Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Software-update: VMware ESXi 6.5 build 7526125

Virtualisatie heeft in de laatste jaren een prominente plek veroverd. Bekende namen zijn onder andere Xen en VMware. Het complete platform van VMware heet vSphere en bestaat uit verschillende componenten, zoals vCenter Server, waarmee een complete virtuele omgeving kan worden beheerd, en natuurlijk de hypervisor ESXi, waarop virtuele machines hun werk kunnen doen. Enkele dagen geleden is patchrelease ESXi650-201801001, oftewel ESXi versie 6.5 build 7526125, uitgekomen. De lijst met veranderingen geeft aan dat er is gewerkt aan het oplossen van Spectre-problemen:

Summaries and Symptoms

This patch updates the following issue:
  • This ESXi patch provides part of the hypervisor-assisted guest remediation of CVE-2017-5715 for guest operating systems. For important details on this remediation, see VMware Security Advisory VMSA-2018-0004.
Versienummer 6.5 build 7526125
Releasestatus Final
Website VMware
Download https://my.vmware.com/group/vmware/patch
Licentietype Betaald

Reacties (15)

Wijzig sortering
Maar VMSA-2018-0004 is weer ingetrokken, omdat deze teveel problemen opleverde. Zie hier
For ESXi hosts that have not yet applied one of the following patches ESXi650-201801402-BG, ESXi600-201801402-BG, or ESXi550-201801401-BG, VMware recommends not doing so at this time. It is recommended to apply the patches listed in VMSA-2018-0002 instead.

For servers using the Intel Haswell and Broadwell processors (see Table 1 for the specific list of affected VMware vSphere supported Intel Haswell and Broadwell processors) that have applied ESXi650-201801402-BG, ESXi600-201801402-BG, or ESXi550-201801401-BG VMware recommends the following:
Daarbij toevoegend dat zij adviseren de patch niet te installeren wanneer de versies ESXi650-201801402-BG, ESXi600-201801402-BG, of ESXi550-201801401-BG niet geinstalleerd zijn.

Nu heb ik geloof ik ESXi650-201801402 wel geļnstalleerd, maar niet de 'BG' variant volgens mij, dus ik weet ook even niet wat wijsheid is.

[Reactie gewijzigd door CH4OS op 15 januari 2018 20:59]

Hoe kun je eigenlijk een roll-back doen van ESXi650-201801402-BG ?
Met esxcli kun je elke profile of .zip installeren die je zou willen, hiervoor moet SSH-access wel aan staan. Machines die onder vCenter vallen hebben een grafische tool waarmee dit kan (zover ik weet).

Download de gewenste .zip file, upload die naar een datastore, ga vervolgens vanaf commandline naar de map waar de .zip in staat en doe vervolgens:

esxcli software vib install -v <vibfile>

Op de commandline. Een andere optie is om online de profile te downloaden en die te installeren:

https://www.virtuallyghet...thod-of-upgrading-to.html

Mits de machine het internet op kan, uiteraard.

[Reactie gewijzigd door CH4OS op 15 januari 2018 20:51]

Machines die onder vCenter vallen hebben een grafische tool waarmee dit kan (zover ik weet).
Klopt, VUM (VMware Update Manager). Zit standaard in de VCSA (vCenter appliance), moet los geinstalleerd worden op vCenter installaties op Windows. Wordt beheert van uit vCenter.
ik zou gewoon even wachten totdat ze een full release uitbrengen waar alles in gefixed is. zodat je alleen de iso kan draaien en de boel normaal kan updaten zonder hotfixes.

En dan is het ook nog even wachten tot HP, Dell en de andere vendors hun custom images updaten. Ik verwacht wel dat dit snel gebeurt gezien de ernst van het probleem.
Hmm, dat doe ik eigenlijk liever niet. Zeker dit soort security patches is beter om te installeren vlak nadat ze uitgebracht worden. Nu blijkt voor deze patch dat er iets mis is gegaan, dus is deze meteen weer ingetrokken.
1 fysieke machine waarop dit lek misbruikt kan worden levert meteen toegang tot alle virtuele machines die er op zitten, waarmee je dus een veel groter risico loopt.
ik zou je die methode sowieso afraden. Als je dat had gedaan met alle patches die er zijn uitgekomen in het kader van Meltdown en Spectre, zat je nu in een world of shit. Mijn advies is altijd om het even tijd te geven, al is het maar een dag of 2. Tenzij je graag bugs vangt en troubleshoot, dan hou ik je uiteraard niet tegen ;)

Meltdown en Spectre zijn ernstige lekken, maar laten we ook niet overdrijven. Ten eerste is er, bij mijn weten, nog geen exploit "in the wild". Uiteraard is dat een kwestie van tijd, maar toch. Ten tweede ga ik er wel even vanuit dat al je ESX hosts achter een gezonde firewall of misschien wel 2 zitten en dat niemand hier z'n ESX host rechtstreeks aan het internet heeft hangen omdat het zo handig is #hint (Want dan vraag je natuurlijk om ellende) Als je je infrastructuur gewoon veilig en op orde hebt, moet 't wel gek lopen wil je gecompromitteerd worden en zou ik me eerder druk maken om systemen die wel naar buiten toe gepubliceerd zijn.

