SDLab

SDLab
SDLab.org::Adminな脳み

2017年11月15日水曜日

XenServer7.1 のベースディストリビューション

今まではこれで行けてたけど、隠されちゃった。

[root@dxym etc]# rpm -qif /etc/redhat-release
Name        : xenserver-release
Version     : 7.1.0
Release     : 1
Architecture: x86_64
Install Date: Mon 13 Nov 2017 03:50:30 PM JST
Group       : System Environment/Base
Size        : 10877
License     : GPLv2
Signature   : RSA/SHA1, Fri 17 Feb 2017 04:58:03 AM JST, Key ID 8e9fbab01c98b82a
Source RPM  : xenserver-release-7.1.0-1.src.rpm
Build Date  : Thu 16 Feb 2017 10:20:20 PM JST
Build Host  : 519e6dbb346d
Relocations : (not relocatable)
Summary     : XenServer release file
Description :
XenServer release files

まぁ、でも全部隠せるわけないので、適用に実行。

[root@dxym ssh]# rpm -qif /etc/ssh/ssh_config
Name        : openssh-clients
Version     : 6.6.1p1
Release     : 25.el7_2
Architecture: x86_64
Install Date: Mon 13 Nov 2017 03:56:12 PM JST
Group       : Applications/Internet
Size        : 2298871
License     : BSD
Signature   : RSA/SHA1, Fri 17 Feb 2017 04:54:19 AM JST, Key ID 8e9fbab01c98b82a
Source RPM  : openssh-6.6.1p1-25.el7_2.src.rpm
Build Date  : Tue 22 Mar 2016 07:18:48 AM JST
Build Host  : worker1.bsys.centos.org
Relocations : (not relocatable)
Packager    : CentOS BuildSystem <http://bugs.centos.org>
Vendor      : CentOS
URL         : http://www.openssh.com/portable.html

予想通り、CentOS7.2 でした。

2017年7月6日木曜日

XenServer7.1 のパッチリスト

2017/7/6 時点

Recommended Hotfixes for XenServer
http://support.citrix.com/article/CTX138115
ここを見ておけばよい


適用
  • Hotfix XS71E001 - For XenServer 7.1
  • Hotfix XS71E003 - For XenServer 7.1
  • Hotfix XS71E005 - For XenServer 7.1
  • Hotfix XS71E004 - For XenServer 7.1
  • Hotfix XS71E010 - For XenServer 7.1
  • Hotfix XS71E011 - For XenServer 7.1
  • Hotfix XS71E012 - For XenServer 7.1
XS71E011とXS71E012は同じSecurityFix。011がXenの更新で、012がKernelの更新。



Hotfix XS71E001 - For XenServer 7.1
https://support.citrix.com/article/CTX222368
お決まりのXenCenterの更新

Hotfix XS71E003 - For XenServer 7.1
BugFix
XS71へアップグレード後、NFSをSRに新規またはアタッチに失敗する
XS71E010に含まれる

(順番注意)
Hotfix XS71E005 - For XenServer 7.1
https://support.citrix.com/article/CTX221590
セキュリティFIX
CVE-2016-9603 (High): QEMU: Cirrus VGA Heap overflow via display refresh
HVMがなければ影響なし
※XS7.1ではWindowsはHVMとして考える。

(順番注意)
Hotfix XS71E004 - For XenServer 7.1
https://support.citrix.com/article/CTX222843
BugFIX
・Bondingの不具合修正
・GPUアパチャーサイズを小さく指定しすぎたときにXAPIがエラーになる件の修正

Hotfix XS71E006 - For XenServer 7.1
https://support.citrix.com/article/CTX222424
セキュリティFIX
CVE-2017-7228 (High): x86: broken check in memory_exchange() permits PV guest breakout
CVE-TBA (Low): memory leak when destroying guest without PT devices
CVE-2016-10013 (Low): x86: Mishandling of SYSCALL singlestep during emulation
XS71E007に含まれる。

Hotfix XS71E007 - For XenServer 7.1
https://support.citrix.com/article/CTX223290
BugFix
・UEFIの不具合修正。(稀にUEFIのVMのRebootが失敗する)
・8vCPU以上のVMでDirect Inspect APIが有効の場合、起動に失敗する
XS71E008に含まれる。

Hotfix XS71E008 - For XenServer 7.1
https://support.citrix.com/article/CTX223858
BugFix
Linux Kernel 4.10以降でVMの起動に失敗する。
多分、Booting SMP configurationの件。
XS71E011に含まれる。

Hotfix XS71E010 - For XenServer 7.1
https://support.citrix.com/article/CTX224899
BugFix
LVM over iSCSI環境下の修正とiSCSI接続不具合修正。

Hotfix XS71E011 - For XenServer 7.1
https://support.citrix.com/article/CTX224691
SecurityFix
VMが乗っ取られると他にも悪さできちゃう系のセキュリティFIX
XS71E012とペア。011がXenの更新。

Hotfix XS71E012 - For XenServer 7.1
https://support.citrix.com/article/CTX224697
SecurityFix
VMが乗っ取られると他にも悪さできちゃう系のセキュリティFIX
XS71E011とペア。012がKernelの更新。

