Nacharbeiten: VMware Updates gegen L1 Lücke
Wie schon kurz hier VMware Updates gegen L1 Lücke beschrieben, sind Nacharbeiten nach den Updates nötig.
Erkennbar ist dies an der Meldung "esx.problem.hyperthreading.unmitigated.formatonhost not found" im vcenter.
Die Meldung wird hier erklärt:
https://kb.vmware.com/s/article/57374
Hier geht's zur Lösung:
https://kb.vmware.com/s/article/55806
Im Prinzip besteht die Lücke aus zwei möglichen Angriffswegen, während der erste (Sequential-context attack vector) durch die Updates geschlossen wird, muss für den zweiten (Concurrent-context attack vector) ein Feature (SXi Side-Channel-Aware Scheduler) aktiviert werden.
Das Aktivieren dieser Option kann aber Performance kosten ("impose a non-trivial performance impact"), trotzdem wird das empfohlen.
Wichtig ist deswegen in der Planing Phase genau die Punkte unter 2 zu beachten.
Es gibt ein Tool (https://kb.vmware.com/s/article/56931) das bei dieser Aktion Unterstützung bietet.
Erkennbar ist dies an der Meldung "esx.problem.hyperthreading.unmitigated.formatonhost not found" im vcenter.
Die Meldung wird hier erklärt:
https://kb.vmware.com/s/article/57374
Hier geht's zur Lösung:
https://kb.vmware.com/s/article/55806
Im Prinzip besteht die Lücke aus zwei möglichen Angriffswegen, während der erste (Sequential-context attack vector) durch die Updates geschlossen wird, muss für den zweiten (Concurrent-context attack vector) ein Feature (SXi Side-Channel-Aware Scheduler) aktiviert werden.
Das Aktivieren dieser Option kann aber Performance kosten ("impose a non-trivial performance impact"), trotzdem wird das empfohlen.
Wichtig ist deswegen in der Planing Phase genau die Punkte unter 2 zu beachten.
Es gibt ein Tool (https://kb.vmware.com/s/article/56931) das bei dieser Aktion Unterstützung bietet.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 384971
Url: https://administrator.de/knowledge/nacharbeiten-vmware-updates-gegen-l1-luecke-384971.html
Ausgedruckt am: 24.12.2024 um 19:12 Uhr