取消ESXi中的CVE20183646警告

2024年4月16日发(作者：)

责任编辑：赵志远 投稿信箱：

netadmin@

信息安全

Security

取消ESXi中的CVE-2018-3646警告

■ 河北 王春海

在2018年

编者按： 关于Intel公司的处理器漏洞影响已有一段

Foreshadow-NG

潜在可被用于

读取L1缓存中

的任何信息，读

取运行在同一

8月的时候，

时间，由此带来的影响却依然未曾消弭，本文讲解了相关

Intel公司就已

经披露了新的

处理器漏洞：L1

Terminal Fault（L1TF） aka

Foreshadow。

的这部分区域被围了起来，

运行操作系统无法访问或更

改的代码。即使恶意软件或

CVE-2018-3646给ESXi 6.X带来的影响，以及如何取消

相关警告信息。

处理器其他线程上的虚拟机

中储存的信息（因为超线程

共享L1缓存）。最简单的解

决方法是关闭CPU的超线程，

但这无疑会带来巨大的性能

开销。其他解决方案同样会

产生相同结果。

缓解CVE-2018-3646需

要针对在Intel硬件上运行

的主机的特定于Hypervisor

的缓解措施。VMware为该漏

洞提供了特定于虚拟机管理

程序的缓解措施。

缓解CVE-2018-3620需

要特定于操作系统的缓解措

施。特定于操作系统的缓解

措施适用于客户操作系统。

这些更新将由第三方供应商

提供，如果是VMware虚拟设

备，则由VMware提供。

CVE-2018-3615不会影

响VMware产品和（或）服务。

VMware Hypervisors不使用

Intel SGX，也不支持Intel

Intel CPU L1TF漏洞概述

L1TF或Foreshadow是

一种预测执行攻击，该漏洞

类似于2018年1月份时安

全人员披露的Meltdown漏

洞，允许攻击者从PC或第三

方云窃取敏感信息。

紧接着，Intel研究团

队在此基础上又发现了两个

变体。这三者一起，构成了

L1TF系列漏洞。

CVE-2018-3615，L1

Terminal Fault-SGX

CVE-2018-3620，L1

Terminal Fault-OS/SMM

CVE-2018-3646，L1

Terminal Fault-VMM

Intel的软件保护扩展

(SGX)功能让程序可以在其

处理器上建立所谓的安全区

域(Secure Enclave)。芯片

另外的威胁危及主计算机，

安全区域也为敏感数据提供

了避风港。但是研究人员发

现，虽然SGX基本上可以击

退Spectre和Meltdown攻

击，但一种相关的攻击可以

绕过它的防线。他们称之为

Foreshadow漏洞。

Meltdown漏洞当时在极

短的时间内便肆虐整个计算

机行业，所有相关设备均受

漏洞影响。

据相关资料，Foreshadow

有两个版本，其中第一种设

计旨在获取驻留在L1缓存

中Intel SGX安全区保护的

数据（CVE-2018-3615）。第

二种Next Generation （NG）

则主要会影响虚拟机、虚拟

机管理器程序、操作系统内

核内存、系统管理模式内存。

2019.04

127

Security

信息安全

责任编辑：赵志远 投稿信箱：

netadmin@

SGX的虚拟化。 因此，

它们不受利用Intel

SGX的漏洞的影响。

此外，VMware不提供

任何使用Intel SGX

的其他产品（如虚拟设

备）。

微代码缓解通过硬

件供应商的微代码更

新应用于系统的处理

器。这些缓解措施不

需要管理程序或客户机

操作系统更新有效。

图2 不显示警告

图1 ESXi摘要中的警告信息

这就表示当前的

vSphere环境需要升

级，如图1所示。

2.当前的环境

中ESXi的版本是

6.5.0 8294253，在升

级到6.5.0 10884925

之后，提示“该主机

容易受到CVE-2018-

3646中描述的问题

的影响”（在vSphere

6.7.0中这个提示没

有“取消警告”的选

项）。

ESX6x0-201808001补

丁引入的参数

vCenter Server 6.0

Update 3h和ESXi 6.0

修补程序版本ESXi600-

201808001、vCenter Server

6.5 Update 2c和ESXi 6.5

修补程序版本ESXi650-

201808001、vCenter Server

6.7.0d和ESXi 6.7修

补程序版本ESXi670-

201808001引入了ESXi高

级配置选项.

hyperthreadingMitigation，

将此项设置为“已启用”后

重新启动ESXi主机生效。

启用此选项后，将根据需要

限制同一超线路核心同时

使用多个逻辑处理器以缓

图3 限制超线程使用

3.如果需要取消

这个警告信息的提

解安全漏洞。此新选项可

缓解CVE-2018-3646中所

述的漏洞。如果不启用这

个参数而不是想取消这个

警告提示，可以在ESXi高

级系统设置中将UserVars.

SuppressHyperthread

Warning的值设置为1，取消

此警示。

下面通过具体实例进行

介绍。

1.一个生产环境中的

vSphere 6.5.0 U2的环境，

在执行“联想运行状况”检

查后提示“vSAN critical

Alert - Patch available

for critical vSAN issue”，

示，在主机的“配置→高级系

统设置”中，单击“编辑”按

钮即可。

4.搜索“UserVars.

SuppressHyperthread

Warning”并将其值改为1即

可，如图2所示。

5.当前环境中的每台主

机都修改此参数后，警告信

息取消。

6.如果缓解安全漏

洞而不只是取消警告，可

以搜索.

hyperthreadingMitigation，

将此项设置为“已启用”后

重新启动ESXi主机生效，如

图3所示。

128

2019.04