Verificar y mitigar el fallo L1TF

Cómo protegerse de la vulnerabilidad L1TF

Última actualización: 15/04/2019

Objetivo

Tras hacerse pública la vulnerabilidad L1TF («L1 Terminal Fault» o «Foreshadow»), se han comunicado diferentes procedimientos y parches para minimizar la exposición ante este tipo de amenaza.

Esta guía explica cómo protegerse de esta vulnerabilidad.

Requisitos

  • Tener un usuario que pueda conectarse a vSphere.
  • Utilizar la tecnología hyperthreading en las máquinas virtuales.

Procedimiento

A continuación recordamos las distintas variantes de L1 Terminal Fault:

Variante Vulnerable ¿Solucionado por el parche?
L1 Terminal Fault: VMM (CVE-2018-3646) No (aunque mitigado)
L1 Terminal Fault: OS (CVE-2018-3620) No -
L1 Terminal Fault: SGX (CVE-2018-3615) No -

L1 Terminal Fault: SGX (CVE-2018-3615) no afecta a los hipervisores de VMware.

En lo que respecta a la solución Private Cloud, la gama SDDC es la única que puede verse afectada por esta vulnerabilidad.

En este artículo explicamos el fallo en profundidad.

Mitigación de la vulnerabilidad

Tenga en cuenta que las acciones que se describen a continuación no permiten corregir el fallo, sino únicamente desactivar el hyperthreading en los hosts ESXi.

Debido a que la vulnerabilidad L1TF necesita el hyperthreading para poder funcionar, desactivarlo previene que el fallo sea explotado en su infraestructura.

El procedimiento de mitigación se describe en el siguiente artículo de VMware: https://kb.vmware.com/s/article/55806.

Consta de tres fases, que se explican a continuación.

1. Actualización

Aunque OVH actualiza el vCenter, usted deberá encargarse de actualizar los hosts ESXi. El parche está disponible en el Update Manager.

Puede consultar la lista de parches para los hosts ESXi en las recomendaciones de seguridad de VMware.

Tras la actualización, aparecerá el siguiente mensaje de alerta en el resumen del host:

Mensaje de alerta host

2. Evaluación del entorno

Los hosts ESXi ya están actualizados, pero el parche todavía no se ha aplicado.

Antes de hacerlo, debe considerar los posibles problemas que se explican en el artículo de VMware anteriormente citado, así como la disminución del rendimiento observada, que se detalla en este artículo.

3. Activación

Una vez que haya consultado la documentación anterior, podrá activar el parámetro que permite desactivar el hyperthreading en la configuración avanzada del sistema.

Activar mitigación

Puede utilizar el filtro situado en la parte superior derecha de la pantalla.

Realice esta operación en cada host.

Para más información, consulte el apartado «Resolution», punto 3, de este artículo de VMware.

Si, teniendo en cuenta todo lo anterior, no desea desactivar el hyperthreading, puede eliminar el mensaje de alerta siguiendo los pasos que se indican en este artículo.

Borrar mensaje de alerta No obstante, OVH no lo recomienda y no podrá ser considerada responsable de las consecuencias que de ello se deriven.

Más información

Interactúe con nuestra comunidad de usuarios en ovh.es/community.


¿Le ha resultado útil esta guía?

Si lo desea, también puede enviarnos sus sugerencias para ayudarnos a mejorar nuestra documentación.

Imágenes, contenido, estructura...: ayúdenos a mejorar nuestra documentación con sus sugerencias.

No podemos tratar sus solicitudes de asistencia a través de este formulario. Para ello, haga clic en "Crear un tíquet" .

¡Gracias! Tendremos en cuenta su opinión.

OVHcloud Community

¡Acceda al espacio de la OVHcloud Community! Resuelva sus dudas, busque información, publique contenido e interactúe con otros miembros de la comunidad.

Discuss with the OVHcloud community

A partir del 1 de enero de 2015, con arreglo a la Directiva 2006/112/CE modificada, los precios IVA incluido pueden variar según el país de residencia del cliente (por defecto, los precios con IVA incluyen el IVA español vigente).