Einleitung
In diesem Dokument wird das Upgrade von Umbrella Virtual Appliance (VA) auf Version 3.3.2 beschrieben.
Überblick
Umbrella-Kunden mit VA-Version 3.3.1 oder früher wird empfohlen, ihre VAs auf Version 3.3.2 zu aktualisieren.
Version 3.3.2 ist ein Patch, der eine Schwachstelle im schlüsselbasierten SSH-Zugriffsmechanismus behebt.
Beachten Sie, dass ein Angreifer Zugriff auf die VA haben kann, um diese Schwachstelle auszunutzen. Sofern eine VA nicht mit einer öffentlichen IP-Adresse bereitgestellt wird (was von Cisco nicht empfohlen wird), ist die Angriffsfläche auf das interne Netzwerk beschränkt.
Der SSH-basierte Zugriff ist für VAs, die auf VMware und Hyper-V ausgeführt werden, standardmäßig nicht aktiviert. Wenn Sie VAs auf diesen Hypervisoren bereitgestellt und den SSH-Zugriff nicht explizit aktiviert haben, sind Ihre VAs nicht von dieser Schwachstelle betroffen.
Wenn Ihre VAs auf VMware, Hyper-V, KVM oder Nutanix Versionen vor 3.3.2 ausführen, können Sie SSH mit dem Befehl config va ssh disable auf der VA-Konsole deaktivieren. Dieser Zustand wird beim VA-Upgrade beibehalten, und Sie können den SSH-Zugriff wieder aktivieren, sobald die VA Version 3.3.2 ausführt.
Der SSH-Zugriff kann auf VAs, die auf AWS, Azure und GCP ausgeführt werden, nicht deaktiviert werden. Cisco empfiehlt, Sicherheitsregeln auf diesen Plattformen festzulegen, um den Zugriff auf Port 22 der VA auf bestimmte VMs zu beschränken, die zur Konfiguration der VA verwendet werden. Kunden, die VAs auf diesen Plattformen ausführen, wird empfohlen, die VA-Version zu überprüfen und frühestens ein Upgrade auf Version 3.3.2 durchzuführen, falls erforderlich.
Wenn Sie die Standardeinstellungen für das automatische Upgrade für die VA im Umbrella Dashboard nicht geändert haben, müssen die VAs standardmäßig automatisch auf Version 3.3.2 aktualisiert werden.
Bei VAs, auf denen Version 3.3.2 nicht ausgeführt wird, wird auf der Seite Sites und Active Directory des Dashboards für jede VA eine Aktualisierungsschaltfläche angezeigt, auf die Sie klicken können, um ein Upgrade auf diese Version durchzuführen.
Stellen Sie sicher, dass Ihre VAs auf disthost.umbrella.com zugreifen können, um die neuere Version herunterladen zu können.
Sie können die VAs auch erneut bereitstellen, wenn sie sehr alte Versionen ausführen. Stellen Sie in diesem Fall sicher, dass Sie die neueste Version der VA von der Seite "Sites und Active Directory" herunterladen und zur Bereitstellung der VA verwenden. In diesem Fall führt die VA Version 3.3.1 aus und führt automatische Aktualisierungen auf Version 3.3.2 durch.
Cisco ist keine schädliche Nutzung der genannten Schwachstelle bekannt.
Feedback