今回は、
「Workspace ONE Accessの脆弱性。。。再び(二度?)」
というタイトルでお送りします。
今回の話題、、、は、これ6月頭、、(公開自体は5/30?)に公開された
今回もソースは、VMware社様のSecurity Advisory (VMSA)です。。。
(※CVE-2023-20884)
『いつも見ていて思うのですが、以前書いた通り攻撃方法であったり、
アクセス可能経路....によって重大度は変わるのですよ。』
うーん、、、(また、)WS1Accessですよ。。。
今回は前回と違って、
前回バージョンアップしたくないの影響が分からないから
メジャーバージョンアップは回避...
したのを今回は、最新の22.09.1.0にバージョンアップした上で
パッチ適用しないといけない様ですね。
今回も自分のユーザ様に関係ある話、、、だったので
脆弱性の情報提供だけでなくて、対応した話まで纏めておきたい、、、
と思い、若干時間が掛かってのお話です。(言い訳(再び...笑 )
昨年(2022年の12月)、脆弱性対応のために
パッチ適用の対応を行ったのですが、
この時は、パッチ適用だけでお茶を濁し対応しました。
さて、、今回(CVE-2023-20884)の対応ですが、、、
現在運用していた21.08.01含め、最新版以外のバージョンに
おいてはパッチが提供されず、最新版にアップデートが必須です。
通常、WS1Accessは複数台でクラスタを構成していると思いますので、
以下の手順で進める必要があります。
(まずはクラスタのバージョンアップ手順)
一台だけをLoad Balancer配下に残し、残したノード一台をバージョンアップします。
その後は、外したノードを1台ずつバージョンアップし、
Load Blancer配下に戻します。
その上で、前回と同様にパッチ適用、、、。
一台ずつクラスタから外してあげて、
パッチ適用して組み込む。そして動作確認。
というのを繰り返すだけです。
「ということで、
パッチ適用については、今回全台問題なく「予定通り」完了となりました。」
となるはずでしたが、(↑前回の引用)、、
そもそものバージョンアップ対応時に、
オンラインバージョンアップが失敗してしまい、、、
翌週(6/18)に持ち越しとなってしまったのです...
原因としては、Accessのノードに設定されている
プロキシの問題の様なのですが、、、
GUIで設定してCLIで設定値を確認しても設定としては入っている…
という状態で、、、調査に時間を掛けて月末に掛かって
運用影響与えるよりもオフラインアップデートを実施する方向としました。。。
※次回はオンラインアップデート、オフラインアップデートのコマンドも含めて書ければ…とは考えています。
ご参考まで。