VMware публикува съвети за сигурност отнасящи се за vCenter Server, ESXi, Workstation and Fusion. Актуализации на vCenter Server, ESXi, Workstation и Fusion виртуализират нов контролен механизъм за спекулативно изпълнение във виртуални машини (VMs). В резултат на това, пачнатата Guest Operating System (Guest OS) може да отстрани проблема Branch Target Injection (CVE-2017-5715). Този проблем може да позволи разкриване на информация между процесите във виртуалните машини.
Като средство против CVE-2017-5715 в Guest OS, трябва да бъдат изпълнени следните изисквания на VMware и трети страни:
Изисквания на VMware:
Внедрете актуализираната версия на vCenter Server, посочена в таблицата (ако се използва vCenter Server).
Приложете пакетите на ESXi и / или новите версии за Workstation или Fusion, изброени в таблицата.
Уверете се, че вашите виртуални машини използват хардуерна версия 9 или по-нова. За най-добра производителност се препоръчва хардуерна версия 11 или по-нова версия.
Изисквания на трети страни:
Приложете корекциите на Guest OS, които отстраняват уязвимост CVE-2017-5715. Тези корекции трябва да бъдат получени от доставчика на операционната система.
Актуализирайте микрокода на CPU. Необходим е допълнителен микрокод за вашето CPU, за да можете да експонирате новите MSR, които се използват от коригираната операционна система. Този микрокод трябва да е доставен от доставчика на хардуерната платформа.
VMware предоставя няколко версии на необходимия микрокод от INTEL и AMD чрез пачовете на ESXi, изброени в таблицата.
Product | Version | Running on | Severity | Replace with/
Apply patch |
VC | 6.5 | Any | Important | 6.5 U1e * |
VC | 6.0 | Any | Important | 6.0 U3d * |
VC | 5.5 | Any | Important | 5.5 U3g * |
ESXi | 6.5 | Any | Important | ESXi650-201801401-BG
ESXi650-201801402-BG ** |
ESXi | 6.0 | Any | Important | ESXi600-201801401-BG
ESXi600-201801402-BG ** |
ESXi | 5.5 | Any | Important | ESXi550-201801401-BG ** |
Workstation | 14.x | Any | Important | 14.1.1 |
Workstation | 12.x | Any | Important | patch planned |
Fusion | 10.x | OS X | Important | 10.1.1 |
Fusion | 8.x | OS X | Important | 8.5.10 |
* Новите версии на vCenter сървър поставят ограничения за ESXi хостовете, присъединени към Enhanced vMotion Cluster. За подробности вижте статията 52 085 в базата знания на VMware.
** Тези пачове на ESXi инсталират микрокодовете, ако те са налични за вашето CPU. За подробности вижте статията 52 085 в базата знания на VMware.
CERT България препоръчва на потребителите и администраторите да се запознаят със съветите за сигурност на VMware VMSA-2018-0004 и да приложат необходимите ъпдейти.
https://www.vmware.com/security/advisories/VMSA-2018-0004.html
https://kb.vmware.com/s/article/52085