你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
本文介绍 Azure VMware 解决方案的当前已知问题。
请参阅下表以查找有关解决日期或可能的解决方法的详细信息。 For more information about the different feature enhancements and bug fixes in Azure VMware Solution, see What's New.
| Issue | Date discovered | Workaround | Date resolved |
|---|---|---|---|
| VMSA-2025-0013 VMXNET3 integer-overflow, VMCI integer-underflow, PVSCSI heap-overflow, and vSockets information-disclosure vulnerabilities. | 2025 年 7 月 15 日 | Microsoft verified the applicability of the vulnerabilities within the Azure VMware Solution service and adjudicated the vulnerabilities at a combined adjusted Environmental Score of 9.3. 建议客户在向来宾 VM 授予管理访问权限时采取额外的预防措施,直到更新得到解决。 有关漏洞的其他信息,请参阅 此博客文章 (CVE-2025-41236、CVE-2025-41237、CVE-2025-41238、CVE-2025-41239)。 | July 21, 2025 (Pending) - Resolved in ESXi 8.0_U3f |
| 更改默认 NSX 第 1 层名称可能会导致通过 Azure 门户(如 DNS 区域和段页)添加的某些 NSX 功能无法按预期运行。 | June 2025 | Azure VMware 解决方案将 NSX 第 1 层名称“TNTxx-T1”(其中 xx 是内部租户 ID)用于这些功能。 因此,请不要更改默认的第 1 层名称。 | N/A |
| 创建与 Azure VMware 解决方案默认 NSX-T 层 0 路由器关联的有状态网关防火墙规则会导致不需要/意外的行为。 | May 2025 | Azure VMware 解决方案使用无状态 NSX-T 层 0 路由器进行部署。 因此,即使 NSX-T UI 可能允许它,有状态防火墙规则也不兼容。 在第 1 层路由器上应用有状态服务和/或防火墙规则。 | N/A |
| 运行 vSAN Express Storage Architecture(ESA)的 AV64 主机可能会因缓冲区溢出而出现高 pNIC 错误。 使用 Mellanox NIC NIC 时,在 vSAN 群集中的主机上收到与“检测到高 pNic 错误率”相关的警报 | June 2025 | 警报应被视为信息性消息,因为 Microsoft 管理该服务。 选择 Reset to Green 链接以将其清除。 | N/A |
| VMSA-2025-0012 Multiple vulnerabilities (CVE-2025-22243, CVE-2025-22244, CVE-2025-22245) identified in VMware NSX. | May 2025 | Broadcom 文档中所述的漏洞不适用于 Azure VMware 解决方案,因为现有的补偿控制可降低开发风险。 | 即将推出的 NSX 版本包括用于解决此漏洞的修补程序。 |
| VMSA-2025-0010 Multiple vulnerabilities (CVE-2025-41225, CVE-2025-41226, CVE-2025-41227, CVE-2025-41228) have been identified in VMware ESXi and vCenter Server. | May 2025 | Microsoft确认了 Azure VMware 解决方案中这些漏洞的适用性。 现有的安全控制(包括 cloudadmin 角色限制和网络隔离)被视为在正式修补之前显著缓解这些漏洞的影响。 The vulnerabilities adjudicated with a combined adjusted Environmental Score of 6.8 within the Azure VMware Solution. 在解决更新问题之前,建议客户在向来宾虚拟机授予管理访问权限时谨慎行事,并主动监视对其执行的任何管理活动。 | N/A |
| VMSA-2025-0007 VMware Tools update addresses an insecure file handling vulnerability (CVE-2025-22247). | May 2025 | 若要修正 CVE-2025-22247,请应用 VMware 工具版本 12.5.2,请使用 Azure VMware 解决方案运行命令 Set-Tools-Repo. |
May 2025 |
