2024年4月16日发(作者:)
责任编辑:赵志远 投稿信箱:
netadmin@
信息安全
Security
取消ESXi中的CVE-2018-3646警告
■ 河北 王春海
在2018年
编者按: 关于Intel公司的处理器漏洞影响已有一段
Foreshadow-NG
潜在可被用于
读取L1缓存中
的任何信息,读
取运行在同一
8月的时候,
时间,由此带来的影响却依然未曾消弭,本文讲解了相关
Intel公司就已
经披露了新的
处理器漏洞:L1
Terminal Fault(L1TF) aka
Foreshadow。
的这部分区域被围了起来,
运行操作系统无法访问或更
改的代码。即使恶意软件或
CVE-2018-3646给ESXi 6.X带来的影响,以及如何取消
相关警告信息。
处理器其他线程上的虚拟机
中储存的信息(因为超线程
共享L1缓存)。最简单的解
决方法是关闭CPU的超线程,
但这无疑会带来巨大的性能
开销。其他解决方案同样会
产生相同结果。
缓解CVE-2018-3646需
要针对在Intel硬件上运行
的主机的特定于Hypervisor
的缓解措施。VMware为该漏
洞提供了特定于虚拟机管理
程序的缓解措施。
缓解CVE-2018-3620需
要特定于操作系统的缓解措
施。特定于操作系统的缓解
措施适用于客户操作系统。
这些更新将由第三方供应商
提供,如果是VMware虚拟设
备,则由VMware提供。
CVE-2018-3615不会影
响VMware产品和(或)服务。
VMware Hypervisors不使用
Intel SGX,也不支持Intel
Intel CPU L1TF漏洞概述
L1TF或Foreshadow是
一种预测执行攻击,该漏洞
类似于2018年1月份时安
全人员披露的Meltdown漏
洞,允许攻击者从PC或第三
方云窃取敏感信息。
紧接着,Intel研究团
队在此基础上又发现了两个
变体。这三者一起,构成了
L1TF系列漏洞。
CVE-2018-3615,L1
Terminal Fault-SGX
CVE-2018-3620,L1
Terminal Fault-OS/SMM
CVE-2018-3646,L1
Terminal Fault-VMM
Intel的软件保护扩展
(SGX)功能让程序可以在其
处理器上建立所谓的安全区
域(Secure Enclave)。芯片
另外的威胁危及主计算机,
安全区域也为敏感数据提供
了避风港。但是研究人员发
现,虽然SGX基本上可以击
退Spectre和Meltdown攻
击,但一种相关的攻击可以
绕过它的防线。他们称之为
Foreshadow漏洞。
Meltdown漏洞当时在极
短的时间内便肆虐整个计算
机行业,所有相关设备均受
漏洞影响。
据相关资料,Foreshadow
有两个版本,其中第一种设
计旨在获取驻留在L1缓存
中Intel SGX安全区保护的
数据(CVE-2018-3615)。第
二种Next Generation (NG)
则主要会影响虚拟机、虚拟
机管理器程序、操作系统内
核内存、系统管理模式内存。
2019.04
127
Security
信息安全
责任编辑:赵志远 投稿信箱:
netadmin@
SGX的虚拟化。 因此,
它们不受利用Intel
SGX的漏洞的影响。
此外,VMware不提供
任何使用Intel SGX
的其他产品(如虚拟设
备)。
微代码缓解通过硬
件供应商的微代码更
新应用于系统的处理
器。这些缓解措施不
需要管理程序或客户机
操作系统更新有效。
图2 不显示警告
图1 ESXi摘要中的警告信息
这就表示当前的
vSphere环境需要升
级,如图1所示。
2.当前的环境
中ESXi的版本是
6.5.0 8294253,在升
级到6.5.0 10884925
之后,提示“该主机
容易受到CVE-2018-
3646中描述的问题
的影响”(在vSphere
6.7.0中这个提示没
有“取消警告”的选
项)。
ESX6x0-201808001补
丁引入的参数
vCenter Server 6.0
Update 3h和ESXi 6.0
修补程序版本ESXi600-
201808001、vCenter Server
6.5 Update 2c和ESXi 6.5
修补程序版本ESXi650-
201808001、vCenter Server
6.7.0d和ESXi 6.7修
补程序版本ESXi670-
201808001引入了ESXi高
级配置选项.
hyperthreadingMitigation,
将此项设置为“已启用”后
重新启动ESXi主机生效。
启用此选项后,将根据需要
限制同一超线路核心同时
使用多个逻辑处理器以缓
图3 限制超线程使用
3.如果需要取消
这个警告信息的提
解安全漏洞。此新选项可
缓解CVE-2018-3646中所
述的漏洞。如果不启用这
个参数而不是想取消这个
警告提示,可以在ESXi高
级系统设置中将UserVars.
SuppressHyperthread
Warning的值设置为1,取消
此警示。
下面通过具体实例进行
介绍。
1.一个生产环境中的
vSphere 6.5.0 U2的环境,
在执行“联想运行状况”检
查后提示“vSAN critical
Alert - Patch available
for critical vSAN issue”,
示,在主机的“配置→高级系
统设置”中,单击“编辑”按
钮即可。
4.搜索“UserVars.
SuppressHyperthread
Warning”并将其值改为1即
可,如图2所示。
5.当前环境中的每台主
机都修改此参数后,警告信
息取消。
6.如果缓解安全漏
洞而不只是取消警告,可
以搜索.
hyperthreadingMitigation,
将此项设置为“已启用”后
重新启动ESXi主机生效,如
图3所示。
128
2019.04
发布评论