2017年5月10日水曜日

Windowsのコンソール接続

[Xen-announce] Announcing the Windows PV Console Driver
https://lists.xen.org/archives/html/xen-announce/2017-05/msg00003.html

XENCONSでWindowsのShellに接続可能になった模様。

The XENCONS package also contains a Windows service to monitor the presence of
the PV console device and invoke a command shell login process with redirected
stdin/stdout. This means that, once the driver package has been installed, if
you attach to the PV console and hit ENTER you’ll see a prompt something like
this:
DESKTOP-KVEHAKT login:
From this prompt you can log in as any local user and you’ll then be presented
with the command shell:
DESKTOP-KVEHAKT login: User
Password:
Microsoft Windows [Version 10.0.15063]
(c) 2017 Microsoft Corporation. All rights reserved.
C:\Users\User>

2017年4月13日木曜日

XenServer7.1 updateコマンド

xe patch コマンドは廃止されてます。
もし使うとPatchのUUIDが正しく表示されないなど問題が発生します。
xe update コマンドを使いましょう。

[root@SDL ~]#  xe update-list  name-label=XS71E001 --minimal
fc438a32-0214-4193-8676-9feb121c6997

[root@SDL ~]#  xe patch-list  name-label=XS71E001 --minimal
fc438a32-0000-0000-8676-9feb121c6997


基本コマンド

アップロード(POOLで1回実施すればよい)

xe update-upload file-name=XS71E001.iso sr-uuid=SRのUUID
一時アップロード用のSRを指定する必要がある。
Master機のLocal SRとかでいいと思う。

プレチェック(ホストごとに実施)

xe update-precheck hostname=ホスト名 uuid=PATCHのUUID
PATCHのUUIDはUPLOADしたときに表示される。
xe update-listでも表示できる
hostname以外にも、host=でHOSTのUUIDも利用できる

適用(ホストごとに実施)

xe update-apply hostname=ホスト名 uuid=PATCHのUUID
PATCHのUUIDはUPLOADしたときに表示される。
xe update-listでも表示できる
hostname以外にも、host=でHOSTのUUIDも利用できる

確認

xe update-list 
または
xe update-list uuid=PATCHのUUID
で対象パッチだけ表示
xe update-list hosts=HOSTのUUID
でHOSTに適用されているPATCH情報が表示できる


2016年7月27日水曜日

New Windows PV Drivers


新しいWindows PVドライバがリリースされました。

Windows PV Drivers
http://www.xenproject.org/developers/teams/windows-pv-drivers.html

しかもちゃんとReleased Sign。

みんなが待ち望んでいたので、MLでは賞賛の嵐です。Thank you Paul!

プレゼンの説明
http://wiki.xenproject.org/wiki/Windows_PV_Drivers_Presentation


2016年2月24日水曜日

XenServer6.5 SP1 のセキュリティFIX情報のまとめ (2016年2月24日時点)

XenServer6.5SP1 Xen関連のセキュリティFIX一覧

最新は一番下のXS65ESP1023。
最新を適用すれば、すべての修正が含まれます。※セキュリティ関連のPatchのみです。


CTX142482 - Hotfix XS65E009 - For XenServer 6.5.0
https://support.citrix.com/article/CTX201078
CVE-2015-3456: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-3456  * VENOM対応

CTX142537 - Hotfix XS65E010 - For XenServer 6.5.0
http://support.citrix.com/article/CTX201145
CVE-2015-4106 (Medium): Unmediated PCI register access in qemu.
CVE-2015-4163 (Medium): GNTTABOP_swap_grant_ref operation misbehavior.
CVE-2015-4164 (Medium): vulnerability in the iret hypercall handler
CVE-2015-2756 (Low): Unmediated PCI command register access in qemu
CVE-2015-4103 (Low): Potential unintended writes to host MSI message data field via qemu.
CVE-2015-4104 (Low): PCI MSI mask bits inadvertently exposed to guests.
CVE-2015-4105 (Low): Guest triggerable qemu MSI-X pass-through error messages

CTX201636 - Hotfix XS65E013 - For XenServer 6.5.0
http://support.citrix.com/article/CTX201636
CVE-2015-5154: QEMU heap overflow flaw while processing certain ATAPI commands (HVM)

CTX201740 - Hotfix XS65E014 - For XenServer 6.5.0
http://support.citrix.com/article/CTX201740
CVE-2015-5165: QEMU leak of uninitialized heap memory in rtl8139 device model (HVM)

CTX202438 - Hotfix XS65E015 - For XenServer 6.5.0
http://support.citrix.com/article/CTX202438
CVE-2015-7835 (High): Uncontrolled creation of large page mappings by PV guests
CVE-2015-7969 (Low): Leak of main per-domain vcpu pointer array/Leak of per-domain profiling-related vcpu pointer array
CVE-2015-7970 (Medium): Host crash when migrating a PoD VM
CVE-2015-7971 (Low): Some pmu and profiling hypercalls log without rate limiting
CVE-2015-7972 (Low): Populate-on-demand balloon size inaccuracy can crash guests

