SDLab

SDLab
SDLab.org::Adminな脳み

2017年12月7日木曜日

XenServer7.1 のパッチリスト

2017/12/7 時点

Recommended Hotfixes for XenServer 7.x
https://support.citrix.com/article/CTX225835

XS6.xは下記
http://support.citrix.com/article/CTX138115
ここを見ておけばよい


適用
  • Hotfix XS71E001 - For XenServer 7.1
  • Hotfix XS71E009 - For XenServer 7.1
  • Hotfix XS71E010 - For XenServer 7.1
  • Hotfix XS71E014 - For XenServer 7.1
  • Hotfix XS71E018 - For XenServer 7.1
  • Hotfix XS71E019 - For XenServer 7.1
XS71E018とXS71E019は同じSecurityFix。

Hotfix XS71E001 - For XenServer 7.1
https://support.citrix.com/article/CTX222368
お決まりのXenCenterの更新

Hotfix XS71E003 - For XenServer 7.1
BugFix
XS71へアップグレード後、NFSをSRに新規またはアタッチに失敗する
XS71E010に含まれる

Hotfix XS71E005 - For XenServer 7.1
https://support.citrix.com/article/CTX221590
セキュリティFIX
CVE-2016-9603 (High): QEMU: Cirrus VGA Heap overflow via display refresh
HVMがなければ影響なし
※XS7.1ではWindowsはHVMとして考える。

Hotfix XS71E004 - For XenServer 7.1
https://support.citrix.com/article/CTX222843
BugFIX
・Bondingの不具合修正
・GPUアパチャーサイズを小さく指定しすぎたときにXAPIがエラーになる件の修正

Hotfix XS71E006 - For XenServer 7.1
https://support.citrix.com/article/CTX222424
セキュリティFIX
CVE-2017-7228 (High): x86: broken check in memory_exchange() permits PV guest breakout
CVE-TBA (Low): memory leak when destroying guest without PT devices
CVE-2016-10013 (Low): x86: Mishandling of SYSCALL singlestep during emulation
XS71E007に含まれる。

Hotfix XS71E007 - For XenServer 7.1
https://support.citrix.com/article/CTX223290
BugFix
・UEFIの不具合修正。(稀にUEFIのVMのRebootが失敗する)
・8vCPU以上のVMでDirect Inspect APIが有効の場合、起動に失敗する
XS71E008に含まれる。

Hotfix XS71E008 - For XenServer 7.1
https://support.citrix.com/article/CTX223858
BugFix
Linux Kernel 4.10以降でVMの起動に失敗する。
多分、Booting SMP configurationの件。
XS71E011に含まれる。

Hotfix XS71E009 - For XenServer 7.1
https://support.citrix.com/article/CTX225676
BugFix

・XenServerの不具合修正。適用推奨


Hotfix XS71E010 - For XenServer 7.1
https://support.citrix.com/article/CTX224899
BugFix
LVM over iSCSI環境下の修正とiSCSI接続不具合修正。

Hotfix XS71E011 - For XenServer 7.1
https://support.citrix.com/article/CTX224691
SecurityFix
VMが乗っ取られると他にも悪さできちゃう系のセキュリティFIX
XS71E012とペア。011がXenの更新。

Hotfix XS71E012 - For XenServer 7.1
https://support.citrix.com/article/CTX224697
SecurityFix
VMが乗っ取られると他にも悪さできちゃう系のセキュリティFIX
XS71E011とペア。012がKernelの更新。

Hotfix XS71E013 - For XenServer 7.1
https://support.citrix.com/article/CTX226298
BugFix(Hardware Erratum)
Intel CPU HaswellとBroadwellの不具合対応。

Hotfix XS71E014 - For XenServer 7.1
https://support.citrix.com/article/CTX226299
BugFix
一時に超たくさんのVMを同時に起動するとKernelがSoftlockupになる不具合修正

Hotfix XS71E015 - For XenServer 7.1
https://support.citrix.com/article/CTX227234
SecurityFix
・NUMA(Non-Uniform Memory Access)コードパラメタ検証漏れ
・悪意あるPVが、ハイパバイザをクラッシュできる系の修正

Hotfix XS71E016 - For XenServer 7.1
https://support.citrix.com/article/CTX228720
SecurityFix
・PVベースVM無し、PCIパススルー利用無し、HAP(Hardware Assisted Paging)をサポートしているハードウェアを利用している であれば、リスクは少ないらしい。

Hotfix XS71E017 - For XenServer 7.1
https://support.citrix.com/article/CTX229065
SecurityFix
・悪意あるVMが、ハイパバイザをクラッシュ/DoSできる系の修正

Hotfix XS71E018 - For XenServer 7.1
https://support.citrix.com/article/CTX229545
SecurityFix
・XS71E019と同じ内容(xen-device-modelの修正)
・HVMのみ対象
・悪意あるHVMが、ハイパバイザをクラッシュ/DoSできる系の修正
・shadowページとかPoD(Populate on Demand)とかの修正
・Cirrus LogicのEmuの修正(kvm?)

