PowerFlex:OpenSLP 漏洞可禁用新添加的节点上不存在的 SLP 服务

Summary: 由于 OpenSLP 漏洞的缘故,如果您在 ESXi 主机上禁用 SLP 服务,那么后续 PFxM 节点添加将不会禁用 SLP 服务,您必须在节点添加后手动将其禁用。

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

目前已披露可影响 ESXi 的 OpenSLP 漏洞。这些漏洞及其对 VMware 产品的影响记录在以下 VMware 安全公告 (VMSA) 中:

VMSA-2021-0002 (CVE-2021-21972、CVE-2021-21973、CVE-2021-21974)
VMSA-2020-0023 (CVE-2020-3981、CVE-2020-3982、CVE-2020-3992、CVE-2020-3993、CVE-2020-3994、CVE-2020-3995)
VMSA-2019-0022 (CVE-2019-5544)

CVE-2021-21974, VMware 知识库文章 https://kb.vmware.com/s/article/76372 建议禁用 SLP 服务 作为解决方法,直到可以应用修补程序。禁用 SLP 服务将导致 CIM 客户端无法通过端口 #427 找到该服务。

*提醒:在 ESXi 主机上禁用 SLP 服务应该不会对 PowerFlex Manager (PFxM) 功能产生任何负面影响。
  • PFxM 不会将 SLP 服务用于监视、清点或任何其他操作 
  • 在有限的实验室测试中,没有在 HCI 服务中观察到在 ESXi 主机上禁用 SLP 服务的影响
*警告:如果在 PFxM 服务中的所有现有 ESXi 主机上禁用了 SLP 服务,则执行后续节点扩展时,新 ESXi 主机将不会禁用 SLP 服务!

Cause

  • 当执行 PFxM 节点添加且复制现有节点(资源)或使用新模板时,ESXi 主机将启用默认设置 SLP 服务。
  • PFxM 不会在运行此服务的级别复制设置。
pfxm_duplicate_node.png

slp_service_newly_added_node.png

Resolution

  • 如果所需的结果是禁用 SLP 服务(将节点添加到现有服务或新部署的服务),则必须在节点添加完成后执行手动步骤来禁用 SLP 服务。
  • 请参阅 CVE-2021-21974、VMware 知识库文章 (https://kb.vmware.com/s/article/76372) 中的步骤

1) 使用以下命令停止 ESXi 主机上的 SLP 服务:
  
/etc/init.d/slpd stop
 
提醒:SLP 服务仅在未使用时才能停止。使用以下命令查看服务位置协议守护程序的运行状态: 
esxcli system slp stats get

 

2) 运行以下命令以禁用 SLP 服务: 
esxcli network firewall ruleset set -r CIMSLP -e 0
 
要进行此更改,请在重新启动后继续执行以下作:
  
chkconfig slpd off

要检查是否在重新启动时应用更改,请执行以下作: 
chkconfig --list | grep slpd
 

输出:slpd off

Additional Information

n/a

Videos

n/a

Affected Products

PowerFlex rack, Security, PowerFlex Appliance
Article Properties
Article Number: 000183755
Article Type: Solution
Last Modified: 19 Nov 2025
Version:  6
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.