Manuais OVH

Verificar e bloquear a falha L1TF

Saiba como bloquear a vulnerabilidade L1TF

Última atualização: 18/04/2019

Sumário

No seguimento da divulgação pública da vulnerabilidade L1TF (“L1 Terminal Fault " ou "Foreshadow"), foram publicados diversos procedimentos e patches para minimizar a exposição a este risco.

Este manual explica como bloquear esta vulnerabilidade.

Requisitos

  • Dispor de um utilizador com ligação ao vSphere.
  • Utilizar o hyperthreading nas suas máquinas virtuais

Instruções

Lembrete:

Variável Vulnerável Solucionado pelo patch?
Variável 1: L1 Terminal Fault - VMM (CVE-2018-3646) Sim Não (mas mitigado)
Variável 2: L1 Terminal Fault - OS (CVE-2018-3620) Não
Variável 3: L1 Terminal Fault - SGX (CVE-2018-3615) Não

L1 Terminal Fault - SGX (CVE-2018-3615) não afeta os hipervisores VMware: https://kb.vmware.com/s/article/54913

No que diz respeito ao Private Cloud, a gama SDDC é a única a poder ficar afetada por esta vulnerabilidade.

Explicamos esta falha neste artigo.

Processo de mitigação

Tenha em conta que as ações descritas abaixo não permitem corrigir a falha, servem apenas para desativar o hyperthreading nos hosts ESXi. No entanto, visto que a falha L1TF necessita do hyperthreading para funcionar, a sua desativação irá proteger a sua infraestrutura da exploração desta vulnerabilidade.

O processo de mitigação está descrito no seguinte artigo da VMware: https://kb.vmware.com/s/article/55806.

Este procedimento divide-se em 3 partes.

1 - Atualização

Embora a OVH atualize o vCenter, deverá encarregar-se da atualização dos hosts ESXi. O patch está disponível no Update Manager.

Poderá consultar a lista de patches para os hosts ESXi neste documento.

Após a atualização, aparecerá a seguinte mensagem de alerta no resumo do host:

2 - Avaliação do ambiente

Os hosts ESXi já estão atualizados, mas a correção não foi aplicada.

Antes de o fazer, deve considerar os possíveis problemas que são explicados no artigo da VMware anteriormente referido, assim como a diminuição do rendimento observada, que é detalhada neste artigo.

3 - Ativação

Depois de consultar a documentação anterior, poderá ativar o parâmetro que permite desativar o hyperthreading na configuração avançada do sistema.

Tem à sua disposição um filtro no canto superior direito.

Esta operação deve ser realizada para cada um dos hosts.

Para obter mais informações, pode consultar a secção “Resolution”, artigo n.º 3, deste artigo da VMware.

Se, tendo em conta a informação referida anteriormente, não pretender desativar o hyperthreading, pode eliminar a mensagem de alerta seguindo os passos indicados neste artigo.

A OVH não recomenda esta solução e não se responsabiliza pelas consequências que possam advir.

Quer saber mais?

Fale com a nossa comunidade de utilizadores em https://community.ovh.com/en/