Hotfix XS71E019 - For XenServer 7.1
https://support.citrix.com/article/CTX230159
SecurityFix
・XS71E018と同じ内容(xen-hypervisorの修正)

2017年11月15日水曜日

XenServer7.1 のベースディストリビューション

今まではこれで行けてたけど、隠されちゃった。

[root@dxym etc]# rpm -qif /etc/redhat-release
Name        : xenserver-release
Version     : 7.1.0
Release     : 1
Architecture: x86_64
Install Date: Mon 13 Nov 2017 03:50:30 PM JST
Group       : System Environment/Base
Size        : 10877
License     : GPLv2
Signature   : RSA/SHA1, Fri 17 Feb 2017 04:58:03 AM JST, Key ID 8e9fbab01c98b82a
Source RPM  : xenserver-release-7.1.0-1.src.rpm
Build Date  : Thu 16 Feb 2017 10:20:20 PM JST
Build Host  : 519e6dbb346d
Relocations : (not relocatable)
Summary     : XenServer release file
Description :
XenServer release files

まぁ、でも全部隠せるわけないので、適用に実行。

[root@dxym ssh]# rpm -qif /etc/ssh/ssh_config
Name        : openssh-clients
Version     : 6.6.1p1
Release     : 25.el7_2
Architecture: x86_64
Install Date: Mon 13 Nov 2017 03:56:12 PM JST
Group       : Applications/Internet
Size        : 2298871
License     : BSD
Signature   : RSA/SHA1, Fri 17 Feb 2017 04:54:19 AM JST, Key ID 8e9fbab01c98b82a
Source RPM  : openssh-6.6.1p1-25.el7_2.src.rpm
Build Date  : Tue 22 Mar 2016 07:18:48 AM JST
Build Host  : worker1.bsys.centos.org
Relocations : (not relocatable)
Packager    : CentOS BuildSystem <http://bugs.centos.org>
Vendor      : CentOS
URL         : http://www.openssh.com/portable.html

予想通り、CentOS7.2 でした。

2017年5月10日水曜日

Windowsのコンソール接続

[Xen-announce] Announcing the Windows PV Console Driver
https://lists.xen.org/archives/html/xen-announce/2017-05/msg00003.html

XENCONSでWindowsのShellに接続可能になった模様。

The XENCONS package also contains a Windows service to monitor the presence of
the PV console device and invoke a command shell login process with redirected
stdin/stdout. This means that, once the driver package has been installed, if
you attach to the PV console and hit ENTER you’ll see a prompt something like
this:
DESKTOP-KVEHAKT login:
From this prompt you can log in as any local user and you’ll then be presented
with the command shell:
DESKTOP-KVEHAKT login: User
Password:
Microsoft Windows [Version 10.0.15063]
(c) 2017 Microsoft Corporation. All rights reserved.
C:\Users\User>

2017年4月13日木曜日

XenServer7.1 updateコマンド

xe patch コマンドは廃止されてます。
もし使うとPatchのUUIDが正しく表示されないなど問題が発生します。
xe update コマンドを使いましょう。

[root@SDL ~]#  xe update-list  name-label=XS71E001 --minimal
fc438a32-0214-4193-8676-9feb121c6997

[root@SDL ~]#  xe patch-list  name-label=XS71E001 --minimal
fc438a32-0000-0000-8676-9feb121c6997


基本コマンド

アップロード(POOLで1回実施すればよい)

xe update-upload file-name=XS71E001.iso sr-uuid=SRのUUID
一時アップロード用のSRを指定する必要がある。
Master機のLocal SRとかでいいと思う。

プレチェック(ホストごとに実施)

xe update-precheck hostname=ホスト名 uuid=PATCHのUUID
PATCHのUUIDはUPLOADしたときに表示される。
xe update-listでも表示できる
hostname以外にも、host=でHOSTのUUIDも利用できる

適用(ホストごとに実施)

xe update-apply hostname=ホスト名 uuid=PATCHのUUID
PATCHのUUIDはUPLOADしたときに表示される。
xe update-listでも表示できる
hostname以外にも、host=でHOSTのUUIDも利用できる

確認

xe update-list 
または
xe update-list uuid=PATCHのUUID
で対象パッチだけ表示
xe update-list hosts=HOSTのUUID
でHOSTに適用されているPATCH情報が表示できる