VMware patcht glibc Lücke in mehreren Produkten

Die glibc Bibliothek ist in Linux Systemen weit verbreitet. Mitte Februar 2016 wurde vor einer kritischen Lücke in dieser gewarnt. VMware patcht nun eine Reihe seiner Produkte, die auf Linux basieren und die betroffene glibc Library verwenden. Windows Komponenten sind hiervon logischerweise nicht betroffen.

Was ist betroffen?

Betroffen sind die Hypervisoren ESXi 5.5 und 6.0. Frühere Versionen wie 5.1 oder 5.0 enthalten keine verwundbare Version von glibc.

Virtuelle Appliances auf Linux basis sind betroffen. VMware hat hierzu  KB 2144032 veröffentlicht.

Links

golem.de – Sicherheitslücke gefährdet fast alle Linux-Systeme
VMware Scurity Advisories – VMSA-2016-0002.1

Netzwerk am CITRIX NetScaler VPX instabil durch VMWARE Patch für ESX 5.1 und 5.5

NetScaler VPX ist die virtuelle VPN, Firewall und Applikationsfilterlösung von Citrix. Wir verwenden diese in etlichen Projekten insbesondere für den Zugang auf XenDesktop, die VDI Lösung von CITRIX, aus dem Internet. Sie steht als Appliance für die gängigen Hypervisoren zur Verfügung und basiert auf einem gehärteten FreeBSD.

Die virtuelle Appliance steht mit begrenztem Leistungsumfang und nach Registrierung bei Citrix frei für jeweils ein Jahr zur Verfügung und reicht bequem für mindestens fünf gleichzeitige externe Zugriffe auf die XenDesktop Umgebung.


Kürzlich gab es in einer Implementierung, die schon >1 Jahr fehlerfrei funktionierte, folgendes Verhalten: Der Zugriff auf XenDesktop von extern funktionierte zunächst, war dann aber plötzlich weg. Meistens nach stärkerer Grafik- und damit Netzlast im ICA Protokoll. Die VM war in Folge der Störung auch nicht mehr im Netzwerk pingbar.

Nach einem Reboot der NetScaler VM war zunächst wieder alles in Ordnung – erneute Last führt aber reproduzierbar wieder zum Absturz.

Nähere Analyse ergab, dass auch der Zugriff auf die Management WebGUI bereits den Abbruch der Netzverbindung auslösen konnte.

Um die VM eingehend zu untersuchen wurde sie exportiert und in einen ESX Testcluster portiert.

Erstaunlicherweise war im Testcluster alles ok. Die VM war auch bei Netzlast stets funktional und erreichbar.

Wieder zurück im Produktivcluster gleiches Verhalten wie vorher.

In der WebGUI war, wenn das Netz einmal so lange durchhielt, eine Fehlermeldung im SysLog zu sehen:

stall

Offenbar kommt für gesendete Pakete keine rechtzeitige Rückmeldung (ACK) und NetScaler startet daher das Interface neu. Infolgedessen gehen alle Verbindungen über dieses Interface verloren.

Die Suche nach dem Problem im Netz ergab zunächst keine Hinweise.

Schließlich fanden wir den zielführenden Hinweis in der KB bei VMWARE und auch CITRIX. Laut VMWARE liegt das Problem bei CITRIX.

Sobald man den Hypervisor unter ESX 5.5 auf Update 2 (build 2143827) oder ESX 5.1 auf EP 5 (build 1900470) gehoben hat.

Citrix umschreibt das Problem so:

NetScaler VPX network connectivity issue on VMware ESXi 5.1.0 2191751 and VMware ESXi 5.5 Build 2143827 is caused by tx_ring_length mismatch, which causes TX stalls.

Das Problem wurde am 05.11.2014 von CITRIX veröffentlicht. Es gibt noch keinen Patch für die NetScaler Appliance. Dieser ist aber angekündigt.

Im Testcluster war das VMWARE Update noch nicht installiert – daher lief hier noch alles stabil wie vorher.


