ESXi 7 U3 wieder verfügbar vCenter 7 Update 3c mit log4j-Fix und Rückkehr alter Schwachstellen

Im November 2021 entfernte VMware wegen eines Bugs ESXi 7 Update 3 von seiner Download-Seite und empfahl Kunden, mit dem Update zu warten. Der Hype­r­visor ist nun wieder als Version 7 U3c zurück. vCenter 7 U3 bringt zu­sätz­liche Update-Checks, aber auch ver­altete Ver­sionen einiger Open-Source-Kom­po­­­nenten.

VMware benannte in vSphere 7 Update 3, 3a und 3b den Treiber für Intels Ethernet-Adapter erst von i40en nach i40enu um und kehrte dann wieder zum ursprünglichen Namen zurück. Dies führte dazu, dass einige Hosts nach dem Update auf ESXi 7 U3a oder höher beide Treiber erhielten.

Kritische Fehler behoben

Dies resultierte in einer Reihe von schwer­wiegenden Problemen, darunter dem Fehlschlagen von Updates auf eine der betroffenen Versionen oder dem Scheitern der HA-Aktivierung im Cluster. VMware hat daraufhin im November letzten Jahres alle Versionen von ESXi 7 Update 3 zurückgezogen.

In vSphere 7 Update 3c behob der Hersteller diesen und andere Fehler. Eine detaillierte Übersicht bieten die Release Notes für ESXi 7 Update 3c. Aus ihnen geht allerdings auch hervor, dass der Hypervisor nun wieder die veraltete Version 7.77.0 von cURL enthält, während ESXi 6.5 und 6.7 bereits auf cURL 7.78.0 aktualisiert wurden. Sie leidet unter einigen bekannten Schwachstellen.

vCenter 7 Update 3c

Das Update 3c bringt wie bei ESXi 7 auch für vCenter 7 keine neuen Features, so wie dies sonst üblich ist. Als Neuerung geht höchstens die Funktion zur Prüfung des ESXi-Hosts auf ihre Update-Tauglichkeit durch. Der Scan soll Server entdecken, die vom Problem des geänderten Namens für den Intel-Treiber betroffen sind.

VMware vCenter darf man erst auf Version 7 Update 3c aktualisieren, nachdem man alle fraglichen ESXi-Hosts auf diesen Stand gebracht hat. Außerdem verhindert der vSphere Lifecycle Manager, dass man die Update-Methode für solche ESXi-Server von Baselines auf Single Image für Cluster umstellt.

Neues log4j, alter Tomcat

vCenter war eines der VMware-Produkte, das im Gegensatz zu ESXi von der kritischen Schwachstelle in log4j betroffen war. Diese Sicherheitslücke schließt nun die Version 7 U3c.

Andererseits bringt das Update mehrere alte Versionen von Open-Source-Komponenten zurück, die in den noch unterstützten Releases von vSphere 6.x bereits durch neuere ersetzt wurden. Dazu zählen Apache Tomcat, Eclipse Jetty, OpenSSL, JRE und JDK sowie SQLite. Hinzu kommt wie bei ESXi noch cURL, allerdings in der noch älteren Version 7.75.

Alle von ihnen weisen bekannte Schwachstellen auf. Sowohl bei ESXi als auch vCenter verweist VMware auf künftige Versionen, die ein aktuelles cURL sowie neuere Ausführungen der anderen OSS-Komponenten enthalten sollen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.