In merito al recente problema della CVE in
oggetto (https://nvd.nist.gov/vuln/detail/CVE-2018-3646 meglio
nota come l'evoluzione di Spectre e Meltdown, ma applicato alla
cache L1 della CPU), vmware ha rilasciato due Knowledge Base:
Appena aggiorniamo un host alla 6.7, ci compare il warn.
Riassumo brevemente di cosa si tratta.
Rischi
La vulnerabilità scoperta riguarda le CPU
Intel (tutte) ed intacca l'integrità delle macchine. In casi
particolari è possibile eseguire codice arbitrario in grado di
far leggere da una VM la cache L1 della CPU di un'altra VM. Va
detto che non è proprio così semplice che questo avvenga e che
si tratta di un accesso importante ma meno facile di quanto possa
accadere con altri attacchi più semplici. Inoltre l'attaccante
deve avere una vm con accessi root/administrator e poter
eseguire liberamente codice (che, per inciso, ad oggi non è stato ancora scritto, si tratta di una vulnerabilità teorica, anche se per poco).
Soluzione
Applicare la patch non è indolore, le
performance della CPU diminuiscono, i core si dimezzano
(sostanzialmente viene disabilitato l'HT) e questo su sistemi
con alto carico di elaborazione può comportare deglli
abbassamenti di performance considerevoli.
Vmware dice in sostanza (nello schema sotto
riportato):
- Te lo puoi permettere? Se no, tutte le tue vm
sono più o meno sicure (ovvero, non sei un provider che vende
macchine virtuali a sconosciuti)? Allora accetti a tuo rischio
di tenerti la vulnerabilità. Altrimenti procedi con la patch
(anche a costo di comprare nuove risorse hardware).
La scelta ricade sull'IT che deve valutare se tenersi la vulnerabilità avendo però maggiori performance, oppure applicare la patch e intaccare la velocità delle CPU.
In questo caso però il tool HTAwareMitigationAnalysis di vmware ci viene in soccorso estrapolando un report indicandoci se il nostro cluster potrebbe entrare in sofferenza.
Buon divertimento!
Discaimer: Ogni articolo di questo blog è stato integralmente scritto dall'autore. Il contenuto è completamente originale e la riproduzione, anche parziale, è vietata salvo autorizzazione.