Search the VMware Knowledge Base (KB)
View by Article ID

响应 OpenSSL 安全问题 CVE-2014-0160/CVE-2014-0346,又称:“Heartbleed” (2088635)

  • 0 Ratings

Symptoms

免责声明:本文为 Response to OpenSSL security issue CVE-2014-0160/CVE-2014-0346 a.k.a: "Heartbleed" (2076225) 的翻译版本。尽管我们会不断努力为本文提供最佳翻译版本,但本地化的内容可能会过时。有关最新内容,请参见英文版本。

Purpose

VMware 安全工程、通信和响应组 (vSECR) 正在调查名为“Heartbleed”的 OpenSSL 问题(CVE-2014-0160CVE-2014-0346)。

本文反映了正在进行的调查的状态。

注意:本文适用于以下产品:

o VMware Horizon DaaS Bundle (VDI/RDSH Edition)
o VMware Horizon Air Cloud-Hosted
o VMware Horizon DaaS On Premise Platform

Resolution

以下是对当前名为 Heartbleed 的软件安全隐患的响应

VMware 安全和工程小组正在致力于对受影响的 VMware 产品进行修复。VMware 实际上已经意识到 Heartbleed 隐患的严重性,并且正在集中一切可用资源在行业范围内针对此问题提供解决方案。

VMware 已对本文中所有受影响的产品发布产品更新和修补程序。

包含更新版本或修补程序的发布产品目前在 VMware Security Advisory VMSA-2014-0004 中列出。

有关受影响的产品,请参见以下列表;有关在准备更多更新的过程中保护系统的步骤,请参见“解决方法/迁移”部分。


解决方法/迁移

要修复包含已更新可用修补程序版本的产品问题,请执行以下操作:
  • 部署解决 CVE-2014-0160 的 VMware 产品更新或产品修补程序
  • 根据产品文档中的说明替换证书
  • 根据产品文档中的说明重置密码
VMware Security Advisory VMSA-2014-0004 的章节 4 列出了安装说明和证书管理文档的产品特定参考资料。

注意:如果在升级过程中遇到问题,请向 VMware 技术支持提交支持请求并在问题描述中记录您所使用的知识库文章 ID。有关提交支持请求的详细信息,请参见 Filing a Support Request in My VMware (2006985)

在单独的管理网络中部署 vSphere 5.5(以及其他相关 VMware 产品),可减少 CVE-2014-0160 的出现。请勿在 Internet 上直接托管 vSphere 组件。如果暴露于 Internet 下的虚拟机收到影响,则应进行更新。有关后者,请参见来自操作系统提供程序的相关说明。


受影响的 VMware 产品

这些随附 OpenSSL 1.0.1 的 VMware 产品已经确认受到影响:

未受影响的 VMware 产品

此 VMware 产品随附 OpenSSL 1.0.1,但已确认其使用 OpenSSL 的方式不受 OpenSSL Heartbleed 问题的影响:
  • VMware vRealize Automation(以前称为 vCloud Automation Center)5.x

这些随附 OpenSSL 0.9.8 或 1.0.0 的 VMware 产品已经确认未受影响:

