VMware / Microsoft 製品はこう使う。

好きなことを好きに描く.

トップ > 環境を作る > VMSA-2017-0006 パッチを適用する - パッチの適用手順

VMSA-2017-0006 パッチを適用する - パッチの適用手順

環境を作る vSphere6.5 vSphere6.0 vSphere5.5 SupportInfomation

こんにちは。

 

VMware製品から2017/03/28 にクリティカルな脆弱性が公開されており、
日本語でも情報が出回っているので、少し記事にしたいと思います。
脆弱性の内容よりもパッチ適用の手順にフォーカスした内容です。

 

今回対象の脆弱性VMware社から既にSecurity Advisory が公開されています。

 

VMware Security Advisories - VMSA-2017-0006】

+ VMware ESXi, Workstation and Fusion updates address critical and moderate security issues
http://www.vmware.com/us/security/advisories/VMSA-2017-0006.html

CVE-2017-4902 ,CVE-2017-4903,CVE-2017-4904,CVE-2017-4905

 

日本語の情報サイトでも一部されていました。

http://www.security-next.com/080075

 

手元にESXi6.5の環境 がありましたので、パッチを適用しておこうと思います。

■手元環境
[root@localhost:~] vmware -v

VMware ESXi 6.5.0 build-5146846

 

■作業

アップデートを行う為のファイルをダウンロードします。
ダウンロード先は下記となりますのでこちらをご使用ください。

https://my.vmware.com/group/vmware/patch#search

ESXiの6.5から検索します。青いダウンロードボタンよりダウンロード可能です。

f:id:japan-vmware:20170403024928p:plain

 

ダウンロード後は、ESXiホストのデータストアにアップロードします。
データストアブラウザなどでアップロードしてください。

vSphere Client であれば対象のホストを選択し、[構成]タブより[ストレージ]を選択します。
 
空きのあるデータストアを選択し、右クリック、[データストアの参照]を選択し、
データストアブラウザ画面のメニューバーから上向きの矢印アイコンをクリックして、
アップロードするファイルの選択画面が出てきますので、ダウンロードしていたファイルを選択してください。アップロード完了後に×ボタンで終了してください。

 

Host Client でもvSphere Web Client でも同様のことができるので、好きなものを使ってデータストアにコピーしてください。

 

■ホストをメンテナンスモードにします。
右クリック、[メンテナンスモードへの切り替え]を選択します。
事前にESXi上で仮想マシンが稼働しないようにしておいてください。

(Host Client の例)

f:id:japan-vmware:20170403030720p:plain

SSH接続して事前確認

SSHではなくDCUI(コンソール)からでも構いませんが、操作性からTeratermなどでSSH接続して作業するほうが楽だと思います。

 

まずはパッチファイルのプロファイルを確認します。

[root@localhost:~] esxcli software sources profile list --depot=/vmfs/volumes/LocalDisk900GB/patch-module/ESXi650-201703002.zip
Name Vendor Acceptance Level
------------------------------- ------------ ----------------
ESXi-6.5.0-20170304101-no-tools VMware, Inc. PartnerSupported
ESXi-6.5.0-20170304101-standard VMware, Inc. PartnerSupported

f:id:japan-vmware:20170403031507p:plain

LocalDisk900GB はデータストア名です。
※現在のプロファイルは"esxcli software profile get"より確認できます。
※no-toolsはvmware-toolsを含まない形式です。 

 

■適用をする
[root@localhost:~] esxcli software profile update -d /vmfs/volumes/LocalDisk900GB/patch-module/ESXi650-201703002.zip -p ESXi-6.5.0-20170304101-standard

 

正常に適用されたら以下の結果が返ってきます。

===

[root@localhost:~] esxcli software profile update -d /vmfs/volumes/LocalDisk900GB/patch-module/ESXi650-201703002.zip -p ESXi-6.5.0-20170304101-standard
Update Result
Message: The update completed successfully, but the system needs to be rebooted for the changes to be effective.
Reboot Required: true
VIBs Installed: VMware_bootbank_esx-base_6.5.0-0.15.5224529, VMware_bootbank_vsan_6.5.0-0.15.5224529, VMware_bootbank_vsanhealth_6.5.0-0.15.5224529
VIBs Removed: VMware_bootbank_esx-base_6.5.0-0.14.5146846, VMware_bootbank_vsan_6.5.0-0.14.5146846, VMware_bootbank_vsanhealth_6.5.0-0.14.5146846
VIBs Skipped: VMW_bootbank_ata-libata-92_3.00.9.2-16vmw.650.0.0.4564106, VMW_bootbank_ata-pata-amd_0.3.10-3vmw.650.0.0.4564106,

(略)

====

一応画像でも載せます。

f:id:japan-vmware:20170403032140p:plain

 

適用後はきちんと再起動をお願いします。
SSH接続のまま、Reboot コマンドで問題ありません。

 

再起動後、Build No が変わっていることを確認できれば完了です。

メンテナンスモードを解除して、利用を開始してください。

 

f:id:japan-vmware:20170403035647p:plain

細かく中身を見ていませんが、ESXi650-201703002 は容量から、差分のパッチのような気がしています。事前にそれまでのフルパッケージのパッチを適用しておくほうが安全です。

※ 

 

今回はこのへんで。