Verificar e bloquear a falha L1TF
Saiba como bloquear a vulnerabilidade L1TF
Bem-vindo/a à OVHcloud!
Identifique-se para encomendar, gerir os seus produtos e serviços e seguir as suas encomendas
AcederSaiba como bloquear a vulnerabilidade L1TF
Última atualização: 18/04/2019
No seguimento da divulgação pública da vulnerabilidade L1TF (“L1 Terminal Fault " ou "Foreshadow"), foram publicados diversos procedimentos e patches para minimizar a exposição a este risco.
Este manual explica como bloquear esta vulnerabilidade.
Lembrete:
Variável | Vulnerável | Solucionado pelo patch? |
---|---|---|
Variável 1: L1 Terminal Fault - VMM (CVE-2018-3646) | Sim | Não (mas mitigado) |
Variável 2: L1 Terminal Fault - OS (CVE-2018-3620) | Não | |
Variável 3: L1 Terminal Fault - SGX (CVE-2018-3615) | Não |
L1 Terminal Fault - OS (CVE-2018-3620) não afeta os hipervisores VMware e requer um acesso local ao vCenter/VCSA
L1 Terminal Fault - SGX (CVE-2018-3615) não afeta os hipervisores VMware: https://kb.vmware.com/s/article/54913
No que diz respeito ao Private Cloud, a gama SDDC é a única a poder ficar afetada por esta vulnerabilidade.
Explicamos esta falha neste artigo.
Tenha em conta que as ações descritas abaixo não permitem corrigir a falha, servem apenas para desativar o hyperthreading nos hosts ESXi. No entanto, visto que a falha L1TF necessita do hyperthreading para funcionar, a sua desativação irá proteger a sua infraestrutura da exploração desta vulnerabilidade.
O processo de mitigação está descrito no seguinte artigo da VMware: https://kb.vmware.com/s/article/55806.
Este procedimento divide-se em 3 partes.
Embora a OVH atualize o vCenter, deverá encarregar-se da atualização dos hosts ESXi. O patch está disponível no Update Manager.
Poderá consultar a lista de patches para os hosts ESXi neste documento.
Após a atualização, aparecerá a seguinte mensagem de alerta no resumo do host:
Os hosts ESXi já estão atualizados, mas a correção não foi aplicada.
Antes de o fazer, deve considerar os possíveis problemas que são explicados no artigo da VMware anteriormente referido, assim como a diminuição do rendimento observada, que é detalhada neste artigo.
Depois de consultar a documentação anterior, poderá ativar o parâmetro que permite desativar o hyperthreading na configuração avançada do sistema.
Tem à sua disposição um filtro no canto superior direito.
Esta operação deve ser realizada para cada um dos hosts.
Para obter mais informações, pode consultar a secção “Resolution”, artigo n.º 3, deste artigo da VMware.
Se, tendo em conta a informação referida anteriormente, não pretender desativar o hyperthreading, pode eliminar a mensagem de alerta seguindo os passos indicados neste artigo.
A OVH não recomenda esta solução e não se responsabiliza pelas consequências que possam advir.
Fale com a nossa comunidade de utilizadores em https://community.ovh.com/en/
Não hesite em propor-nos sugestões de melhoria para fazer evoluir este manual.
Imagens, conteúdo, estrutura... Não hesite em dizer-nos porquê para evoluirmos em conjunto!
Os seus pedidos de assistência não serão tratados através deste formulário. Para isso, utilize o formulário "Criar um ticket" .
Obrigado. A sua mensagem foi recebida com sucesso.
Aceda ao seu espaço comunitário. Coloque as suas questões, procure informações e interaja com outros membros do OVHcloud Community.
Discuss with the OVHcloud community