  • ESXi/ESX 4.x
  • ESXi 5.0
  • ESXi 5.1
  • 虚拟磁盘开发套件 (VDDK)
  • VIX API
  • VMware Client Integration Plug-In (CIP) 版本 5.1 及更低版本
  • VMware vCloud Connector
  • VMware vCloud Usage Meter
  • VMware Data Recovery (VDR)
  • VMware Fusion 5.x
  • VMware Player 5.x
  • VMware Workstation 9.x
  • VMware Horizon Mirage 4.3.x 及更早版本
  • VMware Horizon Mirage 4.4.x(Gateway 组件除外)
  • VMware Horizon View 5.x
  • VMware Horizon View 5.2 Feature Pack 1
  • VMware Horizon View 5.2 Feature Pack 2
  • VMware Horizon View 5.3 Feature Pack 1(Remote Experience Agent 中的 HTML Access 组件除外)
  • VMware Horizon View Client for Android 1.x、2.0.x
  • VMware Horizon View Client for iOS 1.x、2.0.x
  • VMware Horizon View Client for Linux(所有版本)
  • VMware Horizon View Client for Mac(所有版本)
  • VMware Horizon View Client for Windows 2.1.x、2.2.x、5.x
  • VMware Horizon View Client for Windows Store(所有版本)
  • VMware Horizon View Client for Windows with Local Mode Option 5.x
  • VMware Horizon Workspace Client for Macintosh 1.0.0
  • VMware Horizon Workspace Client for Macintosh 1.5.0
  • VMware Horizon Workspace Client for Windows 1.0.0
  • VMware Horizon Workspace Client for Windows 1.5.0
  • VMware OVF tool 3.1.0 及更低版本
  • VMware Service Manager
  • VMware ThinApp
  • VMware Update Manager (VUM)
  • VMware vCenter 证书自动化工具
  • VMware vRealize Configuration Manager(以前称为 VMware vCenter Configuration Manager)
  • VMware vCenter Multi-Hypervisor Manager 1.x for Windows
  • VMware vCenter Chargeback Manager
  • VMware vCenter Converter (P2V)
  • VMware vRealize Infrastructure Navigator(以前称为 VMware vCenter Infrastructure Navigator)
  • VMware vCenter Lab Manager
  • VMware vRealize Log Insight(以前称为 VMware vCenter Log Insight)
  • VMware vRealize Operations Manager(以前称为 VMware vCenter Operations Manager)
  • VMware vRealize Orchestrator(以前称为 VMware vCenter Orchestrator)
  • VMware vCenter Server 4.x
  • VMware vCenter Server 5.0
  • VMware vCenter Server 5.1
  • VMware vCenter Server Appliance (vCSA) 5.x

    注意:用于 vSphere Web Client 5.5 的 Client Integration Plug-In (CIP) 版本将受影响(如上所述)。Client Integration Plug-In 是 vCenter Server 5.5 和 vCenter Server Appliance 5.5 的一部分。要修复 CIP 5.5,首先必须更新 vCenter Server 5.5 或 vCenter Server Appliance 5.5。请参见 VMware Security Advisory VMSA-2014-0004 了解 CIP 5.5 更新。

  • VMware vCenter Server Heartbeat
  • VMware vCenter Site Recovery Manager (SRM)
  • VMware vCenter Support Assistant
  • VMware vRealize Application Services(以前称为 VMware vCloud Application Director)
  • VMware vCloud Director (vCD)

    注意:用于 vCloud Director 5.5 的 Client Integration Plug-In (CIP) 版本将受影响(如上所述)。要修复 CIP 5.5,首先必须更新 vCloud Director 5.5。请参见 VMware Security Advisory VMSA-2014-0004 了解 CIP 5.5 更新。

  • VMware vCloud Networking and Security (vCNS) 5.1.2 及更低版本
  • VMware vCloud Networking and Security (vCNS) 5.5.0 和 5.5.0a
  • VMware vFabric Data Director
  • VMware vFabric Postgres
  • VMware View 4.x
  • VMware Virsto
  • VMware vSphere Client
  • VMware vSphere Data Protection (vDP)
  • VMware vSphere Management Assistant (vMA)
  • VMware vSphere Replication
  • VMware vSphere Storage Appliance (VSA)

受影响的合作伙伴产品

来自 VMware 合作伙伴的随附 OpenSSL 1.0.1 产品已发现受到影响:

已修复的 VMware 服务

此 VMware 服务已发现受到影响并已修复:

未受影响的 VMware 服务

以下 VMware 服务未受影响:

Additional Information

本文将随着更多信息可用而不断更新。要在本文更新时收到提醒,请在“Actions”框中单击 Subscribe to Document

有关可能受到此问题影响的 VMware 用户门户及网站的信息,请参见 Impact of OpenSSL security issue CVE-2014-0160/CVE-2014-0346 a.k.a: "Heartbleed" on VMware Customer Portals and web sites (2076353)


Pivotal 链接

Tags

简体中文 Simplified Chinese

See Also

Request a Product Feature

To request a new product feature or to provide feedback on a VMware product, please visit the Request a Product Feature page.

Feedback

  • 0 Ratings

Did this article help you?
This article resolved my issue.
This article did not resolve my issue.
This article helped but additional information was required to resolve my issue.

What can we do to improve this information? (4000 or fewer characters)




Please enter the Captcha code before clicking Submit.
  • 0 Ratings
Actions
KB: