はじめに
このドキュメントでは、Umbrella仮想アプライアンス(VA)をバージョン3.3.2にアップグレードする方法について説明します。
概要
VAバージョン3.3.1以前を実行しているUmbrellaのお客様は、VAをバージョン3.3.2にアップグレードすることをお勧めします。
バージョン3.3.2は、キーベースSSHアクセスメカニズムの脆弱性に対処するパッチリリースです。
攻撃者は、この脆弱性を悪用するためにVAにアクセスできることに注意してください。VAがパブリックIPアドレス(シスコでは推奨しません)で展開されている場合を除き、攻撃対象領域は内部ネットワークのみに制限されます。
SSHベースのアクセスは、デフォルトではVMwareおよびHyper-Vで実行されているVAに対して有効になっていません。これらのハイパーバイザにVAを導入し、SSHアクセスを明示的に有効にしていない場合、そのVAはこの脆弱性の影響を受けません。
VMware、Hyper-V、KVM、またはNutanix上で稼働しているVAのバージョンが3.3.2より前の場合は、VAコンソールでconfig va ssh disableコマンドを使用してSSHを無効にできます。この状態はVAのアップグレード時に維持され、VAがバージョン3.3.2を実行した後でSSHアクセスを再度有効にすることができます。
SSHアクセスは、AWS、Azure、およびGCPで実行されているVAでは無効にできません。シスコでは、VAのポート22でのアクセスを、VAの設定に使用される特定のVMのみに制限するために、これらのプラットフォームにセキュリティルールを設定することを推奨します。これらのプラットフォームでVAを実行しているお客様は、VAのバージョンを確認し、必要に応じて早期にバージョン3.3.2にアップグレードすることをお勧めします。
UmbrellaダッシュボードでVAのデフォルトの自動アップグレード設定を変更していない場合、VAはデフォルトでバージョン3.3.2に自動アップグレードされます。
バージョン3.3.2を実行していないVAの場合、ダッシュボードの「Sites and Active Directory」ページに、該当する各VAに対する「upgrade」ボタンが表示されます。このボタンをクリックすると、このバージョンにアップグレードできます。
新しいバージョンをダウンロードできるように、VAがdisthost.umbrella.comにアクセスできることを確認します。
また、非常に古いバージョンを実行しているVAを再導入することもできます。その場合は、「Sites and Active Directory」ページからVAの最新バージョンをダウンロードし、それを使用してVAを導入します。この場合、VAはバージョン3.3.1を実行しており、バージョン3.3.2に自動更新されます。
シスコでは、これらの脆弱性の悪用に関する情報を入手していません。
フィードバック