PowerFlex: Luki w zabezpieczeniach OpenSLP umożliwiające wyłączenie usługi SLP nie są obecne na nowo dodanych węzłach
Podsumowanie: Jeśli usługa SLP jest wyłączona na hostach ESXi z powodu luk w zabezpieczeniach OpenSLP, kolejne dodawane węzły PFxM nie będą miały wyłączonej usługi SLP. Należy ją wyłączyć ręcznie po dodaniu węzła. ...
Ten artykuł dotyczy
Ten artykuł nie dotyczy
Ten artykuł nie jest powiązany z żadnym konkretnym produktem.
Nie wszystkie wersje produktu zostały zidentyfikowane w tym artykule.
Objawy
Ujawniono luki w zabezpieczeniach OpenSLP, które mają wpływ na ESXi. Te luki i ich wpływ na produkty VMware zostały udokumentowane w następujących poradnikach VMware Security Advisory (VMSA):
VMSA-2021-0002 (CVE-2021-21972, CVE-2021-21973, CVE-2021-21974)
VMSA-2020-0023 (CVE-2020-3981, CVE-2020-3982, CVE-2020-3992, CVE-2020-3993, CVE-2020-3994, CVE-2020-3995)
VMSA-2019-0022 (CVE-2019-5544)
CVE-2021-21974, https://kb.vmware.com/s/article/76372 bazy wiedzy VMware, sugeruje wyłączenie Usługa SLP jako obejście problemu do momentu zastosowania poprawki. Wyłączenie usługi SLP spowoduje, że klienci CIM nie będą mogli zlokalizować usługi za pośrednictwem portu #427.
*Uwaga: Wyłączenie usługi SLP na hostach ESXi nie powinno mieć negatywnego wpływu na funkcjonalność programu PowerFlex Manager (PFxM).
VMSA-2021-0002 (CVE-2021-21972, CVE-2021-21973, CVE-2021-21974)
VMSA-2020-0023 (CVE-2020-3981, CVE-2020-3982, CVE-2020-3992, CVE-2020-3993, CVE-2020-3994, CVE-2020-3995)
VMSA-2019-0022 (CVE-2019-5544)
CVE-2021-21974, https://kb.vmware.com/s/article/76372 bazy wiedzy VMware, sugeruje wyłączenie Usługa SLP jako obejście problemu do momentu zastosowania poprawki. Wyłączenie usługi SLP spowoduje, że klienci CIM nie będą mogli zlokalizować usługi za pośrednictwem portu #427.
*Uwaga: Wyłączenie usługi SLP na hostach ESXi nie powinno mieć negatywnego wpływu na funkcjonalność programu PowerFlex Manager (PFxM).
- PFxM nie używa usługi SLP do monitorowania, inwentaryzacji ani żadnych innych operacji
- W ograniczonych testach laboratoryjnych nie zaobserwowano wpływu wyłączenia usługi SLP na hostach ESXi w usłudze HCI
Przyczyna
- W przypadku dodawania węzła PFxM i duplikowania istniejącego węzła (zasobu) lub użycia nowego szablonu hosty ESXi będą miały włączone domyślne ustawienie usługi SLP.
- PFxM nie duplikuje ustawień na poziomie, na którym działa ta usługa.
Rozwiązanie
- Jeśli pożądanym rezultatem jest wyłączenie usługi SLP (dodanie węzła do istniejącej usługi LUB nowo wdrożonej usługi), należy wykonać ręczne kroki, aby wyłączyć usługę SLP po zakończeniu dodawania węzła.
- Zapoznaj się z procedurami opisanymi w CVE-2021-21974, VMware KB https://kb.vmware.com/s/article/76372
1) Zatrzymaj usługę SLP na hoście ESXi za pomocą następującego polecenia:
/etc/init.d/slpd stop
Uwaga: Usługę SLP można zatrzymać tylko wtedy, gdy usługa nie jest używana. Użyj następującego polecenia, aby wyświetlić stan operacyjny demona protokołu lokalizacji usługi:
esxcli system slp stats get
2) Uruchom następujące polecenie, aby wyłączyć usługę SLP:
esxcli network firewall ruleset set -r CIMSLP -e 0
Aby wprowadzić tę zmianę, zachowaj ją po ponownym uruchomieniu:
chkconfig slpd off
Aby sprawdzić, czy zmiana została zastosowana przy każdym ponownym uruchomieniu:
chkconfig --list | grep slpd
Wyjście: slpd wyłączone
Dodatkowe informacje
Nie dotyczy
Filmy
n/a
Produkty, których dotyczy problem
PowerFlex rack, Security, PowerFlex ApplianceWłaściwości artykułu
Numer artykułu: 000183755
Typ artykułu: Solution
Ostatnia modyfikacja: 19 lis 2025
Wersja: 6
Znajdź odpowiedzi na swoje pytania u innych użytkowników produktów Dell
Usługi pomocy technicznej
Sprawdź, czy Twoje urządzenie jest objęte usługą pomocy technicznej.