1. 升级缘由

无论是什么软件系统,都可能存在安全漏洞等潜在的危险,都必须定期去做安全评估和升级,VMWARE的虚拟化系统同样不例外。2021年5月26日,国家信息安全漏洞共享平台(CNVD)收录了VMware vCenter Server远程代码执行漏洞(CNVD-2021-37150,对应CVE-2021-21985)。攻&击者利用该漏洞,可在未授权的情况下远程执行代码。本文就VMware vCenter6.7 (VCSA6.7) 的安全补丁升级,向各位分享。

参考链接:https://www.cnvd.org.cn/webinfo/show/6461

2. 升级装备工作

  • 做好VCenter虚拟机(一般都是VCSA)的备份,可以用快照、克隆或第三方备份软件来完成。
  • 注册vmware账户并下载VMware vCenter6.7补丁文件。文件名: VMware-vCenter-Server-Appliance-6.7.0.52000-19300125-patch-FP.ISO
  • VMWARE官网下载地址: https://customerconnect.vmware.com/zh/patch#search


3. VCSA升级操作

3.1 上传补丁文件

登录到VCSA实在的物理机的ESXI界面下,上传的下载的iso补丁文件VMware-vCenter-Server-Appliance-6.7.0.52000-19300125-patch-FP.ISO 直接登录VC的管理页面有时会上传文件失败。 如下图:

VMWare维护实践:升级VCSA6.7到最新版本_安全补丁升级

3.2 升级VCSA

登录vCenter的VCSA虚拟机的 https://IP:5480 页面.特别注意此处必须用root账号登录,不能用域名格式:administrator@xxx.cn 的账号登录,否则后面升级提示“无法转储”的错误提示! root是具备最高权限的管理员。

VMWare维护实践:升级VCSA6.7到最新版本_VCSA6.7的安全补丁升级_02

记录升级前的原始版本信息

VMWare维护实践:升级VCSA6.7到最新版本_安全补丁升级_03

编辑VMware vCenter VCSA虚拟机并将ISO挂载到虚拟机光驱,

VMWare维护实践:升级VCSA6.7到最新版本_安全补丁升级_04

VMWare维护实践:升级VCSA6.7到最新版本_安全补丁升级_05

点击“更新”,查看已挂载的更新文件,这个时间可能比较长,原因是右上角的“检查更新”内会连到互联网和CD-ROM两个通道去检测,需要耐心等待一会,出现下面的界面后点击“转储并安装”,如下图所示;需要说明的是,如果版本跨度很大直接升级到最新的版本可能会失败,可以选择中间版本经过多次升级到最新版本。

VMWare维护实践:升级VCSA6.7到最新版本_上传_06


下面就是按照屏幕提示进行选择即可,不建议参加用户改进。

VMWare维护实践:升级VCSA6.7到最新版本_上传_07

VMWare维护实践:升级VCSA6.7到最新版本_安全补丁升级_08

下面这步直接选择已经备份,因为前面已经做过快照全备份。

VMWare维护实践:升级VCSA6.7到最新版本_上传_09

开始进入安装升级,需要耐心等待一段时间。在多台机器上做过升级,转储的过程有时很快有时很慢。

VMWare维护实践:升级VCSA6.7到最新版本_安全漏洞_10

下面是安装过程时间都基本差不多。

VMWare维护实践:升级VCSA6.7到最新版本_上传_11

需要等待一会提示安装完成,重新登录出现下面的成功画面

VMWare维护实践:升级VCSA6.7到最新版本_安全补丁升级_12

关闭上面窗口后,正常登录近管理页面,看到还需要继续升级才能到最新版本。【备注:有些场景下能一次性升级到最新的版本,有些场景下会报错,选择几个过渡版本一般都能完成升级。本次就跑碰到要升级三次才最终完成全部升级过程!】

VMWare维护实践:升级VCSA6.7到最新版本_VCSA6.7的安全补丁升级_13

经过三次升级,终于完成大跨度版本的VCSA升级,登录进管理页面验证,至此全部的升级工作全部完成。如下图:

VMWare维护实践:升级VCSA6.7到最新版本_上传_14