| 如果启用了 NSX 第 2 层 DFW 默认规则日志记录,ESXi 主机可能会遇到作问题。 可以在 Broadcom 的此知识库文章中获取详细信息: 如果启用了 L2 DFW 默认规则日志记录,ESXi 主机可能会遇到作问题。 | May 2025 | 不建议在任何持续时间内在生产环境中启用默认第 2 层 DFW 规则的日志记录。 如果必须在 L2 规则上启用日志记录,建议创建一个新的特定于有关流量流的 L2 规则,并仅启用该规则的日志记录。 请参阅 Broadcom 知识库文章 326455。。 | N/A |
| 使用 VMware HCX 版本 4.10.3 及更早版本时,尝试直接从 HCX 管理器 UI 下载升级捆绑包或连接器 OVA(端口 443)由于外部映像库服务器停用而失败。 可以在 Broadcom 的此知识库文章中获取详细信息: 从 443 UI 下载升级捆绑包在 4.11 之前的所有 HCX 版本中将失败 | April 2025 | 在接下来的几周内,我们将所有 Azure VMware 解决方案客户升级到 HCX 4.11.0,这将为客户提供对 HCX 连接器升级捆绑包的访问权限,这些捆绑包将存储在其 vSAN 数据存储上。 在此之前,所有客户都需要提交支持请求(SR),以获取所需的升级捆绑包。 | May 2025 |
| VMSA-2025-0005 VMware Tools for Windows update addresses an authentication bypass vulnerability (CVE-2025-22230). | April 2025 | 若要修正 CVE-2025-22230,请应用 VMware Tools 版本 12.5.1,请使用 Azure VMware 解决方案运行命令 Set-Tools-Repo. |
May 2025 |
| 如果你是 AV64 的用户,你可能会注意到 vCenter Server 中主机上的“其他硬件对象的状态”警报。 此警报并不表示硬件问题。 当系统事件日志(SEL)根据 vCenter Server 达到其容量阈值时,会触发它。 尽管发出警报,主机仍保持正常,未检测到与硬件相关的错误签名,因此不会发生高可用性 (HA) 事件。 您可以安全地继续运行您的私有云而不会中断。 警报只有两种可能的状态 — 绿色和红色 — 没有中间警告状态。 一旦状态变为红色,即使条件改善到通常符合警告的条件,它也会保持红色。 | April 2025 | 此警报应被视为警告,不会影响私有云的可作性。 Microsoft 会调整警报的阈值,因此不会在 vCenter Server 中发出警报。 | July 2025 |
| 部署 AV48 私有云后,您可能会看到检测到高 pNIC 错误率。 检查主机的 vSAN 性能视图,了解警报是否在 vSphere 客户端中处于活动状态。 | April 2025 | 警报应被视为信息性消息,因为 Microsoft 管理该服务。 选择 Reset to Green 链接以将其清除。 | April 2025 |
| VMSA-2025-0004 VMCI Heap-overflow, ESXi arbitrary write, and Information disclosure vulnerabilities | March 2025 | Microsoft verified the applicability of the vulnerabilities within the Azure VMware Solution service and adjudicated the vulnerabilities at a combined adjusted Environmental Score of 9.4. 建议客户在向来宾 VM 授予管理访问权限时采取额外的预防措施,直到更新得到解决。 有关漏洞和Microsoft参与的其他信息,请参阅 此博客文章。 (CVE-2025-22224、CVE-2025-22225、CVE-2025-22226) | March 2025 - Resolved in ESXi 8.0_U2d |
| 问题 3464419:升级 HCX 4.10.2 后,用户无法登录或执行各种管理作。 | 2024 | None | December 2024- Resolved in HCX 4.10.3 |
| 将 AV64 集群部署到私有云后, Cluster-N: vSAN 硬件兼容性问题 警报在 vSphere 客户端中处于活动状态。 | 2024 | 警报应被视为信息性消息,因为 Microsoft 管理该服务。 选择 Reset to Green 链接以将其清除。 | 2024 |
| VMSA-2024-0021 VMware HCX addresses an authenticated SQL injection vulnerability (CVE-2024-38814) | 2024 | None | October 2024- Resolved in HCX 4.10.1, HCX 4.9.2 and HCX 4.8.3 |
| 在 VMware HCX 的网络名称中使用特殊字符时,vCenter Server vpxd 崩溃。 有关更多信息,请参阅使用 HCX-IX 进行迁移时,vpxd 在“vpx_nw_assignment”中出现重复键值时崩溃 (323283)。 | November 2024 | 避免在 Azure VMware 解决方案网络名称中使用特殊字符。 | November 2024 |
| 在澳大利亚东部区域(Pod4 和 5)中,新的标准私有云使用 vSphere 7 而不是 vSphere 8 进行部署。 | October 2024 | 澳大利亚东部的 Pod 4 和 5 已部署修补程序。 | February 2025 |
