La version Update 3 de vSphere 7 a connu de nombreux problèmes lors des mois qui ont suivi sa sortie. Ces différents incidents ont conduit VMware à supprimer cette version de son catalogue de téléchargement. Le 27 janvier, VMware a proposé une version corrigée de vSphere 7.0, Update 3c.
Entre-temps, une faille de grande ampleur, appelé “Log4j Remote Code Execution Vulnerabilities”, a touché de très nombreux logiciels. VMware n’a pas été épargné, de nombreux produits sont touchés, dont le vCenter.
On vous propose donc un article récapitulatif pour y voir un peu plus clair.
Des problèmes en série
La première version de vSphere 7 Update 3 est sortie le 5 octobre 2021. Peu de temps après, un bug lié aux disques virtuels en mode Thin Provisioning provoquait des PSOD (Purple Screen Of Death, équivalent des écrans bleus de Windows, mais pour ESXi). Les ESXi d’un cluster pouvaient alors devenir indisponibles, et les VM étaient redémarrées brusquement sur un autre hôte. Détails du problème ici : https://kb.vmware.com/s/article/86100
En réaction, le 28 octobre, VMware a mis à disposition une version 7.0 Update 3a pour vSphere ESXi.
À la suite du renommage d’un pilote réseau Intel, la mise à jour des ESXi pouvaient échouer, ainsi que l’activation de HA sur certains hôtes. Ces problèmes ont été résolus via une nouvelle version de ESXi, Update 3b !
De nouveaux problèmes sont apparus, à la fois sur ESXi et sur vCenter, liste exhaustive ici : https://kb.vmware.com/s/article/86281
Cette fois VMware a pris une décision forte (19 novembre 2021), retirer la version Update 3 du centre de téléchargement, tout en assurant le support des utilisateurs qui avaient déjà procédé à la migration. Annonce ici : https://blogs.vmware.com/vsphere/2021/11/important-information-on-esxi-7-update-3.html.
En voilà log4j !
Le 10 décembre dernier, une des failles les plus impactantes de ces dernières années a vu le jour sous le doux nom de “Apache Log4j Remote Code Execution Vulnerability”, aussi connu sous le CVE-2021-44228 : https://nvd.nist.gov/vuln/detail/CVE-2021-44228
Log4j (outil de log pour les applications Java) est très utilisé dans les produits VMware, pas moins de 55 d’entre eux ont été impactés par la faille, liste détaillée ici : https://www.vmware.com/security/advisories/VMSA-2021-0028.html
Plutôt que de proposer une nouvelle mise à jour pour le vCenter, qui aurait encore ajouté de la complexité à toute cette histoire d’Update 3, VMware a préféré fournir une solution de contournement. Il s’agit d’un script Python qui désactive les fonctionnalités problématiques, détails ici : https://kb.vmware.com/s/article/87081
Cette fois c’est la bonne ?
Le 27 janvier dernier, VMware annonce la sortie d’une nouvelle version de vSphere, Update 3c, à la fois pour ESXi et pour vCenter. Cette version à l’ambitieux objectif de résoudre les problèmes accumulés des précédentes versions, mais aussi de fournir un correctif définitif pour Log4j.
La mise à jour vers cette version s’avère plus complexe que les précédentes, dû aux nombreux scénarios possibles, par exemple les infrastructures migrées vers Update 3 avant qu’elles ne soient retirées. Lors de la mise à jour du vCenter, une validation des prérequis est imposée afin de s’assurer que vous n’êtes pas dans un scénario à problème.
Quelques problèmes (pour le moment mineurs) ont été détectés, et sont référencés ici : https://kb.vmware.com/s/article/87327. Pas de quoi justifier une nouvelle version cependant. Des utilisateurs ont aussi remonté un potentiel problème de charge CPU sur le vCenter à la suite de la mise jour, cela reste à confirmer par VMware. Pour le moment nous recommandons d’attendre encore quelques semaines avant d’effectuer la mise à niveau de vos infrastructures.
Aostral pour vous accompagner
N’hésitez pas à nous contacter pour faire le point sur votre plateforme. En plus de la faille log4j, d’autres failles de sécurités ont été corrigées par VMware lors de dernières années. Si votre plateforme n’a pas été mise à jour depuis, il serait bon d’y penser !
