VxRail: Informationen im Zusammenhang mit VMSA-2025-0013- und VxRail-Umgebungen

Broadcom hat einen VMware Security Advisory (VMSA) zu mehreren kritischen und wichtigen Sicherheitsproblemen mit ESXi 7.0 und 8.0 veröffentlicht, die in VMSA-2025-0013 beschrieben sind. Es wurden mehrere ESXi-Patches entwickelt, um diese Probleme zu beheben. Weitere Informationen finden Sie unter:

• VMware-Sicherheitsratgeber VMSA-2025-0013
• VMSA-2025-0013: Fragen und Antworten

VxRail Engineering hat ein aktualisiertes Paket mit der VxRail-Software 8.0.3xx veröffentlicht, das die Behebung des in VMSA-2025-0013 beschriebenen Problems enthält. Details zu dieser Version finden Sie unten.

Hinweis: Es ist nicht geplant, eine VxRail-Softwareversion für VxRail 7.0.411+ (ESXi 7.0U3) oder 8.0.2xx (ESXi 8.0U2) bereitzustellen.
VxRail-Umgebungen, die diese Builds verwenden, müssen den ESXi-Patch manuell installieren, um die Korrektur zu erhalten.

VxRail Engineering genehmigte die Installation von ESXi-Patches mit der Korrektur für diese Probleme auf vorhandenen VxRail- und VMware Cloud Foundation on VxRail-(VCF-)Clustern. Details dazu und der Prozess zu ihrer Installation sind unten beschrieben.

Es gibt vier Probleme, die in VMSA-2025-0013 beschrieben werden:

• VMXNET3 Sicherheitslücke bei Ganzzahlüberlauf (CVE-2025-41236) – CVSSv3 9.3 (kritisch)
• VMware VMCI (Virtual Machine Communication Interface) Integer-Underflow-Sicherheitslücke (CVE-2025-41237) – CVSSv3 9.3 (kritisch)
• PVSCSI-Sicherheitslücke bei Heap-Überlauf (CVE-2025-41238) – CVSSv3 9.3 (kritisch)
• Sicherheitslücke bei vSockets bezüglich Offenlegung von Informationen (CVE-2025-41239) – CVSSv3 7.1 (Wichtig)

Weitere Informationen zu diesen Problemen finden Sie im oben genannten VMware Security Advisory (VMSA)-Artikel.

VxRail-Umgebungen

Status des Problems in VxRail-Versionen:

• Dieses Problem wurde in VxRail 8.0.361 behoben

Das VxRail-Engineering empfiehlt allen Kunden, ein Upgrade auf die oben genannte VxRail-Version durchzuführen, um dieses Problem zu beheben.

Manuelle Korrektur des Problems:

• Dieses Problem kann in VxRail 7.0.411 und späteren Versionen mit dem ESXi 7.0U3w-Patch behoben werden
• Dieses Problem kann in den VxRail-Versionen 8.0.210 bis 8.0.214 mit dem ESXi 8.0U2e-Patch behoben werden
• Dieses Problem kann in VxRail 8.0.300 und späteren Versionen mit dem ESXi 8.0U3f-Patch behoben werden

Eine Anleitung zur Installation des entsprechenden oben genannten ESXi-Patches finden Sie unter: Anleitung zum manuellen Patchen von ESXi-Nodes in der VxRail-Umgebung

Hinweis: Es gibt keine Workarounds für die im obigen VMware Security Advisory (VMSA)-Artikel beschriebenen Probleme.
Anmerkung: Die Installation von ESXi 7.0U3w oder ESXi 8.0U3f blockiert Updates auf aktuelle VxRail 8.0.x-Versionen (bis zu VxRail 8.0.331). Die Blockierung von Upgrades wird aufgehoben, wenn die nächste VxRail 8.0.x-Version verfügbar ist.

