Verificar e bloquear a falha L1TF

SumƔrio

No seguimento da divulgaĆ§Ć£o pĆŗblica da vulnerabilidade L1TF (ā€œL1 Terminal Fault" ou "Foreshadow"), foram publicados diversos procedimentos e patches para minimizar a exposiĆ§Ć£o a este risco.

Este manual explica como bloquear esta vulnerabilidade.

Requisitos

  • Dispor de um utilizador com ligaĆ§Ć£o ao vSphere.
  • Utilizar o hyperthreading nas suas mĆ”quinas virtuais

InstruƧƵes

Lembrete:

VariƔvelVulnerƔvelSolucionado pelo patch?
VariĆ”vel 1: L1 Terminal Fault - VMM (CVE-2018-3646)SimNĆ£o (mas mitigado)
VariĆ”vel 2: L1 Terminal Fault - OS (CVE-2018-3620)NĆ£o
VariĆ”vel 3: L1 Terminal Fault - SGX (CVE-2018-3615)NĆ£o
Info

L1 Terminal Fault - OS (CVE-2018-3620) nĆ£o afeta os hipervisores VMware e requer um acesso local ao vCenter/VCSA

Info

L1 Terminal Fault - SGX (CVE-2018-3615) nĆ£o afeta os hipervisores VMware: https://kb.vmware.com/s/article/54913

No que diz respeito ao Private Cloud, a gama SDDC Ć© a Ćŗnica a poder ficar afetada por esta vulnerabilidade.

Explicamos esta falha neste artigo.

Processo de mitigaĆ§Ć£o

Info

Tenha em conta que as aƧƵes descritas abaixo nĆ£o permitem corrigir a falha, servem apenas para desativar o hyperthreading nos hosts ESXi. No entanto, visto que a falha L1TF necessita do hyperthreading para funcionar, a sua desativaĆ§Ć£o irĆ” proteger a sua infraestrutura da exploraĆ§Ć£o desta vulnerabilidade.

O processo de mitigaĆ§Ć£o estĆ” descrito no seguinte artigo da VMware: https://kb.vmware.com/s/article/55806.

Este procedimento divide-se em 3 partes.

1 - AtualizaĆ§Ć£o

Embora a OVHcloud atualize o vCenter, deverĆ” encarregar-se da atualizaĆ§Ć£o dos hosts ESXi. O patch estĆ” disponĆ­vel no Update Manager.

PoderĆ” consultar a lista de patches para os hosts ESXi neste documento.

ApĆ³s a atualizaĆ§Ć£o, aparecerĆ” a seguinte mensagem de alerta no resumo do host:

2 - AvaliaĆ§Ć£o do ambiente

Os hosts ESXi jĆ” estĆ£o atualizados, mas a correĆ§Ć£o nĆ£o foi aplicada.

Antes de o fazer, deve considerar os possĆ­veis problemas que sĆ£o explicados no artigo da VMware anteriormente referido, assim como a diminuiĆ§Ć£o do rendimento observada, que Ć© detalhada neste artigo.

3 - AtivaĆ§Ć£o

Depois de consultar a documentaĆ§Ć£o anterior, poderĆ” ativar o parĆ¢metro que permite desativar o hyperthreading na configuraĆ§Ć£o avanƧada do sistema.

Tem Ć  sua disposiĆ§Ć£o um filtro no canto superior direito.

Esta operaĆ§Ć£o deve ser realizada para cada um dos hosts.

Para obter mais informaƧƵes, pode consultar a secĆ§Ć£o ā€œResolutionā€, artigo n.Āŗ 3, deste artigo da VMware.

Warning

Se, tendo em conta a informaĆ§Ć£o referida anteriormente, nĆ£o pretender desativar o hyperthreading, pode eliminar a mensagem de alerta seguindo os passos indicados neste artigo.

A OVHcloud nĆ£o recomenda esta soluĆ§Ć£o e nĆ£o se responsabiliza pelas consequĆŖncias que possam advir.

Quer saber mais?

Fale com a nossa comunidade de utilizadores em https://community.ovh.com/en/

Esta pĆ”gina foi Ćŗtil?