Заметки к релизу

Версия zVirt: 4.0

1. Что нового

  1. Микросегментация.

    Обеспечивает:

    • контроль входящего и исходящего трафика на порту виртуальной машины;

    • контроль по IP-адресам, протоколам L3 и L4, портам.

    • возможность ограничивать сетевое взаимодействие даже между виртуальными машинами, находящимися в одной сети.

    В менеджере управления в разделе "Управляемые сети" добавлена графическая оснастка управления правилами микросегментации.

    Подробности см. в разделе Микросегментация руководства администратора.

  2. Механизм статической маршрутизации.

    Позволяет редактировать таблицы маршрутизации логического маршрутизатора для организации связи между сетями разных логических маршрутизаторов.

    В менеджере управления в разделе "Управляемые сети" добавлена графическая оснастка управления маршрутизацией логического маршрутизатора.

    Подробности см. в разделе Статическая маршрутизация руководства администратора.

  3. L2-подключение к сети предприятия.

    Обеспечивает:

    • плавную миграцию L2-связанной инфраструктуры в SDN;

    • совмещение L2 возможностей SDN и микросегментации с существующей инфраструктурой VLAN и маршрутизации.

    В менеджере управления в разделе "Управляемые сети" добавлена графическая оснастка, которая дает возможность подключить виртуальную машину в SDN к существующему широковещательному домену (VLAN).

    Подробности см. в разделе L2-подключение к сети предприятия руководства администратора.

  4. Выгрузка табличных данных в CSV.

    Позволяет выгружать список виртуальных машин, хостов виртуализации, доменов хранения и т.д. в формат CSV для последующего использования в проектной документации, отчетах.

    В меню настройки таблиц добавлен инструмент, позволяющий выгружать отображаемый список объектов (таких как ВМ, пулы, серверы виртуализации, домены хранения и события) в формате CSV.

  5. Поддержка параллельных миграций.

    Механизм позволяет более эффективно использовать пропускную способность сети, что обеспечивает увеличение скорости миграции ВМ

    Подробности см. в разделе Настройка параллельных соединений для миграции руководства по управлению ВМ.

  6. Расширенные настройки учетной записи.

    Позволяет настроить дополнительные параметры учетной записи.

    На портале администрирования для пользователей доступно окно "Параметры аккаунта", в котором можно настроить домашнюю страницу (с помощью указания адреса страницы), включить/выключить сохранение настроек отображения таблиц сущностей (ВМ, хостов, кластеров и т.д.), а также настроить отображение предупреждений при приостановке ВМ.

    Подробности см. в разделе Расширенные настройки отображения портала руководства администратора.

2. Изменения и улучшения

  1. Возможность подключить "Управляемые сети" (SDN) к хостам виртуализации любого типа коммутации.

    Улучшение дает возможность перевести виртуальную машину из SDN и обратно простой заменой сетевого интерфейса, а также создать ВМ с одновременным присутствием в SDN и классической сети.

  2. Постраничное отображение объектов управляемых сетей.

    Позволяет отображать большое количество сетевых объектов без потери производительности.

    В оснастке "Управляемые сети" объекты отображаются постранично с возможностью изменять размер страницы, а также переработан функционал поиска, сортировки по полям.

  3. Функция генерации архива HDREPORT.

    Обеспечивает сбор сведений об оборудовании хостов одной командой.

    С помощью команды hdreport формируется архив, в котором содержится отчёт lshw и sosreport.

    Подробности см. в разделе Утилита hdreport руководства администратора.

  4. Улучшения интерфейса и логики.

    Исправлена возможность переименовывания маршрутизатора.

    Изменена терминология подключения маршрутизатора к логическим сетям.

    Исправления в функциональности статических и динамических адресов.

  5. Механизм фильтрации lvm.

    Унифицирован механизм фильтрации работы lvm для взаимодействия с дисками разного оборудования.

  6. В состав хостов виртуализации включён пакет nvme-cli.

    Предоставляет дополнительные инструменты для управления устройствами NVMe, обеспечивая при этом совместимость с широким спектром корпоративных и клиентских систем.

  7. Функция поиска для профилей vNIC.

    Обеспечивает эффективный поиск профилей vNIC с использованием их атрибутов.

    Инструмент поиска доступен на странице профилей vNIC в веб-интерфейсе.

    Подробности см. в разделе Поиск для профилей vNIC руководства администратора.

  8. Снижение времени перезагрузки zVirt Node.

  9. Добавлена возможность интеграции с системой для централизованного управления безопасностью, событиями и информацией (SIEM) ArcSight.

    Для интеграции SIEM - системы ArcSight с zVirt разработан специальный коннектор, преобразующий формат событий zVirt в понятный Arcsight формат CEF. Коннектор устанавливается на стороне ArcSight.

    С помощью коннектора SIEM автоматизирует определение приоритетов угроз безопасности и нарушений требования ИБ на основе анализа и корреляции событий ИБ. Система анализирует действия пользователей, доступ к ресурсам, запросы к базе и упрощает выявление инцидентов безопасности.

3. Исправления

  1. Удаление устаревших LUN на хостах.

    Иногда после удаления LUN из хранилищ могли оставаться остаточные данные multipath и lvm.

    Если не производить впоследствии очистку хостов от информации по удаленным LUN, то это может приводить к нестабильной работе системы и переходу хостов в статус Non Responsive.

    Реализован инструмент, автоматически очищающий остаточную информацию на хостах

  2. Обеспечение корректной интеграции с Termidesk.

