない形式です。
■適用をする
[root@localhost:~] esxcli software profile update -d /vmfs/volumes/LocalDisk900GB/patch-module/ESXi650-201703002.zip -p ESXi-6.5.0-20170304101-standard
正常に適用されたら以下の結果が返ってきます。
===
[root@localhost:~] esxcli software profile update -d /vmfs/volumes/LocalDisk900GB/patch-module/ESXi650-201703002.zip -p ESXi-6.5.0-20170304101-standard
Update Result
Message: The update completed successfully, but the system needs to be rebooted for the changes to be effective.
Reboot Required: true
VIBs Installed: VMware_bootbank_esx-base_6.5.0-0.15.5224529, VMware_bootbank_vsan_6.5.0-0.15.5224529, VMware_bootbank_vsanhealth_6.5.0-0.15.5224529
VIBs Removed: VMware_bootbank_esx-base_6.5.0-0.14.5146846, VMware_bootbank_vsan_6.5.0-0.14.5146846, VMware_bootbank_vsanhealth_6.5.0-0.14.5146846
VIBs Skipped: VMW_bootbank_ata-libata-92_3.00.9.2-16vmw.650.0.0.4564106, VMW_bootbank_ata-pata-amd_0.3.10-3vmw.650.0.0.4564106,
(略)
====
一応画像でも載せます。
適用後はきちんと再起動をお願いします。
SSH接続のまま、Reboot コマンドで問題ありません。
再起動後、Build No が変わっていることを確認できれば完了です。
メンテナンスモードを解除して、利用を開始してください。
※
細かく中身を見ていませんが、ESXi650-201703002 は容量から、差分のパッチのような気がしています。事前にそれまでのフルパッケージのパッチを適用しておくほうが安全です。
※
今回はこのへんで。