esxupdate

[arjanhs]

Hieronder vindt je een stappenplan voor het gebruik van esxupdate met als patchdepot een http server.

Mocht je gebruik maken van DRS of wil je zeker weten dat er geen VMs worden gestart op de ESX3 host die je wilt gaan bijwerken, zet dan de ESX3 host in maintenance mode. Dit kun je via de VI3 client doen door op de desbetreffende host te klikken en dan op Enter Maintenance Mode.



Nadat de ESX3 host in maintenance mode is gezet log je in op het service console.

Het kan voorkomen dat je geen verbinding kunt maken met de http server. Dit komt door de nieuwe firewall in ESX3. De httpClient kun je open zetten door het onderstaande commando uit te voeren.
esxcfg-firewall -o 80,tcp,out,httpClient

Vervolgens zoek je het patchnummer op. Deze heb je nodig in het esxupdate commando.

In deze tutorial gaan we Patch ESX-9986131 installeren.

Je kunt de patchdepot testen door eerst het commando uit te voeren met de info optie. Deze optie queried de patchdepot en laat info zien over de te installeren patch.

Voer het volgende commando uit:
esxupdate -r http://patchserver/esx3/patch/ESX-9986131/ info

Als alles goed werkt krijg je onderstaande informatie te zien:

info
Product : VMware ESX Server
Vendor : VMware, Inc. (support@vmware.com)
Release: : ESX-9986131
Release Date : Tue Dec 5 11:42:23 PST 2006
Summary : Updated openssh, python, and openssl
Description :
This patch bundle updates multiple packages: CVE-2006-4924 sshd in OpenSSH before 4.4, when using the version 1 SSH protocol, allows remote attackers to cause a denial of service (CPU consumption) via an SSH packet that contains duplicate blocks, which is not properly handled by the CRC compensation attack detector; CVE-2006-5051 Signal handler race condition in OpenSSH before 4.4 allows remote attackers to cause a denial of service (crash), and possibly execute arbitrary code if GSSAPI authentication is enabled, via unspecified vectors that lead to a double-free; CVE-2006-5794 Unspecified vulnerability in the sshd Privilege Separation Monitor in OpenSSH before 4.5 causes weaker verification that authentication has been successful, which might allow attackers to bypass authentication. NOTE: as of 20061108, it is believed that this issue is only exploitable by leveraging vulnerabilities in the unprivileged process, which are not known to exist; CVE-2006-4980 Buffer overflow in the repr function in Python 2.3 through 2.6 before 20060822 allows context-dependent attackers to cause a denial of service and possibly execute arbitrary code via crafted wide character UTF-32/UCS-4 strings to certain scripts; CVE-2006-2940 OpenSSL 0.9.7 before 0.9.7l, 0.9.8 before 0.9.8d, and earlier versions allows attackers to cause a denial of service (CPU consumption) via parasitic public keys with large (1) "public exponent" or (2) "public modulus" values in X.509 certificates that require extra time to process when using RSA signature verification; CVE-2006-4343 The get_server_hello function in the SSLv2 client code in OpenSSL 0.9.7 before 0.9.7l, 0.9.8 before 0.9.8d, and earlier versions allows remote servers to cause a denial of service (client crash) via unknown vectors that trigger a null pointer dereference.
Upgrade paths : 3.0.1-32039
Repository URL: http://patchserver/esx3/patch/ESX-9986131/

For a detailed list of rpms, use the -l/–listrpms option.

Mocht de bovenstaande commando goed gaan, dan kun je via het volgende commando de patch installeren:
esxupdate -r http://patchserver/esx3/patch/ESX-9986131/ update

De Patch wordt geïnstalleerd.

Na afloop van de installatie zie je onderstaande tekst

INFO: | Transaction(s) Complete
INFO: Shutting down hostd...
INFO: Running esxcfg-boot to regenerate initrds...
INFO: Restarting hostd...
INFO: — TOTALS: 5 packages installed, 0 pending or failed, 0 excluded —
INFO: Install succeeded - please standby for reboot.
INFO: Rebooting in 5 seconds...

Broadcast message from root (pts/0) (Sun Dec 31 01:49:57 2006):

The system is going down for reboot NOW!

De ESX3 host wordt na de update gelijk opnnieuw opgestart.

esxupdate houd een logfile bij, deze kun je hier vinden
/var/log/vmware/esxupdate.log

Meer info over de esxupdate tool kun je vinden in de onderstaande pdf:
esx3_esxupdate.pdf

bron: http://www.vmware.com/pdf/esx3_esxupdate.pdf / ICT Freak