CAS云计算管理平台漏洞修复

CAS E0730P11H12 全套漏洞修复升级方案
一、漏洞分类说明（区分两套修复逻辑）
1）2021 年批量 vCenter 高危漏洞（CVE-2021-21985/21986/21991/21992/21993/22008/22009/22011/22012/22013/22014/22015/22017/22019）
全部是底层虚拟化 vCenter 组件漏洞，对应 VMware VMSA-2021-0010，是扫描核心高危项。
2）老旧 SSL/TLS 密码套件漏洞（CVE-2013-2566 RC4、CVE-2015-2808 RC4、CVE-2016-2183 SWEET32、CVE-2016-6329）
属于系统 openssl 弱加密套件，分CAS 管理平台、CVK 虚拟化节点两处修复。
二、必须升级到的目标版本（E0730 分支最终安全补丁）
当前版本：H3C_CAS-E0730P11H12
最低修复基线版本：CAS-E0730P13Hxx（官方整合 vCenter 7.0U2b 及 openssl 安全补丁）
最优推荐版本（一次性修复全部清单漏洞）
CAS-E0730P15H10 / CAS-E0730P16 （E0730 分支最终稳定补丁）
内置 vCenter 组件升级至 7.0 U2b，彻底修复全部 2021 系列 vCenter 高危 CVE；
更新系统 OpenSSL，默认禁用 RC4、3DES 弱加密套件，修复 CVE-2013-2566、CVE-2015-2808、CVE-2016-2183、CVE-2016-6329；
同步修复 CVKCVM 虚拟化节点底层安全组件，主机侧无残留扫描漏洞。
不建议跨大版本（E0730→E0810），跨版本业务改造量大；同分支打 P15/P16 补丁滚动升级，停机窗口短。
三、两种修复路径
路径 1：同分支补丁升级（推荐，生产首选）
先升级CAS 管理节点至 E0730P16；
滚动分批升级所有 CVKCVM 虚拟化节点（每台升级重启，其余主机承载虚拟机，业务几乎无中断）；
升级完成后系统自动禁用弱加密套件，无需额外配置；
验证：扫描不再报清单内全部 CVE。
路径 2：临时缓解（无法立即升级时）
仅针对 SSL 弱加密 4 个漏洞，vCenter 高危漏洞无临时规避手段，必须升级：
CAS 管理端关闭 ssl-server-policy 里 RC4、3DES、Blowfish 套件；
CVK 节点修改系统 openssl.conf，移除 64 位分组 / RC4 加密算法；
缺点：仅解决 4 个老旧加密漏洞，2021 系列 vCenter 远程代码执行漏洞依然存在，高危风险无法消除。
四、关键补充说明
版本逻辑：E0730P11H12 补丁发布早于 VMSA-2021-0010 安全通告，底层 vCenter 未打对应官方补丁，所以批量爆出 2021 年 CVE；P13 及以后补丁同步跟进 VMware 对应修复包。
升级范围：CAS 管理平台 + 全部 CVKCVM 计算节点必须同步升级，只升管理端、主机不升，扫描仍会报主机侧 openssl、虚拟化组件漏洞。
校验依据：升级到 E0730P15 及以上后，安全扫描清单内所有 CVE 全部消除，满足等保 / 漏洞整改验收要求。
极简总结
当前 E0730P11H12 存在两类漏洞：vCenter 高危执行漏洞、OpenSSL 弱加密漏洞；
同分支直接升级至 CAS-E0730P15H10 / CAS-E0730P16 可一次性修复全部清单 CVE；
管理节点 + 所有 CVK 主机必须同步滚动升级；仅临时关闭加密套件只能缓解 4 个老旧 SSL 漏洞，无法解决 2021 系列高危 vCenter 漏洞。

1. 核心修复建议：全面升级系统版本

• CVE-2015-2808 等底层协议漏洞：该漏洞的本质是 TLS 1.0 协议的设计缺陷，导致 RC4 易受攻击。仅升级协议版本或修改配置无法彻底解决，必须通过固件/系统升级来支持更安全的 TLS 版本（如 TLS 1.2）并移除旧有加密套件。
• CVE-2021 系列漏洞：这些通常是 VMware 等底层虚拟化组件的已知漏洞，H3C CAS 的后续版本中已经集成了相关的安全补丁。

2. 升级前关键准备工作

• 备份配置：升级前必须对当前系统的配置文件进行完整备份，以防升级失败时能够快速回滚。
• 查阅官方发布说明（Release Notes）：在 H3C 官网下载新版本时，务必仔细阅读该版本的“发布说明”或“漏洞修复清单”，确认其明确包含了您所列出的 CVE 修复项。
• 确认兼容性：检查新版本所需的存储空间、License 要求以及与现有业务环境的兼容性。

3. 升级操作注意事项

• 选择业务低峰期：重大升级可能会导致业务短暂中断，建议在凌晨或业务低峰期进行操作。
• 获取官方支持包：前往 H3C 官方网站的“服务支持”或“软件下载”专区，搜索 H3C CAS 平台，下载最新的完整升级包（IPE 格式）或对应的 CVE 安全补丁包。
• 集群同步：如果您的 CAS 是集群部署，在主节点升级完成后，需确保从节点能够自动同步主版本，保持集群版本一致。