| VMSA-2024-0020 VMware NSX command injection, local privilege escalation & content spoofing vulnerability | October 2024 | Broadcom 文档中提到的漏洞不适用于 Azure VMware 解决方案,因为提到的攻击途径不适用。 | N/A |
| VMSA-2024-0019 Vulnerability in the DCERPC Protocol and Local Privilege Escalations | September 2024 | Microsoft, working with Broadcom, adjudicated the risk of CVE-2024-38812 at an adjusted Environmental Score of 6.8 and CVE-2024-38813 with an adjusted Environmental Score of 6.8. 由于 Azure VMware 解决方案 vCenter Server DCERPC 协议访问(端口 2012、2014 和 2020 不通过任何交互式网络路径公开)的网络隔离,以及获得对 Azure VMware 解决方案 vCenter Server 的交互式访问所需的多级身份验证和授权,因此可以对基本分数进行调整。 由于 2024 年 11 月 18 日的 Broadcom 最新更新更改了解决问题的软件版本,因此修复程序已延迟,并且正在对 Azure VMware 解决方案提供 VCF 5.2.1 支持。 | N/A |
| 新的延伸集群私有云使用 vSphere 7 而不是 vSphere 8 进行部署。 | September 2024 | 已部署拉伸群集修补程序。 | February 2025 |
| AV64 SKU 目前不支持 Zerto DR。 AV64 SKU 使用 ESXi 主机安全启动,而 Zerto DR 尚未为 ESXi 安装实施签名的 VIB。 | 2024 | 继续使用 Zerto DR 的 AV36、AV36P 和 AV52 SKU。 Zerto 正在努力为 CY2025 提供 AV64 支持。 | N/A |
| AV36P SKU 新私有云使用 vSphere 7 而不是 vSphere 8 进行部署。 | September 2024 | 已部署 AV36P SKU 修补程序,问题已解决。 | September 2024 |
| VMSA-2024-0011 Out-of-bounds read/write vulnerability (CVE-2024-22273) | June 2024 | Microsoft 已确认 CVE-2024-22273 漏洞的适用性,并将在 ESXi 8.0u2b 中解决该漏洞。 | 2024 年 7 月 - ESXi 8.0 U2b 中已解决的问题 |
| VMSA-2024-0013 (CVE-2024-37085) VMware ESXi Active Directory Integration Authentication Bypass | July 2024 | Azure VMware 解决方案不提供 Active Directory 集成,因此不易受到此攻击。 | N/A |
| VMSA-2024-0012 Multiple Vulnerabilities in the DCERPC Protocol and Local Privilege Escalations | June 2024 | Microsoft, working with Broadcom, adjudicated the risk of these vulnerabilities at an adjusted Environmental Score of 6.8 or lower. 由于 Azure VMware 解决方案 vCenter Server 的网络隔离(端口 2012、2014 和 2020 不通过任何交互式网络路径公开)以及获得对 vCenter Server 网段的交互式访问所需的多个级别的身份验证和授权,因此可以对基本分数进行调整。 | 2024 年 11 月 - 在 vCenter Server 8.0_U2d中解析 |
| VMSA-2024-0006 ESXi Use-after-free and Out-of-bounds write vulnerability | March 2024 | For ESXi 7.0, Microsoft worked with Broadcom on an AVS specific hotfix as part of the ESXi 7.0U3o rollout. 对于8.0的推出,Azure VMware解决方案正在部署 vCenter Server 8.0 U2b和ESXi 8.0 U2b ,它们并不易受攻击。 | August 2024 - Resolved in ESXi 7.0U3o and vCenter Server 8.0 U2b & ESXi 8.0 U2b |
