Última atualização: 18/04/2019
Sumário
No seguimento da divulgação pública da vulnerabilidade L1TF (“L1 Terminal Fault " ou "Foreshadow"), foram publicados diversos procedimentos e patches para minimizar a exposição a este risco.
Este manual explica como bloquear esta vulnerabilidade.
Requisitos
- Dispor de um utilizador com ligação ao vSphere.
- Utilizar o hyperthreading nas suas máquinas virtuais
Instruções
Lembrete:
| Variável | Vulnerável | Solucionado pelo patch? |
|---|---|---|
| Variável 1: L1 Terminal Fault - VMM (CVE-2018-3646) | Sim | Não (mas mitigado) |
| Variável 2: L1 Terminal Fault - OS (CVE-2018-3620) | Não | |
| Variável 3: L1 Terminal Fault - SGX (CVE-2018-3615) | Não |
L1 Terminal Fault - OS (CVE-2018-3620) não afeta os hipervisores VMware e requer um acesso local ao vCenter/VCSA
L1 Terminal Fault - SGX (CVE-2018-3615) não afeta os hipervisores VMware: https://kb.vmware.com/s/article/54913
No que diz respeito ao Private Cloud, a gama SDDC é a única a poder ficar afetada por esta vulnerabilidade.
Explicamos esta falha neste artigo.
Processo de mitigação
Tenha em conta que as ações descritas abaixo não permitem corrigir a falha, servem apenas para desativar o hyperthreading nos hosts ESXi. No entanto, visto que a falha L1TF necessita do hyperthreading para funcionar, a sua desativação irá proteger a sua infraestrutura da exploração desta vulnerabilidade.
O processo de mitigação está descrito no seguinte artigo da VMware: https://kb.vmware.com/s/article/55806.
Este procedimento divide-se em 3 partes.
1 - Atualização
Embora a OVH atualize o vCenter, deverá encarregar-se da atualização dos hosts ESXi. O patch está disponível no Update Manager.
Poderá consultar a lista de patches para os hosts ESXi neste documento.
Após a atualização, aparecerá a seguinte mensagem de alerta no resumo do host:
2 - Avaliação do ambiente
Os hosts ESXi já estão atualizados, mas a correção não foi aplicada.
Antes de o fazer, deve considerar os possíveis problemas que são explicados no artigo da VMware anteriormente referido, assim como a diminuição do rendimento observada, que é detalhada neste artigo.
3 - Ativação
Depois de consultar a documentação anterior, poderá ativar o parâmetro que permite desativar o hyperthreading na configuração avançada do sistema.
Tem à sua disposição um filtro no canto superior direito.
Esta operação deve ser realizada para cada um dos hosts.
Para obter mais informações, pode consultar a secção “Resolution”, artigo n.º 3, deste artigo da VMware.
Se, tendo em conta a informação referida anteriormente, não pretender desativar o hyperthreading, pode eliminar a mensagem de alerta seguindo os passos indicados neste artigo.
A OVH não recomenda esta solução e não se responsabiliza pelas consequências que possam advir.
Quer saber mais?
Fale com a nossa comunidade de utilizadores em https://community.ovh.com/en/