PowerFlex: OpenSLP-kwetsbaarheden om SLP-service uit te schakelen die niet aanwezig is op nieuw toegevoegde knooppunten
Summary: Als de SLP-service is uitgeschakeld op ESXi-hosts vanwege OpenSLP-kwetsbaarheden, wordt de SLP-service bij volgende toevoegingen van PFxM knooppunten niet uitgeschakeld. Deze moet handmatig worden uitgeschakeld na het toevoegen van het knooppunt. ...
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Er zijn OpenSLP-kwetsbaarheden bekendgemaakt die van invloed zijn op ESXi. Deze beveiligingslekken en hun impact op VMware-producten worden gedocumenteerd in de volgende VMware-beveiligingsadviezen (VMSA's):
VMSA-2021-0002 (CVE-2021-21972, CVE-2021-21973, CVE-2021-21974)
VMSA-2020-0023 (CVE-2020-3981, CVE-2020-3982, CVE-2020-3992, CVE-2020-3993, CVE-2020-3994, CVE-2020-3995)
VMSA-2019-0022 (CVE-2019-5544)
CVE-2021-21974, VMware KB https://kb.vmware.com/s/article/76372, stelt voor om uit te schakelen SLP-service als tijdelijke oplossing totdat de patch kan worden toegepast. Het uitschakelen van de SLP-service zal ertoe leiden dat CIM-clients de service niet kunnen vinden via poort #427.
*Opmerking: Het uitschakelen van de SLP-service op ESXi-hosts mag geen negatieve invloed hebben op de functionaliteit van PowerFlex Manager (PFxM).
VMSA-2021-0002 (CVE-2021-21972, CVE-2021-21973, CVE-2021-21974)
VMSA-2020-0023 (CVE-2020-3981, CVE-2020-3982, CVE-2020-3992, CVE-2020-3993, CVE-2020-3994, CVE-2020-3995)
VMSA-2019-0022 (CVE-2019-5544)
CVE-2021-21974, VMware KB https://kb.vmware.com/s/article/76372, stelt voor om uit te schakelen SLP-service als tijdelijke oplossing totdat de patch kan worden toegepast. Het uitschakelen van de SLP-service zal ertoe leiden dat CIM-clients de service niet kunnen vinden via poort #427.
*Opmerking: Het uitschakelen van de SLP-service op ESXi-hosts mag geen negatieve invloed hebben op de functionaliteit van PowerFlex Manager (PFxM).
- PFxM maakt geen gebruik van de SLP-service voor bewaking, inventarisatie of andere bewerkingen
- In beperkte laboratoriumtests is er geen waargenomen impact van het uitschakelen van de SLP-service op ESXi-hosts in een HCI-service
Cause
- Wanneer een PFxM-knooppunt wordt toegevoegd en een bestaand knooppunt (resource) wordt gedupliceerd of een nieuwe sjabloon wordt gebruikt, hebben de ESXi-hosts de standaardinstelling van de SLP-service ingeschakeld.
- PFxM dupliceert geen instellingen op het niveau waarop deze service wordt uitgevoerd.
Resolution
- Als het gewenste resultaat is dat de SLP-service moet worden uitgeschakeld (door een knooppunt toe te voegen aan een bestaande service OF een nieuw geïmplementeerde service), moet u handmatige stappen uitvoeren om de SLP-service uit te schakelen nadat het toevoegen van een knooppunt is voltooid.
- Raadpleeg de stappen in CVE-2021-21974, VMware KB https://kb.vmware.com/s/article/76372
1) Stop de SLP-service op de ESXi-host met deze opdracht:
/etc/init.d/slpd stop
Opmerking: De SLP-service kan alleen worden gestopt wanneer de service niet in gebruik is. Gebruik de volgende opdracht om de operationele status van de Service Location Protocol Daemon weer te geven:
esxcli system slp stats get
2) Voer de volgende opdracht uit om de SLP-service uit te schakelen:
esxcli network firewall ruleset set -r CIMSLP -e 0
Als u deze wijziging wilt aanbrengen, moet u deze wijziging blijven aanhouden bij het opnieuw opstarten:
chkconfig slpd off
Ga als volgt te werk om te controleren of de wijziging wordt toegepast bij het opnieuw opstarten:
chkconfig --list | grep slpd
Uitvoer: slpd off
Additional Information
n.v.t.
Videos
n/a
Affected Products
PowerFlex rack, Security, PowerFlex ApplianceArticle Properties
Article Number: 000183755
Article Type: Solution
Last Modified: 19 Nov 2025
Version: 6
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.