Verificar e bloquear a falha L1TF
251 visualizações
26.02.2019 
Cloud / VMware
Sumário
No seguimento da divulgação pública da vulnerabilidade L1TF (“L1 Terminal Fault" ou "Foreshadow"), foram publicados diversos procedimentos e patches para minimizar a exposição a este risco.
Este manual explica como bloquear esta vulnerabilidade.
Requisitos
- Dispor de um utilizador com ligação ao vSphere.
- Utilizar o hyperthreading nas suas máquinas virtuais
Instruções
Lembrete:
| Variável | Vulnerável | Solucionado pelo patch? |
|---|---|---|
| Variável 1: L1 Terminal Fault - VMM (CVE-2018-3646) | Sim | Não (mas mitigado) |
| Variável 2: L1 Terminal Fault - OS (CVE-2018-3620) | Não | |
| Variável 3: L1 Terminal Fault - SGX (CVE-2018-3615) | Não |
L1 Terminal Fault - OS (CVE-2018-3620) não afeta os hipervisores VMware e requer um acesso local ao vCenter/VCSA
L1 Terminal Fault - SGX (CVE-2018-3615) não afeta os hipervisores VMware: https://kb.vmware.com/s/article/54913
No que diz respeito ao Private Cloud, a gama SDDC é a única a poder ficar afetada por esta vulnerabilidade.
Explicamos esta falha neste artigo.
Processo de mitigação
Tenha em conta que as ações descritas abaixo não permitem corrigir a falha, servem apenas para desativar o hyperthreading nos hosts ESXi. No entanto, visto que a falha L1TF necessita do hyperthreading para funcionar, a sua desativação irá proteger a sua infraestrutura da exploração desta vulnerabilidade.
O processo de mitigação está descrito no seguinte artigo da VMware: https://kb.vmware.com/s/article/55806.
Este procedimento divide-se em 3 partes.
1 - Atualização
Embora a OVHcloud atualize o vCenter, deverá encarregar-se da atualização dos hosts ESXi. O patch está disponível no Update Manager.
Poderá consultar a lista de patches para os hosts ESXi neste documento.
Após a atualização, aparecerá a seguinte mensagem de alerta no resumo do host:
2 - Avaliação do ambiente
Os hosts ESXi já estão atualizados, mas a correção não foi aplicada.
Antes de o fazer, deve considerar os possíveis problemas que são explicados no artigo da VMware anteriormente referido, assim como a diminuição do rendimento observada, que é detalhada neste artigo.
3 - Ativação
Depois de consultar a documentação anterior, poderá ativar o parâmetro que permite desativar o hyperthreading na configuração avançada do sistema.
Tem à sua disposição um filtro no canto superior direito.
Esta operação deve ser realizada para cada um dos hosts.
Para obter mais informações, pode consultar a secção “Resolution”, artigo n.º 3, deste artigo da VMware.
Se, tendo em conta a informação referida anteriormente, não pretender desativar o hyperthreading, pode eliminar a mensagem de alerta seguindo os passos indicados neste artigo.
A OVHcloud não recomenda esta solução e não se responsabiliza pelas consequências que possam advir.
Quer saber mais?
Fale com a nossa comunidade de utilizadores em https://community.ovh.com/en/
Utilização da dupla autenticação (2FA) na sua infraestrutura Hosted Private Cloud
287