VmWare ESXi 6.7 U1 EP05 更新卡關之Operation Not Permitted

如果是圈內人的話，那我想ESXi 是什麼我就不介紹了。因為會找到這篇的，恐怕也都對ESXi也有一定的熟悉度才會來到此處。

先大概講一下EP : Express Patch:

相較於 Ux: Update x (e.g. Update 1-U1/Update 2-U2...)像是一個作業系統的Service Pack，EP像是普通時的小元件更新，更新的東西通常不多，但也不代表不重要。由於EP釋放的速度遠比Update快非常多(通常兩個月)，如果對於資安要求相當嚴格的區域，EP是十分重要的，如EP05修補了CVE-2018-6981與 CVE-2018-6982。而對於系統管理者而言，EP也可以小幅度的修復一些奇怪的問題，以EP05來說，修復了PR 2228095 (部分SATA 磁碟與控制器可能會出現效能低落的情況)、PR 2141221 (vmWare 災難復原軟體可能會在複製虛擬機器時會導致錯誤)等等。

而對於台灣的GSN/TANet 來說，算是資安的高風險區，且在ESXi Version Tracker網站上也點明了EP05的急迫性為Critical。

如果懶得看原文的朋友，簡介一下這兩個CVE大概的影響:

CVE-2018-6981與CVE-2018-6982 到底影響了ESXi什麼 ?:

CVE-2018-6981: VNXNet 3 (vmWare新型的虛擬網路卡)程式中錯誤的讓客戶端作業系統(或虛擬機器)能存取還沒初始化的堆疊記憶體區塊，進而讓客戶端能夠對主機端(Host)執行指令。
CVE-2018-6982: 虛擬網路卡程式中還沒初始化的記憶體區塊可能會洩漏主機(Host)之部分資訊
基本上就是Virtual Machine Escape。
想看實際的例子請見: https://twitter.com/ChaitinTech/status/1057526019127676929
而如果想親自來玩點更危險的: https://github.com/my4andle/vmxnet3Hunter

Alright，那怎麼更新呢 ?

依照Paul Baren說的就是暫停所有虛擬機器、開維護模式、開ssh 然後執行幾個指令:
# esxcli network firewall ruleset set -e true -r httpClient (先開啟http可向外存取網路)
# esxcli software profile update -p ESXi-6.7.0-20181104001-standard -d https://hostupdate.vmware.com/software/VUM/PRODUCTION/main/vmw-depot-index.xml (選擇要更新的目標 ESXi-6.7.0-20181104001-standard，而到底有哪些更新可以更新，請看這裡[url] *1)
# esxcli network firewall ruleset set -e false httpClient (完成更新後關閉http可向外存取網路，可做可不做)

完成後關維護模式、關ssh、啟動所有虛擬機器，Good。

結果:

連磁碟掛載都會錯誤 ??
原本以為是虛擬機器沒有關還是什麼東西占用到，重新檢查虛擬機器確定關閉完成、開維護
還是一樣....

只好把log全部抓出來看
/var/log/vmkernel.log 裡面有幾行引起了我的注意:

/var/log/esxupdate.log:

很多人會覺得奇怪的事情是: 我是root權限，哪裡來的Operation Not Permitted ? 應該是說身為Hypervisor 作業系統本身的目的是再於穩定的執行虛擬機器，vmWare透過Policy 禁止了很多行為: 像是連寫的script shell 執行都沒有辦法、除了esxcli能夠變更系統設定之外，無法私自更改任何/etc下的設定檔案… 所以看到這樣，除了拔硬碟刻意更改Policy不然無解。

上了Reddit，Stackoverflow 還是各種無解....

這個問題折騰了我將近兩個月，只能把問題轉個彎想:

如果我不能更新Profile，那我總可以只要更新vib 吧(因為Profile 都是大大小小的vib更新組成的) ?
於是:
# esxcli software vib update -d=https://hostupdate.vmware.com/software/VUM/PRODUCTION/main/vmw-depot-index.xml


看到這個畫面，雖然是Installation Complete… 但我的心裡想的是: 完蛋了，移除了這麼多東西，不過仔細看這些軟體的話，可以注意到是舊版的軟體被移除。但重新開機之後會是如何呢 ? 重裝 ?

更新成功了! 而且還更新到了最新的EP06版本
這是我第一次覺得我的手這麼冰，汗這麼多…

Anyway… 因為這是I(唉)T(踢)部門，出Trouble就準備唉踢吧… 唉。

參考資料:

[1]: VMware ESXi 6.7, Patch Release ESXi670-21811001
[2]: CVE-2018-6981
[3]: CVE-2018-6982
[4]: Chaitin Tech - GeekPwn 2018
[5]: VMWare ESXi Successful VM Escape at GeekPwn2018 Security Patch
[6]: VMWare Virtual Machine Escape Vulnerabilities CVE-2018-6981/6982 Threat Alert
[7]: my4andle/vmxnet3Hunter
[8]: TinkerTry IT@home - How to update any VMware ESXi Hypervisor to the latest using ESXCLI for easy download and install
[9]: VMware ESXi Patch Tracker
[10]: VMware ESXi Release and Build Number History
[11]: Unable to update ESXi 6.7U1 to ESXi-6.7.0-20181104001
[12]: ESXi (Standalone) Update Failed