简介
本文档介绍如何将Umbrella虚拟设备(VA)升级到版本3.3.2。
概述
建议运行VA版本3.3.1或更早版本的Umbrella客户将其VA升级到版本3.3.2。
3.3.2版是修复基于密钥的SSH访问机制中的漏洞的补丁版本。
请注意,攻击者可以访问VA以利用此漏洞。除非VA部署有公有IP地址(思科不建议这样做),否则攻击面仅限于内部网络。
默认情况下,VMware和Hyper-V上运行的VA未启用基于SSH的访问。如果您在这些虚拟机监控程序上部署了VA,但未明确启用SSH访问,则您的VA不受此漏洞的约束。
如果VMware、Hyper-V、KVM或Nutanix上的VA运行的是3.3.2之前的版本,您可以在VA控制台上使用config va ssh disable命令禁用SSH。此状态在VA升级时得以保留,并且您可以选择在VA运行版本3.3.2后重新启用SSH访问。
无法在AWS、Azure和GCP上运行的VA上禁用SSH访问。思科建议在这些平台上设置安全规则,以将VA的端口22上的访问限制为仅访问用于配置VA的特定VM。建议在这些平台上运行VA的客户检查VA版本,并尽早升级到版本3.3.2(如果需要)。
如果您没有更改Umbrella控制面板上VA的默认自动升级设置,默认情况下,您的VA会自动升级到版本3.3.2。
对于未运行版本3.3.2的VA,您会在控制面板的“站点和Active Directory”页面上看到针对每个此类VA的升级按钮,您可以单击该按钮将其升级到此版本。
确保您的VA能够访问disthost.umbrella.com,以便能够下载较新的版本。
如果您的VA运行的是非常旧的版本,您也可以选择重新部署它们 — 在这种情况下,请确保从“站点和Active Directory”页面下载最新版本的VA,并使用该版本部署VA。在这种情况下,VA运行版本3.3.1,并自动更新到版本3.3.2。
思科并不知道存在任何恶意使用上述漏洞的行为。
反馈