VMware Cloud Foundation (VCF) auf VxRail

Status des Problems in VCF-Versionen:

• VCF 4.5.x-Umgebungen sollten auf VCF 5.2.x aktualisiert werden. Der ESXi 7.0U3w-Patch wird in VCF 4.5.x nicht unterstützt
• Dieses Problem kann in VCF 5.2.x mit dem ESXi 8.0U3f-Patch behoben werden

Das obige Handbuch zur Installation der entsprechenden ESXi-Patches gilt auch für VCF 5.2.x. Die erforderlichen Schritte finden Sie im Artikel Manuelles Patchen von ESXi-Nodes in der VxRail-Umgebung .

Hinweis: Der Versuch, den ESXi 7.0U3w-Patch in einer VCF 4.5.x-Umgebung zu installieren, wird nicht unterstützt und kann Upgrades oder Migrationen auf VCF 5.2.x verhindern.
Anmerkung: Die Installation von ESXi 8.0U3f Update blockiert VxRail-Upgrades in aktuellen VCF 5.2.x-Versionen (einschließlich VCF 5.2.1.2/VxRail 8.0.330). Die Blockierung von Upgrades wird aufgehoben, wenn die nächste VCF/VxRail-Kopplung verfügbar ist.

Überlegungen zur Aktualisierung von VMware Cloud Foundation (VCF) auf Dell VxRail.

Das Anwenden des ESXi-Patches außerhalb eines VxRail-Updates kann dazu führen, dass der VCF-Bestand nicht synchronisiert ist.

VCF 5.2 und höher enthält eine Funktion, mit der der Bestand nach der Installation des ESXi-Patches aktualisiert werden kann. Weitere Informationen finden Sie im folgenden Artikel von Broadcom/VMware: Synchronisieren von Bestandsversionen nach einem Out-of-Band-Upgrade in einer VMware Cloud Foundation-Umgebung

Hinweise zu empfohlenen Upgradepfaden bei der manuellen Aktualisierung von Clustern

Im Folgenden werden die empfohlenen Upgradepfade aufgeführt:

• VxRail 8.0.300 – 8.0.331 kann den ESXi 8.0U3f-Patch anwenden.
• VxRail 8.0.210–8.0.214 kann den ESXi 8.0U2e-Patch anwenden
• VxRail 8.0.000–8.0.120, 8.0.230 und 8.0.240 müssen auf einen 8.0.3xx-Build aktualisiert werden, bevor der ESXi 8.0U3f-Patch angewendet werden kann
• VxRail 7.0.411–7.0.550 kann den ESXi 7.0U3w-Patch anwenden. Wenn auf Clustern VxRail 7.0.410 oder niedriger ausgeführt wird, muss zuerst ein Upgrade auf VxRail 7.0.411 Build oder höher durchgeführt werden, bevor ein Patch angewendet wird

Das VxRail Engineering Management hat die folgende Erklärung zum Support für Nodes abgegeben, die außerhalb eines VxRail-Upgrades aktualisiert werden.

"Kunden, die die relevanten Sicherheitspatches manuell anwenden, können weiterhin vollen Support für ihr VxRail-System erwarten."

Abrufen der ESXi-Patches von Broadcom

Die oben genannten ESXi-Updates können über das Broadcom-Supportportal abgerufen werden (erfordert ein Broadcom-Supportkonto).

• ESXi 7.0U3w – Dateiname: VMware-ESXi-7.0U3w-24784741-depot.zip - Download-Link: https://support.broadcom.com/web/ecx/solutiondetails?patchId=15940
• ESXi 8.0U2e – Dateiname: VMware-ESXi-8.0U2e-24789317-depot.zip - Download-Link: https://support.broadcom.com/web/ecx/solutiondetails?patchId=15939
• ESXi 8.0U3f – Dateiname: VMware-ESXi-8.0U3f-24784735-depot.zip - Download-Link: https://support.broadcom.com/web/ecx/solutiondetails?patchId=15938