Sicherheitslücke L1TF überprüfen und blockieren
So schließen Sie die Sicherheitslücke L1TF
So schließen Sie die Sicherheitslücke L1TF
Stand 24.04.2019
Nach Veröffentlichung der Sicherheitslücke L1TF (“L1 Terminal Fault” oder “Foreshadow”) wurden verschiedene Vorgehensweisen und Patches veröffentlicht, die die Anfälligkeit für dieses Risiko minimieren sollen.
In dieser Anleitung erfahren Sie, wie Sie diese Sicherheitslücke schließen.
Zur Erinnerung:
Variante | gefährdet | durch den Patch behoben? |
---|---|---|
Variante 1: L1 Terminal Fault - VMM (CVE-2018-3646) | JA | NEIN (Einschränkung möglich) |
Variante 2: L1 Terminal Fault - OS (CVE-2018-3620) | NEIN | |
Variante 3: L1 Terminal Fault - SGX (CVE-2018-3615) | NEIN |
L1 Terminal Fault - OS (CVE-2018-3620) betrifft die VMware-Hypervisor nicht und erfordert lokalen Zugriff auf vCenter/VCSA.
L1 Terminal Fault - SGX (CVE-2018-3615) betrifft die VMware-Hypervisor nicht: https://kb.vmware.com/s/article/54913.
Aus unserem Private Cloud Angebot sind nur die SDDC Lösungen von dieser Sicherheitslücke betroffen.
Weitere Informationen zu dieser Sicherheitslücke finden Sie in unserem zugehörigen Blogartikel.
Wichtig: Die Sicherheitslücke wird mit den folgenden Aktionen nicht behoben.
Sie beschreiben nur, wie Hyperthreading auf Ihren ESXi-Hosts deaktiviert werden kann. Da L1TF Hyperthreading benötigt, um zu funktionieren, ist Ihre Infrastruktur durch die Deaktivierung vor dieser Sicherheitslücke geschützt.
Die Vorgehensweise, um die Sicherheitslücke einzuschränken, ist in dieser VMware Knowledge Base beschrieben: https://kb.vmware.com/s/article/55806.
Dieser Prozess wird in 4 Phasen unterteilt.
Das Update für vCenter wird von OVHcloud durchgeführt. Der Patch für die ESXi-Hosts wird von Ihnen selbst durchgeführt und ist im Update Manager verfügbar.
Die Liste mit den Patches für ESXi-Hosts finden Sie in diesem Dokument.
Nach dem Update der Hosts wird die folgende Warnung in der Zusammenfassung Ihres Hosts angezeigt:
Wenn die ESXi-Hosts aktualisiert wurden, ist der Patch noch nicht umgesetzt.
Bevor Sie diesen jedoch ausführen, sollten Sie die möglichen Probleme, die in der bereits erwähnten Knowledge Base aufgeführt werden, sowie die in einer anderen Knowledge Base aufgeführten Leistungseinschränkungen beachten: https://kb.vmware.com/s/article/55767.
Nachdem Sie die obenstehenden Schritte durchgeführt haben, können Sie in den erweiterten Systemeinstellungen die Einstellung aktivieren, mit der Hyperthreading deaktiviert werden kann.
In dem Fenster ist rechts oben ein Filter verfügbar.
Dieser Vorgang muss für jeden Host durchgeführt werden.
Weitere Informationen finden Sie in Schritt 3 im Bereich „Resolution“ in dieser VMware Knowledge Base.
Wenn Sie die verschiedenen Elemente überprüft haben und zu dem Schluss gekommen sind, dass Sie Hyperthreading nicht deaktivieren möchten, können Sie, wie in dieser Knowledge Base beschrieben, die Warnung löschen.
Dies wird von OVHcloud keinesfalls empfohlen. OVHcloud kann daher nicht für mögliche Folgen verantwortlich gemacht werden.
Für den Austausch mit unserer User Community gehen Sie auf https://community.ovh.com/en/.
Bevor Sie Ihre Meinung abgeben, nehmen wir gerne Ihre Vorschläge auf, wie wir diese Dokumente verbessern können.
Woran liegt es? An den Bildern, dem Inhalt oder Aufbau der Anleitungen? Schreiben Sie es uns gerne, dann machen wir es zusammen besser.
Ihre Support-Anfragen werden in diesem Formular nicht entgegengenommen. Verwenden Sie hierfür bitte das Formular "Ein Ticket erstellen" .
Vielen Dank. Ihr Feedback wurde gesendet.
Besuchen Sie Ihren Community-Bereich und tauschen Sie sich mit anderen Mitgliedern der OVHcloud Community aus. Hier können Sie Fragen stellen, zusätzliche Informationen finden und eigene Inhalte veröffentlichen.
Tauschen Sie sich mit der Community aus