概述
Windows 的 VMware Tools 存在一个由于不当的访问控制导致的认证绕过漏洞。 VMware 已经评估了此问题的严重性,属于重要严重性范围 ,最高 CVSSv3 基础分为7.8。已知的攻击向量:在Windows来宾虚拟机上具有非管理员权限的恶意行为者可能会 获得执行某些高权限操作的能力 在该虚拟机内。
现状
环境中存在大量Windows操作系统,设计到Windows Server和Windows 10,如果此时采用手动升级,无疑是致命的工作量,之前写过一篇使用静默升级的文章:关于VMware Tools更新通知解决方案 。
- 过程
- 选择自动升级VMware Tools
- 在高级选项文本框中,输入Windows客户机操作系统的高级选项。
/s /v "/qn" /l "Microsoft_Windows_location\filename.log"但前提是基于当前使用中的ESXi版本和需要更新的补丁版本保持一致才可以使用该方式去批量静默更新。
那么如何使当前使用中的ESXi版本保持最新版本呢?继续看见下文。
确认当前版本
如何确认当前 vSphere ESXi VMware Tools Core最新的版本号呢?可以通过下面两种方式查看。
- 直接查看虚拟机,该方式可能会因未升级而显示不准确,如下图所示:
- 使用命令查看(推荐,更准确),如下图所示:
命令如下:
esxcli software vib list | grep tool可见当前版本和需要升级的版本差距较大,所以要直接升级的话是无法通过vSphere来升级的。
升级VIB包
先到博通官网下载最新的VMware Tools 离线核心包,传送门:VMware Tools 12.5.1 Download
下载 VMware Tools Offline VIB Bundle
将下载的离线包通过SSH上传到ESXi中。
使用下面的命令进行安装。
esxcli software vib install -d /vmfs/volumes/67a2dd3b-9c820379-cae9-000c29fa559b/VMtools/VMw
are-Tools-12.5.1-core-offline-depot-ESXi-all-24649672.zip --maintenance-mode
安装正确的话,会输出successfully,可以不用重启服务器哦!
再确定一下升级后的版本,都没问题。
至此VMtools Core升级完成。
升级VMware Tools
之前由于版本较低,未能直接对Windows操作系统进行升级,现在已经更新了Core,已经可以直接对其进行升级操作了。
升级后的版本。
恭喜你!此时就可以通过VCSA对环境中的虚拟机进行批量静默升级操作了! 过程不再赘述。
总结
通过先升级主机内核包,再批量静默升级虚拟机,取代逐步手动升级所有虚拟机,提高了整体效率!适用于环境中存在大量的虚拟机的场景。
0