ESXi’yi etkileyen OpenSLP güvenlik açıkları ortaya çıktı. Bu güvenlik açıkları ve bunların VMware ürünleri üzerindeki etkileri aşağıdaki VMware Güvenlik Önerilerinde (VMSA’lar) belgelenmiştir.

VMSA-2020-0023  (CVE-2020-3992)

ESXi ekibi bu güvenlik açıklarını araştırdı ve bu makalenin çözüm bölümünde ayrıntılı olarak açıklanan adımları uygulayarak kötüye kullanım olasılığının kaldırılabileceğini belirledi.

Bu geçici çözüm YALNIZCA ESXi için geçerlidir. Bu geçici çözümü diğer VMware ürünlerine uygulamayın.

Geçici çözümü uygulamak için aşağıdaki adımları uygulayın:

  1. ESXi ana bilgisayarındaki SLP hizmetini şu komutla durdurun:

/etc/init.d/slpd stop
Not : SLP hizmeti yalnızca hizmet kullanımda değilken durdurulabilir. Hizmet Konumu Protokolü Arka Plan Programının çalışma durumunu görüntülemek için aşağıdaki komutu kullanın:

 

esxcli system slp stats get

  1. SLP hizmetini devre dışı bırakmak için aşağıdaki komutu çalıştırın:

esxcli network firewall ruleset set -r CIMSLP -e 0

 

Bu değişikliğin yeniden başlatmalarda kalıcı olmasını sağlamak için:

chkconfig slpd off

Değişikliğin yeniden başlatmalarda uygulanıp uygulanmadığını kontrol etmek için:

chkconfig –list | grep slpd

output: slpd off

Geçici çözümü kaldırmak için aşağıdaki adımları uygulayın:

  1. SLP hizmetinin kural kümesini etkinleştirmek için aşağıdaki komutu çalıştırın:

esxcli network firewall ruleset set -r CIMSLP -e 1

  1. Slpd hizmetinin mevcut başlangıç ​​bilgilerini değiştirmek için aşağıdaki komutu çalıştırın:

chkconfig slpd on

Yukarıdaki adımı çalıştırdıktan sonra değişikliğin uygulanıp uygulanmadığını kontrol etmek için aşağıdaki komutu çalıştırın (Adım 2 #):

chkconfig –list | grep slpd

output: slpd on

SLP hizmetini başlatmak için aşağıdaki komutu çalıştırın:

/etc/init.d/slpd start

  1. CIM aracısını devre dışıbırakın ve etkinleştirin,

chkconfig sfcbd-watchdog off
chkconfig sfcbd off
/etc/init.d/sfcbd-watchdog stop

Etkinleştirmek için;

chkconfig sfcbd-watchdog on
chkconfig sfcbd on
/etc/init.d/sfcbd-watchdog start

/etc/init.d/sfcbd-watchdog status