PowerFlex : Failles de sécurité OpenSLP pour désactiver le service SLP non présent sur les nœuds nouvellement ajoutés
Summary: Si le service SLP est désactivé sur les hôtes ESXi en raison de vulnérabilités OpenSLP, les ajouts suivants de nœud PFxM ne permettront pas la désactivation du SLP ; celle-ci doit se faire manuellement après l’ajout de nœud. ...
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Des vulnérabilités OpenSLP ont été divulguées et affectent ESXi. Ces failles de sécurité et leur impact sur les produits VMware sont documentés dans les conseils de sécurité VMware (VMSA) suivants :
VMSA-2021-0002 (CVE-2021-21972, CVE-2021-21973, CVE-2021-21974)
VMSA-2020-0023 (CVE-2020-3981, CVE-2020-3982, CVE-2020-3992, CVE-2020-3993, CVE-2020-3994, CVE-2020-3995)
VMSA-2019-0022 (CVE-2019-5544)
CVE-2021-21974, VMware KB https://kb.vmware.com/s/article/76372, suggère de désactiver Service SLP comme solution de contournement jusqu’à ce que le correctif puisse être appliqué. En cas de désactivation du service SLP,les clients CIM ne sont pas en mesure de localiser le service sur le port 427.
*Remarque : La désactivation du service SLP sur les hôtes ESXi ne devrait pas avoir d’effet négatif sur la fonctionnalité de PowerFlex Manager (PFxM).
VMSA-2021-0002 (CVE-2021-21972, CVE-2021-21973, CVE-2021-21974)
VMSA-2020-0023 (CVE-2020-3981, CVE-2020-3982, CVE-2020-3992, CVE-2020-3993, CVE-2020-3994, CVE-2020-3995)
VMSA-2019-0022 (CVE-2019-5544)
CVE-2021-21974, VMware KB https://kb.vmware.com/s/article/76372, suggère de désactiver Service SLP comme solution de contournement jusqu’à ce que le correctif puisse être appliqué. En cas de désactivation du service SLP,les clients CIM ne sont pas en mesure de localiser le service sur le port 427.
*Remarque : La désactivation du service SLP sur les hôtes ESXi ne devrait pas avoir d’effet négatif sur la fonctionnalité de PowerFlex Manager (PFxM).
- PFxM n’utilise pas le service SLP pour la surveillance, l’inventaire ou toute autre opération
- Lors des tests en laboratoire, aucun impact n’a été observé suite à la désactivation du service SLP sur les hôtes ESXi d’un service HCI.
Cause
- Lorsque l’ajout de nœud PFxM est effectué et qu’un nœud existant (ressource) est dupliqué, ou qu’un nouveau modèle est utilisé, le paramètre par défaut du service SLP est activé sur les hôtes ESXi.
- PFxM ne duplique pas les paramètres au niveau auquel ce service est en cours d’exécution.
Resolution
- Si le résultat souhaité est la désactivation du service SLP (ajout d’un nœud à un service existant OU à un service récemment déployé), vous devez effectuer des étapes manuelles pour désactiver le service SLP une fois l’ajout de nœud terminé.
- Reportez-vous à la procédure disponible dans CVE-2021-21974, article de la base de connaissances VMware https://kb.vmware.com/s/article/76372
1) Arrêtez le service SLP sur l’hôte ESXi à l’aide de la commande suivante :
/etc/init.d/slpd stop
Remarque : pour être arrêté, le service SLP ne doit pas être en cours d’utilisation. Utilisez la commande suivante pour afficher l’état opérationnel du processus de protocole d’emplacement de service :
esxcli system slp stats get
2) Exécutez la commande suivante pour désactiver le service SLP :
esxcli network firewall ruleset set -r CIMSLP -e 0
Pour effectuer cette modification, persistez lors des redémarrages :
chkconfig slpd off
Pour vérifier si la modification est appliquée aux redémarrages :
chkconfig --list | grep slpd
Sortie : slpd off
Additional Information
s/o
Videos
n/a
Affected Products
PowerFlex rack, Security, PowerFlex ApplianceArticle Properties
Article Number: 000183755
Article Type: Solution
Last Modified: 19 Nov 2025
Version: 6
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.