Uiteraard ben ik ook niet gek. Zodra alle patches in orde (en dan bedoel ik niet alleen maar voor ESX maar ook Linux/Windows/etc) blijken, ga ik mijn klanten natuurlijk ook adviseren niet te lang te wachten met het installeren.
Vlak nadat is niet hetzelfde als direct he jongens :).
Ik geef het meestal een weekje de tijd om uit te kristalliseren. na een week zijn de meeste problemen wel bekend en is er soms al een update voor de update beschikbaar die alle problemen oplost.
Gelukkig ;) Ik merk dat er heel veel onrust in het veld is en sommige mensen naar paniekmiddelen grijpen "want het is hardware en dus niet te patchen" blabla. Dat bepaalde "toonaangevende" sites (ik zal geen namen noemen, kuch) roepen dat het enige middel een rip-and-replace van je CPU is, helpt ook niet.

Wat er dan naar aanleiding van die berichten in de media echter gebeurt, is dat bepaalde mensen op management niveau hiervan horen en binnen hun organisatie druk naar IT gaan maken dat er 'per direct iets moet gebeuren'. Dat wil nog wel eens leiden tot rare maatregelen.

En op zich is dat CPU verhaal natuurlijk ook waar, alleen mist de essentiele nuance. Er is nog geen opvolger die het probleem niet heeft en als die er wel is, moet je maar afwachten of die compatible is met wat je hebt. Corporate IT heeft te maken met afschrijvingstermijnen. Systemen die 2-3 jaar geleden gekocht zijn, staan nu in volle productie maar lopen al een generatie achter qua CPU architectuur. Deze moeten echter nog een jaar of 2-3 voordat ze financieel afgeschreven zijn. Dat fix je niet zomaar als IT afdeling. En dat wil er dan weer niet zo lekker in bij menig manager.

Vandaar dat ik op menig platform roep dat men dit met gepast geduld op zou moeten pakken en geen paniekvoetbal moet beginnen.
Je ESX hosts mogen dan achter een firewall zitten. Dat zegt nog niets over de VM's. En met Meltdown en Spectre betekend dit dat via de VM ook geheugen van andere processen (op de zelfde core) gelezen kunnen worden.
gelukkig patch ik juist wat trager op het moment dat fabrikanten te snel dingen pushen, zie nu alleen al alle problemen die ontstaan
Windows - problemen met de patches
https://www.theverge.com/...ty-updates-amd-pcs-issues
Ubuntu - problemen met de patches
https://www.theinquirer.n...-for-ubuntu-after-borkage
En nu dus ook EXSi

Nee liever dat ze er een weekje langer over doen en het gewoon goed gebeurt dan dat wel alle patches telkens weer mogen terug draaien en driedubbel werk hebben
Ach, de versies van HP zijn ook niet zo heel speciaal. Dat is gewoon de standaard versie van VMWare, maar dan standaard met de HP drivers en tools er in voor hun controllers etcetera. Drivers die je ook los kan downloaden en installeren.
Patch was afgelopen weekend, gepulld. Mensen die willen patchen moeten deze kb volgen:
https://kb.vmware.com/s/article/52345
Note: All the ESXi patches associated with VMSA-2018-0004 have been pulled back from the online and offline portal.

[Reactie gewijzigd door KillerAce_NL op 15 januari 2018 11:52]

Ik heb rond 1600 een check for updates gedaan op mijn dev omgeving, kreeg keurig 2 patches ondanks bericht van de pullback. Toch op 1 dev host uitgerold, kijken wat het doet. Betroffen de updates ESXi650-201801401-BG en ESXi650-201801402-BG. Overigens wel op een oudere R610 met een X5650 cpu (westmere)

[Reactie gewijzigd door Barreljan op 15 januari 2018 17:42]

Op dit item kan niet meer gereageerd worden.


Call of Duty: Black Ops 4 HTC U12+ dual sim LG W7 Google Pixel 3 XL OnePlus 6 Battlefield V Samsung Galaxy S9 Dual Sim Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V. © 1998 - 2018 Hosting door True

*