| 在高可用性 (HA) 模式下运行的 VMware HCX 版本 4.8.0 网络扩展 (NE) 设备 VM 可能会遇到间歇性备用到活动故障转移。 有关更多信息,请参阅 HCX - HA 模式下的 NE 设备遇到间歇性故障转移 (96352) | Jan 2024 | 如果您在 HA 配置中使用 NE 设备,请避免升级到 VMware HCX 4.8.0。 | 2024 年 2 月 - VMware HCX 4.8.2 中已解决的问题 |
| 当我运行 VMware HCX Service Mesh 诊断向导时,所有诊断测试都将通过(绿色复选标记),但会报告探测失败。 请参阅 HCX - 服务网格诊断测试返回 2 个失败的探测 | 2024 | 已在 4.9+ 中修复。 | Resolved in HCX 4.9.2 |
| AV64 SKU 目前支持 RAID-1 FTT1、RAID-5 FTT1 和 RAID-1 FTT2 vSAN 存储策略。 有关更多信息,请参阅 AV64 支持的 RAID 配置 | Nov 2023 | AV64 SKU 现在支持 7 个容错域和所有 vSAN 存储策略。 有关详细信息,请参阅 AV64 支持的 Azure 区域 | June 2024 |
| VMSA-2023-023 VMware vCenter Server Out-of-Bounds Write Vulnerability (CVE-2023-34048) publicized in October 2023 | October 2023 | A risk assessment of CVE-2023-03048 was conducted and it was determined that sufficient controls are in place within Azure VMware Solution to reduce the risk of CVE-2023-03048 from a CVSS Base Score of 9.8 to an adjusted Environmental Score of 6.8 or lower. 由于 Azure VMware 解决方案 vCenter Server 的网络隔离(端口 2012、2014 和 2020 不通过任何交互式网络路径公开)以及获得对 vCenter Server 网段的交互式访问所需的多个级别的身份验证和授权,因此可以对基本分数进行调整。 Azure VMware Solution is currently rolling out 7.0U3o to address this issue. | March 2024 - Resolved in ESXi 7.0U3o |
| After my private cloud NSX-T Data Center upgrade to version 3.2.2, the NSX-T Manager DNS - Forwarder Upstream Server Timeout alarm is raised | February 2023 | 启用私有云 Internet 访问,出现警报,因为 NSX-T 管理器无法访问配置的 Cloudflare DNS 服务器。 否则, 请将默认 DNS 区域更改为指向有效且可访问的 DNS 服务器。 | February 2023 |
| After my private cloud NSX-T Data Center upgrade to version 3.2.2, the NSX-T Manager Capacity - Maximum Capacity Threshold alarm is raised | 2023 | 发出警报是因为私有云中有四个以上的集群,这些集群具有 NSX-T Data Center Unified Appliance 的中型规格。 外形规格需要放大到大。 此问题应通过 Microsoft 检测到,但您也可以打开支持请求。 | 2023 |
| 当我使用 Enterprise 许可证构建 VMware HCX Service Mesh 时,Replication Assisted vMotion Migration 选项不可用。 | 2023 | 默认 VMware HCX 计算配置文件未启用复制辅助 vMotion 迁移选项。 在 Azure VMware 解决方案 vSphere 客户端中,选择 VMware HCX 选项并编辑默认计算配置文件以启用复制辅助 vMotion 迁移。 | 2023 |
| 首次登录到 vSphere Client 时, 群集 n: vSAN 运行状况警报已抑制 在 vSphere Client 中处于活动状态 | 2021 | 警报应被视为信息性消息,因为 Microsoft 管理该服务。 选择 Reset to Green 链接以将其清除。 | 2021 |
| 将集群添加到私有云时, 集群 n: vSAN 物理磁盘警报“作” 和 集群 n: vSAN 集群警报“vSAN 集群配置一致性” 警报在 vSphere Client 中处于活动状态 | 2021 | 此警报应被视为信息性消息,因为 Microsoft 管理该服务。 选择 Reset to Green 链接以将其清除。 | 2021 |
| VMSA-2021-002 ESXiArgs OpenSLP vulnerability publicized in February 2023 | 2021 | 禁用 OpenSLP 服务 | 2021 年 2 月 - ESXi 7.0 U3c 中已解决的问题 |
本文介绍了 Azure VMware 解决方案的当前已知问题。
有关详细信息,请参阅 关于 Azure VMware 解决方案。