Заметки к релизу
Версия zVirt: 4.0
1. Что нового
-
Микросегментация.
Обеспечивает:
-
контроль входящего и исходящего трафика на порту виртуальной машины;
-
контроль по IP-адресам, протоколам L3 и L4, портам.
-
возможность ограничивать сетевое взаимодействие даже между виртуальными машинами, находящимися в одной сети.
В менеджере управления в разделе "Управляемые сети" добавлена графическая оснастка управления правилами микросегментации.
Подробности см. в разделе Микросегментация руководства администратора.
-
-
Механизм статической маршрутизации.
Позволяет редактировать таблицы маршрутизации логического маршрутизатора для организации связи между сетями разных логических маршрутизаторов.
В менеджере управления в разделе "Управляемые сети" добавлена графическая оснастка управления маршрутизацией логического маршрутизатора.
Подробности см. в разделе Статическая маршрутизация руководства администратора.
-
L2-подключение к сети предприятия.
Обеспечивает:
-
плавную миграцию L2-связанной инфраструктуры в SDN;
-
совмещение L2 возможностей SDN и микросегментации с существующей инфраструктурой VLAN и маршрутизации.
В менеджере управления в разделе "Управляемые сети" добавлена графическая оснастка, которая дает возможность подключить виртуальную машину в SDN к существующему широковещательному домену (VLAN).
Подробности см. в разделе L2-подключение к сети предприятия руководства администратора.
-
-
Выгрузка табличных данных в CSV.
Позволяет выгружать список виртуальных машин, хостов виртуализации, доменов хранения и т.д. в формат CSV для последующего использования в проектной документации, отчетах.
В меню настройки таблиц добавлен инструмент, позволяющий выгружать отображаемый список объектов (таких как ВМ, пулы, серверы виртуализации, домены хранения и события) в формате CSV.
-
Поддержка параллельных миграций.
Механизм позволяет более эффективно использовать пропускную способность сети, что обеспечивает увеличение скорости миграции ВМ
Подробности см. в разделе Настройка параллельных соединений для миграции руководства по управлению ВМ.
-
Расширенные настройки учетной записи.
Позволяет настроить дополнительные параметры учетной записи.
На портале администрирования для пользователей доступно окно "Параметры аккаунта", в котором можно настроить домашнюю страницу (с помощью указания адреса страницы), включить/выключить сохранение настроек отображения таблиц сущностей (ВМ, хостов, кластеров и т.д.), а также настроить отображение предупреждений при приостановке ВМ.
Подробности см. в разделе Расширенные настройки отображения портала руководства администратора.
2. Изменения и улучшения
-
Возможность подключить "Управляемые сети" (SDN) к хостам виртуализации любого типа коммутации.
Улучшение дает возможность перевести виртуальную машину из SDN и обратно простой заменой сетевого интерфейса, а также создать ВМ с одновременным присутствием в SDN и классической сети.
-
Постраничное отображение объектов управляемых сетей.
Позволяет отображать большое количество сетевых объектов без потери производительности.
В оснастке "Управляемые сети" объекты отображаются постранично с возможностью изменять размер страницы, а также переработан функционал поиска, сортировки по полям.
-
Функция генерации архива HDREPORT.
Обеспечивает сбор сведений об оборудовании хостов одной командой.
С помощью команды hdreport формируется архив, в котором содержится отчёт lshw и sosreport.
Подробности см. в разделе Утилита hdreport руководства администратора.
-
Улучшения интерфейса и логики.
Исправлена возможность переименовывания маршрутизатора.
Изменена терминология подключения маршрутизатора к логическим сетям.
Исправления в функциональности статических и динамических адресов.
-
Механизм фильтрации lvm.
Унифицирован механизм фильтрации работы lvm для взаимодействия с дисками разного оборудования.
-
В состав хостов виртуализации включён пакет nvme-cli.
Предоставляет дополнительные инструменты для управления устройствами NVMe, обеспечивая при этом совместимость с широким спектром корпоративных и клиентских систем.
-
Функция поиска для профилей vNIC.
Обеспечивает эффективный поиск профилей vNIC с использованием их атрибутов.
Инструмент поиска доступен на странице профилей vNIC в веб-интерфейсе.
Подробности см. в разделе Поиск для профилей vNIC руководства администратора.
-
Снижение времени перезагрузки zVirt Node.
-
Добавлена возможность интеграции с системой для централизованного управления безопасностью, событиями и информацией (SIEM) ArcSight.
Для интеграции SIEM - системы ArcSight с zVirt разработан специальный коннектор, преобразующий формат событий zVirt в понятный Arcsight формат CEF. Коннектор устанавливается на стороне ArcSight.
С помощью коннектора SIEM автоматизирует определение приоритетов угроз безопасности и нарушений требования ИБ на основе анализа и корреляции событий ИБ. Система анализирует действия пользователей, доступ к ресурсам, запросы к базе и упрощает выявление инцидентов безопасности.
3. Исправления
-
Удаление устаревших LUN на хостах.
Иногда после удаления LUN из хранилищ могли оставаться остаточные данные multipath и lvm.
Если не производить впоследствии очистку хостов от информации по удаленным LUN, то это может приводить к нестабильной работе системы и переходу хостов в статус Non Responsive.
Реализован инструмент, автоматически очищающий остаточную информацию на хостах
-
Обеспечение корректной интеграции с Termidesk.
