Sicherheitsupdates für ESXi

Hallo zusammen,

auf der Seite des BSI wird über Sicherheitsupdates u.a. für den ESXi von VMware informiert. Unser Server läuft auf ESXi, unter anderem auch der Verwaltungsserver. Nach Auskunft unseres Support-Betriebs ist ein Sicherheitsupdate des ESXi etwa gleichbedeutend mit einem Neuaufsetzen desselben.
Die Frage an Euch: Für wie dringend haltet Ihr ein Update, wie hoch ist die Gefahr für Angriffe von außen, bzw. aus den anderen Netzen?

Viele Grüße,
Andreas

Ups, hier noch der Link zu der BSI-Meldung:

https://www.bsi-fuer-buerger.de/SharedDocs/Warnmeldungen/DE/TW/warnmeldung_tw-t17-0037.html

VG, Andreas

Es handelt sich hier um folgenden Angriff:

IIRC lässt sich über eine manipulierte Website das komplette Hostsystem übernehmen. Ob das trivial zu bewerkstelligen ist, hängt vom Skilllevel ab. Das es eine nicht unerhebliche Gefahr darstellt, steht glaube ich außer Frage.

Hallo,

Es handelt sich hier um folgenden Angriff:

heise.de
https://www.heise.de/security/meldung/Ausbruch-aus-der-VM-VMware-schliesst-kritische-Pwn2Own-Luecken-3669902.html

  Ausbruch aus der VM: VMware schließt kritische Pwn2Own-Lücken
  <https://www.heise.de/security/meldung/Ausbruch-aus-der-VM-VMware-schliesst-kritische-Pwn2Own-Luecken-3669902.html>

VMware hat Sicherheitslücken in VMware Workstation, Fusion und ESXi
geschlossen, mit deren Hilfe Sicherheitsforscher beim Pwn2Own-Wettbewerb
aus virtuellen Maschinen ausgebrochen und das Host-System gekapert hatten.

IIRC lässt sich über eine manipulierte Website das komplette Hostsystem
übernehmen. Ob das trivial zu bewerkstelligen ist, hängt vom Skilllevel
ab. Das es eine nicht unerhebliche Gefahr darstellt, steht glaube ich
außer Frage.

… war es nicht so, dass man ein Windows als Gast benötigte?
Zumindest das Proof of Concept hatte ein Windowsgast…

Trivial ist der Angriff laut heise Meldung nicht: es werden sowohl auf
Gastseite als auch auf dem Host Lücken benötigt.

Trotzdem würde ich immer dazu raten den Virtualisierer aktuell zu halten.

Wenn die meinen das sei eine Neuinstallation: dann sollen sie die
machen: vorher Maschienen wegschieben, updaten und Maschienen
zurückholen: wofür hat man den virtualisiert?

LG

Holger

Ja.

Richtig!

Hallo Zusammen,

wir halten es ebenfalls für wichtig den jeweiligen Hypervisor auf dem Blech aktuell zu halten, ebenso wie Betriebssysteme die darauf laufen, vor allem solche die dem Internet „ausgesetzt“ sind.
Aber noch ein Satz zum Thema ESXi aktualisieren: Ein ESXi-(Express-)Patch sowie eine generelle Versionsaktualisierung geht bei ESXi ohne den Hypervisor komplett neu aufsetzen zu müssen. Man kann ein Patch und Minor-Versions-Aktualisierungen sogar theoretisch während dem Produktivbetrieb einspielen. Abschliessend benötigt der Host selber halt einen Reboot. Den macht man dann natürlich „after-hours“. Aber die Konfiguration des Hosts geht nicht bzw. nie verloren, wenn mans richtig macht :slight_smile:
Hier noch zwei Links zu privaten Blogs die schön kompakt diesbezüglich auf dem Laufenden halten:


Viele Grüsse,
Sebastian.

1 „Gefällt mir“

Hallo Ulf, Holger und Sebastian,

vielen Dank für Eure Beiträge! So wie es mir darstellt, wird wohl in Kürze ein Update geschehen.

Viele Grüße,
Andreas