簡介
本檔案介紹如何將Umbrella Virtual Appliance(VA)升級到3.3.2版。
概觀
建議運行VA版本3.3.1或更低版本的Umbrella客戶將其VA升級到版本3.3.2。
3.3.2版是一個修補程式版本,用於解決基於金鑰的SSH訪問機制中的漏洞。
請注意,攻擊者可以訪問VA以利用此漏洞。除非使用公有IP地址部署VA(思科不建議這樣做),否則攻擊面僅限於內部網路。
預設情況下,未對在VMware和Hyper-V上運行的VA啟用基於SSH的訪問。如果您在這些虛擬機器監控程式上部署了VA,但未明確啟用SSH訪問,則您的VA不會受到此漏洞的影響。
如果您的VMware、Hyper-V、KVM或Nutanix上的VA運行的是3.3.2之前的版本,則您可以在VA控制檯上使用config va ssh disable命令禁用SSH。此狀態在VA升級後會一直保留,並且您可以選擇在VA運行版本3.3.2後重新啟用SSH訪問。
無法在AWS、Azure和GCP上運行的VA上禁用SSH訪問。思科建議在這些平台上設定安全規則,將VA埠22上的訪問限製為僅訪問用於配置VA的特定VM。建議在這些平台上運行VA的客戶應檢查VA版本,並在必要時儘早升級到3.3.2版。
如果您沒有更改Umbrella控制面板上VA的預設自動升級設定,則您的VA預設情況下會自動升級至3.3.2版。
對於未運行版本3.3.2的VA,您將在控制面板的「站點和Active Directory」頁面上看到針對每個此類VA的升級按鈕,您可以按一下該按鈕將其升級到此版本。
確保您的VA能夠訪問disthost.umbrella.com,以便下載更新的版本。
如果您的VA運行的是非常舊的版本,您還可以選擇重新部署它們 — 在這種情況下,請確保從「站點和Active Directory」頁面下載最新版本的VA,並使用該版本部署VA。在這種情況下,VA運行的是3.3.1版並自動更新到3.3.2版。
思科尚未發現任何惡意使用上述漏洞的行為。
意見