PowerFlex: OpenSLP-Sicherheitslücken zum Deaktivieren des SLP-Service auf neu hinzugefügten Nodes nicht vorhanden
Summary: Bei aufgrund von OpenSLP-Sicherheitslücken deaktiviertem SLP-Service auf ESXi-Hosts ist der SLP-Service bei späteren Hinzufügungen von PFxM-Node nicht deaktiviert. Der Service muss nach dem Hinzufügen des Nodes manuell deaktiviert werden. ...
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Es wurden OpenSLP-Sicherheitslücken offen gelegt, die sich auf ESXi auswirken. Diese Sicherheitslücken und ihre Auswirkungen auf VMware-Produkte sind in den folgenden VMware-Sicherheitsratgebern (VMSAs) dokumentiert:
VMSA-2021-0002 (CVE-2021-21972, CVE-2021-21973, CVE-2021-21974)
VMSA-2020-0023 (CVE-2020-3981, CVE-2020-3982, CVE-2020-3992, CVE-2020-3993, CVE-2020-3994, CVE-2020-3995)
VMSA-2019-0022 (CVE-2019-5544)
CVE-2021-21974, VMware KB https://kb.vmware.com/s/article/76372, schlägt die Deaktivierung vor SLP-Service als Workaround, bis der Patch angewendet werden kann. Das Deaktivieren des SLP-Services führt dazu, dass CIM-Clients den Service nicht über Port 427 finden können.
*Hinweis: Die Deaktivierung des SLP-Service auf ESXi-Hosts sollte keine negativen Auswirkungen auf die Funktionalität von PowerFlex Manager (PFxM) haben.
VMSA-2021-0002 (CVE-2021-21972, CVE-2021-21973, CVE-2021-21974)
VMSA-2020-0023 (CVE-2020-3981, CVE-2020-3982, CVE-2020-3992, CVE-2020-3993, CVE-2020-3994, CVE-2020-3995)
VMSA-2019-0022 (CVE-2019-5544)
CVE-2021-21974, VMware KB https://kb.vmware.com/s/article/76372, schlägt die Deaktivierung vor SLP-Service als Workaround, bis der Patch angewendet werden kann. Das Deaktivieren des SLP-Services führt dazu, dass CIM-Clients den Service nicht über Port 427 finden können.
*Hinweis: Die Deaktivierung des SLP-Service auf ESXi-Hosts sollte keine negativen Auswirkungen auf die Funktionalität von PowerFlex Manager (PFxM) haben.
- PFxM nutzt den SLP-Service nicht für Monitoring, Bestandsaufnahme oder sonstige Vorgänge.
- In Labortests in begrenztem Umfang wurden keine Auswirkungen der Deaktivierung des SLP-Services auf ESXi-Hosts in einem HCI-Service beobachtet.
Cause
- Wenn ein PFxM-Node hinzugefügt wird und ein vorhandener Node (Ressource) dupliziert oder eine neue Vorlage verwendet wird, ist auf den ESXi-Hosts standardmäßig der SLP-Service aktiviert.
- PFxM dupliziert keine Einstellungen auf der Ebene, auf der dieser Service ausgeführt wird.
Resolution
- Wenn das gewünschte Ergebnis darin besteht, den SLP-Service zu deaktivieren (Hinzufügen eines Node zu einem vorhandenen Service ODER neu bereitgestellten Service), müssen Sie manuelle Schritte ausführen, um den SLP-Service zu deaktivieren, nachdem der Node hinzugefügt wurde.
- Weitere Informationen finden Sie in den Schritten in CVE-2021-21974, VMware Wissensdatenbank-Artikel https://kb.vmware.com/s/article/76372
1) Beenden Sie den SLP-Service auf dem ESXi-Host mit diesem Befehl:
/etc/init.d/slpd stop
Hinweis: Der SLP-Service kann nur angehalten werden, wenn der Service zurzeit nicht verwendet wird. Verwenden Sie den folgenden Befehl, um den Betriebsstatus des Service Location Protocol-Daemon anzuzeigen:
esxcli system slp stats get
2) Führen Sie den folgenden Befehl aus, um den SLP-Service zu deaktivieren:
esxcli network firewall ruleset set -r CIMSLP -e 0
Um diese Änderung vorzunehmen, bleiben Sie über Neustarts hinweg bestehen:
chkconfig slpd off
So überprüfen Sie, ob die Änderung bei Neustarts angewendet wird:
chkconfig --list | grep slpd
Ausgang: slpd aus
Additional Information
N. z.
Videos
n/a
Affected Products
PowerFlex rack, Security, PowerFlex ApplianceArticle Properties
Article Number: 000183755
Article Type: Solution
Last Modified: 19 Nov 2025
Version: 6
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.