CTX202618 - Hotfix XS65E017 - For XenServer 6.5.0
http://support.citrix.com/article/CTX202618
CVE-2015-5307/CVE-2015-8104 (Medium): CPU lockup during fault delivery (HVM)

CTX142483 - Hotfix XS65ESP1002 - For XenServer 6.5.0 Service Pack 1
http://support.citrix.com/article/CTX142483
CVE-2015-3456: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-3456 *VENOM

CTX142538 - Hotfix XS65ESP1004 - For XenServer 6.5.0 Service Pack 1
http://support.citrix.com/article/CTX142538
CVE-2015-4106 (Medium): Unmediated PCI register access in qemu.
CVE-2015-4163 (Medium): GNTTABOP_swap_grant_ref operation misbehavior.
CVE-2015-4164 (Medium): vulnerability in the iret hypercall handler
CVE-2015-2756 (Low): Unmediated PCI command register access in qemu
CVE-2015-4103 (Low): Potential unintended writes to host MSI message data field via qemu.
CVE-2015-4104 (Low): PCI MSI mask bits inadvertently exposed to guests.
CVE-2015-4105 (Low): Guest triggerable qemu MSI-X pass-through error messages

CTX201637 - Hotfix XS65ESP1008 - For XenServer 6.5.0 Service Pack 1
http://support.citrix.com/article/CTX201637
CVE-2015-5154: QEMU heap overflow flaw while processing certain ATAPI commands (HVM)

CTX201741 - Hotfix XS65ESP1009 - For XenServer 6.5.0 Service Pack 1
http://support.citrix.com/article/CTX201741
CVE-2015-5165: QEMU leak of uninitialized heap memory in rtl8139 device model (HVM)

CTX202074 - Hotfix XS65ESP1011 - For XenServer 6.5.0 Service Pack 1
http://support.citrix.com/article/CTX202074
*HOTFIX
*Windows DHCP server利用時の不具合修正
* GPU Pass-through か vGPU を含むPCI Pass-throughを利用した場合、ホストがクラッシュする(Intel-based serversのみ)
* HVM VMで、XenStore RINGのhvmloaderメッセージを重複させるとHVM VMがクラッシュする

CTX202439 - Hotfix XS65ESP1014 - For XenServer 6.5.0 Service Pack 1
http://support.citrix.com/article/CTX202439
CVE-2015-7835 (High): Uncontrolled creation of large page mappings by PV guests
CVE-2015-7969 (Low): Leak of main per-domain vcpu pointer array/Leak of per-domain profiling-related vcpu pointer array
CVE-2015-7970 (Medium): Host crash when migrating a PoD VM
CVE-2015-7971 (Low): Some pmu and profiling hypercalls log without rate limiting
CVE-2015-7972 (Low): Populate-on-demand balloon size inaccuracy can crash guests

CTX202619 - Hotfix XS65ESP1016 - For XenServer 6.5.0 Service Pack 1
http://support.citrix.com/article/CTX202619
CVE-2015-5307/CVE-2015-8104 (Medium): CPU lockup during fault delivery (HVM)

CTX203494 - Hotfix XS65ESP1019 - For XenServer 6.5.0 Service Pack 1
http://support.citrix.com/article/CTX203494
CVE-2015-8339/CVE-2015-8340 (Medium): Memory exchange hypercall error handling

CTX204047 - Hotfix XS65ESP1020 - For XenServer 6.5.0 Service Pack 1
http://support.citrix.com/article/CTX204047
CVE-2015-8554 (Medium): QEMU-dm buffer overrun in MSI-X handling
CVE-2015-8104 (Low): Guest crash during exception delivery
CVE-2015-8555 (High): Information leak in legacy x86 FPU/XMM initialization

CTX205355 - Hotfix XS65ESP1023 - For XenServer 6.5.0 Service Pack 1
http://support.citrix.com/article/CTX205355
CVE-2016-1571 (Medium): VMX: intercept issue with INVLPG on non-canonical address

2015年11月5日木曜日

XenServer Dundee Beta 1 Available

XenServer Dundee Beta 1 Available
http://xenserver.org/blog/entry/xenserver-dundee-beta-1-available.html


いまさらながらにDUNDEEの確認。



  • CentOS7ベースに。
  • XapiをCgroups制御から分離。
  • RBAC(ロールベースアクセスコントロール)がPowerBroker Openに変更
    • http://www.powerbrokeropen.org/
  • DOM0の狭小のDiskスペースが、18GBに。
  • FCoE(Fiber Channel over Ethernet)やNFSv4 サポート。
  • UEFI BOOT対応。
  • AUTOMATIC HEALTH CHECK
    • 自動的にServerStatusReportをTaaS(自動でログを解析してくれるCitrixのサイト)にアップしてくれる
  • パッチマネージメント
    • Citrixに接続しに行ってパッチを探してくれるって。しかもインストールが完了したパッチは、自動的にClean-upしてくれるって。便利。