При интеграции zVirt с продуктом Termidesk пользователи сталкиваются с проблемами в части:
-
перенаправления папок из АРМ (ПК/ноутбук/тонкий клиент) в ВМ zVirt;
-
проброса видеокамеры в ВМ zVirt;
-
проброса сетевого/USB принтера в ВМ zVirt;
-
проброса смарт-карт (USB-токенов);
-
временного подтормаживания экрана при переключении окон, просмотре видео.
Подготовлен соответствующий пакет для установки на zVirt Node с необходимыми настройками (termidesk_zVirt_hook-0.0.5-zvirt.noarch.rpm).
-
-
Устранена ошибка при восстановлении из бэкапа.
В последней версии терялись данные после восстановления (отображался некорректный список процессоров) из резервной копии.
Соответствующие изменения добавлены в новую версию zVirt.
-
Фильтрация хостов при подключении маршрутизатора.
Отображение только технически пригодных для подключения к физической сети хостов при прикреплении логического маршрутизатора к физической сети предприятия.
-
Улучшение работы с большим количеством маршрутизаторов.
-
Ошибка обработки состояния дисковых устройств.
Исправлена ошибка обработки состояния дисковых устройств, приводящая к неправильному удалению снимков виртуальных машин.
4. Информационная безопасность
-
Профиль безопасности.
Для повышения уровня информационной безопасности были разработаны и добавлены соответствующие конфигурации и настройки.
Настройки касаются следующих аспектов:
-
доступ, аутентификация и авторизация;
-
журналирование и аудит;
-
конфигурация сети;
-
обслуживание системы.
-
-
Поддержка проверки ISO-образа zVirt Node сервисом checkisomd.
Добавлен необходимый модуль в ISO-образ zVirt Node, позволяющий проходить проверку сервисом checkisomd.
-
Устранена уязвимость BDU:2023-04878.
Ранее была выявлена уязвимость метода SetAll() системы межпроцессного взаимодействия, которая связана с недостатками процедуры авторизации. Эксплуатация уязвимости могла позволить нарушителю повысить свои привилегии.
Использование метода исключено в соответствующем компоненте.
-
Устранена уязвимость CVE-2021-4083.
Ошибка чтения после освобождения памяти, связанная с тем, как пользователи одновременно вызывают close() и fget(), что потенциально может вызвать состояние гонки. Этот недостаток позволяет локальному пользователю привести к сбою системы или повысить свои привилегии в системе.
Соответствующие изменения добавлены в новую версию zVirt Node.
-
Устранена уязвимость CVE-2022-0847.
Ошибка с элементом flags структуры буфера канала, который не имел надлежащей инициализации в функциях copy_page_to_iter_pipe и push_pipe и поэтому мог содержать устаревшие значения. Непривилегированный локальный пользователь мог использовать эту уязвимость для повышения привилегий в системе.
Соответствующие изменения добавлены в новую версию zVirt Node.
-
Устранена уязвимость CVE-2022-24302.
В компоненте python-paramiko было обнаружено состояние гонки (между созданием и chmod) в функции write_private_key_file, что могло привести к несанкционированному раскрытию информации.
Было исправлено с помощью
os.open
иos.fdopen
, чтобы гарантировать немедленное открытие новых файлов в правильном режиме (явныйchmod
, чтобы свести к минимуму любые возможные сбои) -
Устранена уязвимость CVE-2022-25315.
Возможность целочисленного переполнения в storeRawNames() из-за логики расширения m_buffer, позволяющей выполнять выделение близкое к INT_MAX и производить запись за пределами границ. Недостаток мог приводить к отказу в обслуживании или потенциальному выполнению произвольного кода.
Обновлен и включен в поставку компонент libexpat, в котором отсутствуют указанные уязвимости.
-
Устранена уязвимость CVE-2022-25236.
Обнаружен недостаток, при котором передача одного или нескольких символов-разделителей пространства имен в значениях атрибута «xmlns[:prefix]» приводила к тому, что expat отправлял неверные имена тегов в процессор XML поверх expat. Проблема могла приводить к выполнению произвольного кода.
Обновлен и включен в поставку компонент libexpat, в котором отсутствуют указанные уязвимости.
-
Устранена уязвимость CVE-2022-25235.
Обнаружен недостаток, при котором передача неверных 2- и 3-байтовых последовательностей UTF-8 в приложение обработки XML поверх expat может привести к выполнению произвольного кода. Проблема связана с тем, как обрабатывается недопустимый UTF-8 внутри процессора XML.
Обновлен и включен в поставку компонент libexpat, в котором отсутствуют указанные уязвимости.
-
Устранена уязвимость CVE-2022-0778.
В OpenSSL обнаружена ошибка. Обнаружен недостаток в OpenSSL, при котором была возможность запустить бесконечный цикл, создав сертификат с недопустимыми параметрами.
Так как анализ сертификата происходит до проверки подписи, любой процесс, который анализирует предоставленный сертификат, может подвергнуться атаке.
Уязвимость устранена.
-
Устранена уязвимость CVE-2021-4028.
Ошибка в реализации кода RDMA-менеджера связи позволяла злоумышленнику с локальным доступом настроить сокет для прослушивания порта с высоким уровнем доступа и использовать это для сбоя системы или повышения привилегий в системе.
Уязвимость устранена.
-
Устранена уязвимость CVE-2022-22950.
В Spring Framework была обнаружена ошибка, которая могла позволить злоумышленнику вызвать отказ в обслуживании.
Обновлен и включен в поставку компонент spring-expression, в котором отсутствуют указанные уязвимости.