Bis zum erscheinen eines Patches für die NetScaler VPX wird ein Workaround vorgeschlagen, der bei uns nachhaltigen Erfolg brachte:

Hierzu muss unter dem FreeBSD des NetScaler eine Datei /flash/boot/loader.conf.local erzeugt werden.

In diese muss der Parameter hw.em.txd=512 eingefügt werden.

Wie geht das am schlankesten?

  • Anmelden in der NetScaler VM Konsole als nsroot
  • Wechseln auf die Shell mit shell
  • Eingabe von echo hw.em.txd=512 > /flash/boot/loader.conf.local
  • Hierdurch wird hw.em.txd=512 in diese Datei geschrieben, die üblicherweise noch nicht vorhanden ist.
  • Prüfen ob der Eintrag vorhanden ist kann man mit less /flash/boot/loader.conf.local
  • Danach noch reboot eingeben um die Appliance neu zu starten.
  • Problem gelöst. Das NetScaler Netzwerk ist auch unter Last wieder stabil.

hw.em.txd


Links:

NetScaler VPX Loses Network Connectivity on VMware ESXi 5.1.0 2191751 and VMware ESXi 5.5 Build 2143827

After applying patches to an ESXi 5.1/5.5 host, Citrix NetScaler virtual machine with e1000 vNIC loses network connectivity (2092809)

Windows Updates automatisch deinstallieren

Erst kürzlich hatte Microsoft große Probleme mit einigen Patches des August Patch-Days. Es kam dabei zu Problemen mit den folgenden Sicherheitsupdates:

  • KB2982791
  • KB2970228
  • KB2975719
  • KB2975331

Insbesondere ersteres sogte auf einigen Systemen für den gefürchteten Bluescreen of death (BSOD). Die Patches wurden von Microsoft kurz danach zurückgerufen. Glück für jene, die mit Sicherheitspatches immer ein wenig warten. Andererseits sollten kritische Sicherheitslücken immer sehr zeitnah gestopft werden. Und genau dies tun zum Beispiel WSUS Server. Hier kann man einstellen, daß kritische Sicherheitspatches automatisch für die Installation genehmigt werden, was dazu führt dass eine große Anzahl Systeme mit den problematischen Updates versorgt wurde. „Windows Updates automatisch deinstallieren“ weiterlesen

DataCore SANsymphony-V 10 – possible data corruption

DataCore meldet ein mögliches Treiber-Problem mit dem erst kürzlich veröffentlichten SANsymphony-V 10. Ein entsprechender Customer Alert würde heute versendet:

Potential for Data Corruption – Hotfix Available
In SANsymphony-V 10.0.0.0 we changed the way we work in order to support VMware Thin Provisioning Thresholds. In doing so, we have seen that there is now the potential for a timing issue to take place that can cause data corruption. In order to protect against the possibility of corrupting data, we have redesigned and tested a new driver. The revised driver will be included in SANsymphony-V 10.0 Update1, which we are hopeful will be released in early September, and we suggest holding back any upgrades to SSV10 until that update is available. If you already have customers running SSV 10.0 there is a Hotfix we can provide to protect against this until Update1 is released. Please open an incident and contact support requesting this hotfix for those customers, and when Update1 is released please upgrade as soon as possible after its release.

Es wird nicht genau erklärt, welcher Treiber problematisch ist und unter welchen Umständen. Die Haupaussage ist jedoch, man solle mit der Migration auf SSY10 abwarten bis das Update 1 veröffentlicht wurde. Interne Quellen hatten dies für Oktober 2014 angekündigt, möglicherweise wurde es jetzt aufgrund der Wichtigkeit auf September vorgezogen.

Ich konnte bis jetzt in der Testumgebung mit VMware und SSY10 keine negativen Auswirkungen sehen, obwohl diese unter Last arbeitet. Dennoch hat sich die Zurückhaltung bei der Migration von produktiven DataCore Umgebungen auf neue Hauptversionen wieder einmal bestätigt. Im Labor immer die neuste Version – beim Kunden das erste Update abwarten. 😉