    При интеграции zVirt с продуктом Termidesk пользователи сталкиваются с проблемами в части:

    • перенаправления папок из АРМ (ПК/ноутбук/тонкий клиент) в ВМ zVirt;

    • проброса видеокамеры в ВМ zVirt;

    • проброса сетевого/USB принтера в ВМ zVirt;

    • проброса смарт-карт (USB-токенов);

    • временного подтормаживания экрана при переключении окон, просмотре видео.

    Подготовлен соответствующий пакет для установки на zVirt Node с необходимыми настройками (termidesk_zVirt_hook-0.0.5-zvirt.noarch.rpm).

  3. Устранена ошибка при восстановлении из бэкапа.

    В последней версии терялись данные после восстановления (отображался некорректный список процессоров) из резервной копии.

    Соответствующие изменения добавлены в новую версию zVirt.

  4. Фильтрация хостов при подключении маршрутизатора.

    Отображение только технически пригодных для подключения к физической сети хостов при прикреплении логического маршрутизатора к физической сети предприятия.

  5. Улучшение работы с большим количеством маршрутизаторов.

  6. Ошибка обработки состояния дисковых устройств.

    Исправлена ошибка обработки состояния дисковых устройств, приводящая к неправильному удалению снимков виртуальных машин.

4. Информационная безопасность

  1. Профиль безопасности.

    Для повышения уровня информационной безопасности были разработаны и добавлены соответствующие конфигурации и настройки.

    Настройки касаются следующих аспектов:

    • доступ, аутентификация и авторизация;

    • журналирование и аудит;

    • конфигурация сети;

    • обслуживание системы.

  2. Поддержка проверки ISO-образа zVirt Node сервисом checkisomd.

    Добавлен необходимый модуль в ISO-образ zVirt Node, позволяющий проходить проверку сервисом checkisomd.

  3. Устранена уязвимость BDU:2023-04878.

    Ранее была выявлена уязвимость метода SetAll() системы межпроцессного взаимодействия, которая связана с недостатками процедуры авторизации. Эксплуатация уязвимости могла позволить нарушителю повысить свои привилегии.

    Использование метода исключено в соответствующем компоненте.

  4. Устранена уязвимость CVE-2021-4083.

    Ошибка чтения после освобождения памяти, связанная с тем, как пользователи одновременно вызывают close() и fget(), что потенциально может вызвать состояние гонки. Этот недостаток позволяет локальному пользователю привести к сбою системы или повысить свои привилегии в системе.

    Соответствующие изменения добавлены в новую версию zVirt Node.

  5. Устранена уязвимость CVE-2022-0847.

    Ошибка с элементом flags структуры буфера канала, который не имел надлежащей инициализации в функциях copy_page_to_iter_pipe и push_pipe и поэтому мог содержать устаревшие значения. Непривилегированный локальный пользователь мог использовать эту уязвимость для повышения привилегий в системе.

    Соответствующие изменения добавлены в новую версию zVirt Node.

  6. Устранена уязвимость CVE-2022-24302.

    В компоненте python-paramiko было обнаружено состояние гонки (между созданием и chmod) в функции write_private_key_file, что могло привести к несанкционированному раскрытию информации.

    Было исправлено с помощью os.open и os.fdopen, чтобы гарантировать немедленное открытие новых файлов в правильном режиме (явный chmod, чтобы свести к минимуму любые возможные сбои)

  7. Устранена уязвимость CVE-2022-25315.

    Возможность целочисленного переполнения в storeRawNames() из-за логики расширения m_buffer, позволяющей выполнять выделение близкое к INT_MAX и производить запись за пределами границ. Недостаток мог приводить к отказу в обслуживании или потенциальному выполнению произвольного кода.

    Обновлен и включен в поставку компонент libexpat, в котором отсутствуют указанные уязвимости.

  8. Устранена уязвимость CVE-2022-25236.

    Обнаружен недостаток, при котором передача одного или нескольких символов-разделителей пространства имен в значениях атрибута «xmlns[:prefix]» приводила к тому, что expat отправлял неверные имена тегов в процессор XML поверх expat. Проблема могла приводить к выполнению произвольного кода.

    Обновлен и включен в поставку компонент libexpat, в котором отсутствуют указанные уязвимости.

  9. Устранена уязвимость CVE-2022-25235.

    Обнаружен недостаток, при котором передача неверных 2- и 3-байтовых последовательностей UTF-8 в приложение обработки XML поверх expat может привести к выполнению произвольного кода. Проблема связана с тем, как обрабатывается недопустимый UTF-8 внутри процессора XML.

    Обновлен и включен в поставку компонент libexpat, в котором отсутствуют указанные уязвимости.

  10. Устранена уязвимость CVE-2022-0778.

    В OpenSSL обнаружена ошибка. Обнаружен недостаток в OpenSSL, при котором была возможность запустить бесконечный цикл, создав сертификат с недопустимыми параметрами.

    Так как анализ сертификата происходит до проверки подписи, любой процесс, который анализирует предоставленный сертификат, может подвергнуться атаке.

    Уязвимость устранена.

  11. Устранена уязвимость CVE-2021-4028.

    Ошибка в реализации кода RDMA-менеджера связи позволяла злоумышленнику с локальным доступом настроить сокет для прослушивания порта с высоким уровнем доступа и использовать это для сбоя системы или повышения привилегий в системе.

    Уязвимость устранена.

  12. Устранена уязвимость CVE-2022-22950.

    В Spring Framework была обнаружена ошибка, которая могла позволить злоумышленнику вызвать отказ в обслуживании.

    Обновлен и включен в поставку компонент spring-expression, в котором отсутствуют указанные уязвимости.