Introduction
Ce document décrit comment mettre à niveau Umbrella Virtual Appliance (VA) vers la version 3.3.2.
Aperçu
Il est recommandé aux clients Umbrella exécutant la version 3.3.1 ou une version antérieure de mettre à niveau leur appliance virtuelle vers la version 3.3.2.
La version 3.3.2 est une version de correctif qui corrige une vulnérabilité dans le mécanisme d'accès SSH basé sur les clés.
Notez qu'un pirate peut avoir accès à l'appliance virtuelle afin d'exploiter potentiellement cette vulnérabilité. À moins qu'une appliance virtuelle ne soit déployée avec une adresse IP publique (ce qui n'est pas recommandé par Cisco), la surface d'attaque est limitée au réseau interne uniquement.
L'accès SSH n'est pas activé par défaut pour les serveurs virtuels exécutés sur VMware et Hyper-V. Si vous avez déployé des VA sur ces hyperviseurs et n'avez pas explicitement activé l'accès SSH, vos VA ne sont pas soumis à cette vulnérabilité.
Si vos VA sur VMware, Hyper-V, KVM ou Nutanix exécutent des versions antérieures à 3.3.2, vous pouvez désactiver SSH en utilisant la commande config va ssh disable sur la console VA. Cet état est persistant lors de la mise à niveau de l'appliance virtuelle et vous pouvez choisir de réactiver l'accès SSH une fois que l'appliance virtuelle exécute la version 3.3.2.
L'accès SSH ne peut pas être désactivé sur les VA s'exécutant sur AWS, Azure et GCP. Cisco recommande de définir des règles de sécurité sur ces plates-formes afin de limiter l'accès sur le port 22 de l'appliance virtuelle uniquement aux machines virtuelles spécifiques utilisées pour configurer l'appliance virtuelle. Les clients exécutant des VA sur ces plates-formes sont invités à vérifier la version VA et à effectuer une mise à niveau vers la version 3.3.2 si nécessaire au plus tôt.
Si vous n'avez pas modifié les paramètres de mise à niveau automatique par défaut pour l'appliance virtuelle sur le tableau de bord Umbrella, vos appliances virtuelles ont été mises à niveau automatiquement vers la version 3.3.2 par défaut.
Pour les VA qui n'exécutent pas la version 3.3.2, un bouton de mise à niveau apparaît pour chaque VA sur la page Sites et Active Directory du tableau de bord, sur laquelle vous pouvez cliquer pour effectuer la mise à niveau vers cette version.
Assurez-vous que vos VA peuvent accéder à disthost.umbrella.com afin de pouvoir télécharger la version la plus récente.
Vous pouvez également choisir de redéployer vos VA s'ils exécutent des versions très anciennes. Dans ce cas, veillez à télécharger la dernière version de VA depuis la page Sites et Active Directory et utilisez-la pour déployer l'VA. Dans ce cas, l'appliance virtuelle exécute la version 3.3.1 et met à jour automatiquement la version 3.3.2.
Cisco n'a pas connaissance d'une utilisation malveillante de la vulnérabilité mentionnée.
Commentaires