VMware ESXi 7.0 – Comment installer les mises à jour de sécurité ?

I. Présentation

Dans ce tutoriel, nous allons voir comment installer un patch de sécurité sur un serveur VMware ESXi 7.0 (même si cette procédure s’applique aux autres versions). Une action importante compte tenu des campagnes d’attaques à répétition qui ciblent les serveurs VMware ESXi, notamment ceux exposés sur Internet. Ces serveurs ne sont pas rares car de nombreux serveurs dédiés hébergés dans le Cloud utilisent ce système.

En complément de cet article, vous pouvez lire également :

Et j’en profite pour rappeler que VMware ESXi 6.5 et 6.7 ne bénéficient plus de mises à jour de sécurité depuis le 15 octobre 2022. C’est une mauvaise nouvelle car ces deux versions sont ciblées par les attaques qui se déroulent en ce moment. D’ailleurs, pour les victimes de ces nouvelles attaques, regardez ce lien pour tenter de récupérer vos données.

Pour cet exemple, c’est un hôte VMware ESXi 7.0 autonome (non managé par un vCenter) qui est mis à jour. Il tourne en version 7.0 mais ne bénéficie pas du dernier correctif de sécurité : l’occasion de le mettre à jour.

Note : avant de commencer, assurez-vous d’avoir un accès SSH sur le serveur VMware. Cet accès peut être activé temporairement si vous ne l’utilisez pas par ailleurs.

II. Télécharger les correctifs de sécurité VMware ESXi

Pour télécharger les correctifs de sécurité (mises à jour) de VMware ESXi, vous pouvez utiliser ce portail officiel accessible au travers d’un compte VMware (gratuit) :

Une fois authentifié sur ce site, sélectionnez « ESXi (Embedded and Installable)« , ainsi que la version et filtrez.

Ici, vous pouvez télécharger le package correspondant à la dernière version disponible à date, ici la version ESXi-7.0U3j.

Une fois le fichier ZIP téléchargé, vous devez le transférer sur le serveur VMware au sein d’une banque de données. Vous pouvez créer un dossier MAJ dans lequel vous uploadez le fichier au travers de la console Web d’ESXi.

III. Mettre à jour VMware ESXi 7.0

Avant de pouvoir mettre à jour un hôte VMware ESXi, il faut éteindre les machines virtuelles qu’il héberge, ou les migrer vers un autre noeud si vous disposez d’un cluster. C’est une condition indispensable pour basculer l’hyperviseur en mode maintenance et procéder à la mise à jour.

Pour mettre l’hôte VMware ESXi en mode maintenance, utilisez l’interface Web ou la ligne de commande suivante :

esxcli system maintenanceMode set --enable=true

Le serveur est toujours en ligne, mais son état a changé :

Ensuite, il ne reste plus qu’à installer le patch correspondant à la mise à jour en précisant le chemin vers le ZIP. Le chemin ci-dessous est à adapter selon votre configuration (/vmfs/volumes/).

esxcli software vib update --depot /vmfs/volumes/datastore/ISO/VMware-ESXi-7.0U3j-21053776-depot.zip

Si tout se passe bien, ce sera indiqué et il y aura une longue liste de VIBs à l’écran. Toutefois, il peut y avoir une erreur s’il y a un problème de pilotes ou si vous avez installé un package VIB communautaire sur l’hôte. Dans ce cas, c’est possible de forcer l’installation avec l’option « –force » mais c’est à vos risques et périls !

Puis, redémarrez l’hôte VMware ESXi pour finaliser l’installation :

reboot -f

Une fois que c’est fait, désactivez le mode maintenance en mode Web ou SSH :

esxcli system maintenanceMode set --enable=false

Puis, vérifiez la version de votre ESXi :

vmware –v

Sans oublier de démarrer les machines virtuelles car elles n’ont pas pu être démarrée à cause de l’état de l’hôte (mode maintenance actif).

IV. Conclusion

Cette manipulation simple mais qui implique une interruption de service sur les hôtes autonomes permet de maintenir son serveur VMware ESXi à jour, et d’être protégé contre les vulnérabilités patchées par VMware au fil du temps.