PowerFlex: 새로 추가된 노드에는 SLP 서비스를 비활성화하는 OpenSLP 취약성이 없습니다.

OpenSLP 취약성이 공개되어 ESXi에 영향을 줍니다. 이러한 취약성과 VMware 제품에 미치는 영향은 다음 VMSA(VMware Security Advisories)에 설명되어 있습니다.

VMSA-2021-0002(CVE-2021-21972, CVE-2021-21973, CVE-2021-21974)
VMSA-2020-0023(CVE-2020-3981, CVE-2020-3982, CVE-2020-3992, CVE-2020-3993, CVE-2020-3994, CVE-2020-3995)
VMSA-2019-0022(CVE-2019-5544)

CVE-2021-21974, VMware KB https://kb.vmware.com/s/article/76372 에서 비활성화를 제안합니다.패치를 적용할 수 있을 때까지 SLP 서비스를 사용하여 문제를 해결합니다. SLP 서비스를 비활성화하면 CIM 클라이언트가 포트 #427을 통해 서비스를 찾을 수 없습니다.

* 참고: ESXi 호스트에서 SLP 서비스를 비활성화해도 PFxM(PowerFlex Manager) 기능에 부정적인 영향을 주지 않아야 합니다.

• PFxM은 모니터링, 인벤토리 또는 기타 작업에 SLP 서비스를 사용하지 않습니다. 
• 제한된 랩 테스트에서, HCI 서비스에서 ESXi 호스트에 대한 SLP 서비스를 사용하지 않도록 설정해도 관찰된 영향은 없었습니다.

*경고: PFxM 서비스의 모든 기존 ESXi 호스트에서 SLP 서비스가 비활성화된 후 후속 노드 확장이 수행되면 새 ESXi 호스트에서 SLP 서비스가 비활성화되지 않습니다!

• PFxM 노드 추가가 수행되고 기존 노드(리소스)가 복제되거나 새 템플릿이 사용되는 경우 ESXi 호스트의 기본 설정인 SLP 서비스가 활성화됩니다.
• PFxM은 이 서비스가 실행 중인 수준에서 설정을 복제하지 않습니다.

• 원하는 결과가 SLP 서비스를 비활성화하는 것(기존 서비스에 노드 추가 또는 새로 배포된 서비스)인 경우 노드 추가가 완료된 후 SLP 서비스를 비활성화하는 수동 단계를 수행해야 합니다.
• CVE-2021-21974, VMware KB https://kb.vmware.com/s/article/76372의 단계를 참조하십시오.

1) 다음 명령을 사용하여 ESXi 호스트에서 SLP 서비스를 중지합니다.
 

/etc/init.d/slpd stop

 
참고: SLP 서비스는 서비스를 사용하지 않을 때만 중지할 수 있습니다. 다음 명령을 사용하여 서비스 위치 프로토콜 데몬의 작동 상태를 확인합니다.

esxcli system slp stats get

 

2) 다음 명령을 실행하여 SLP 서비스를 비활성화합니다.

esxcli network firewall ruleset set -r CIMSLP -e 0

 
이렇게 변경하려면 재부팅 후에도 유지합니다.
 

chkconfig slpd off

재부팅 시 변경 사항이 적용되는지 확인하려면 다음을 수행합니다.

chkconfig --list | grep slpd

 

출력: slpd off

해당 없음