Rilevare e bloccare la vulnerabilità L1TF
Come mitigare la falla di sicurezza L1TF
Ultimo aggiornamento: 19/08/2019
Obiettivo
Dopo che la scoperta della vulnerabilità L1TF ("L1 Terminal Fault" o "Foreshadow") è stata resa nota pubblicamente, sono state rilasciate numerose procedure e patch volte a minimizzare l’esposizione a questo rischio.
Questa guida ti mostra come proteggere le tue macchine da questa falla di sicurezza.
Prerequisiti
- Disporre di utente con accesso a vSphere
- Utilizzare la tecnologia Hyper-Threading sulle proprie macchine virtuali
Procedura
La vulnerabilità L1TF si presenta in tre varianti:
| Variante | Vulnerabile | Patch correttiva |
|---|---|---|
| L1 Terminal Fault - VMM (CVE-2018-3646) | Sì | No (solo mitigazione) |
| L1 Terminal Fault - OS (CVE-2018-3620) | No | |
| L1 Terminal Fault - SGX (CVE-2018-3615) | No |
L1 Terminal Fault - OS (CVE-2018-3620) non colpisce gli hypervisor VMware e richiede l’acceso in locale al vCenter/VCSA.
L1 Terminal Fault - SGX (CVE-2018-3615) non colpisce gli hypervisor VMware: https://kb.vmware.com/s/article/54913.
Relativamente al servizio Private Cloud, le soluzioni SDDC sono le uniche che potrebbero essere affette da questa vulnerabilità.
Per maggiori informazioni sul bug di sicurezza L1TF, leggi questo articolo.
Processo di mitigazione
Ti ricordiamo che le azioni descritte in questo paragrafo non permettono la correzione della falla di sicurezza, ma esclusivamente la disattivazione dell’Hyper-Threading sugli host ESXi. Per funzionare L1TF ha infatti bisogno di questa tecnologia e disabilitarla protegge pertanto l’infrastruttura dall’esposizione alla vulnerabilità.
Il processo di mitigazione, descritto in questo articolo di VMware, comprende 3 fasi distinte.
1. Aggiornamento
OVHcloud si occupa dell’aggiornamento del vCenter, ma l’applicazione del software correttivo sugli host ESXi è di responsabilità dell’utente. La patch è disponibile nell’Update Manager.
Per visualizzare la lista completa delle patch rilasciate per gli host ESXi, consulta le raccomandazioni sulla sicurezza di VMware.
Una volta completato l’aggiornamento, nel riepilogo dell’host compare questo messaggio di alert:
2. Valutazione dell’ambiente
A questo punto gli host ESXi sono aggiornati, ma la patch non è stata ancora applicata.
Prima di procedere con questa operazione è importante essere consapevoli dei potenziali problemi descritti nell’articolo di VMware citato precedentemente, e della probabile diminuzione delle prestazioni constatata ed esposta in questo altro articolo.
3. Attivazione
Dopo aver valutato questi diversi elementi è possibile abilitare il parametro che consente di disattivare l’Hyper-Threading, accedendo alle impostazioni avanzate di sistema.
Se necessario, è possibile utilizzare il filtro disponibile in alto a destra nella finestra.
L’operazione deve essere ripetuta su ogni host.
Per maggiori informazioni, consulta il punto 3 del paragrafo “Resolution” di questo articolo di VMware.
Se, dopo le opportune valutazioni, decidi di mantenere attivo l’Hyper-Threading, è possibile eliminare il messaggio di alert seguendo i passaggi descritti in questo articolo.
OVHcloud sconsiglia una soluzione di questo tipo e non potrà in nessun modo essere ritenuta responsabile delle eventuali conseguenze di questa scelta.
Per saperne di più
Contatta la nostra Community di utenti all’indirizzo https://community.ovh.com/en/.
Questa documentazione ti è stata utile?
Prima di inviare la valutazione, proponici dei suggerimenti per migliorare la documentazione.
Immagini, contenuti, struttura... Spiegaci perché, così possiamo migliorarla insieme!
Le richieste di assistenza non sono gestite con questo form. Se ti serve supporto, utilizza il form "Crea un ticket" .
Grazie per averci inviato il tuo feedback.