VMware публикува съвети за сигурност

VMware публикува съвети за сигурност отнасящи се за vCenter Server, ESXi, Workstation and Fusion. Актуализации на vCenter Server, ESXi, Workstation и Fusion виртуализират нов контролен механизъм за спекулативно изпълнение във виртуални машини (VMs). В резултат на това, пачнатата Guest Operating System (Guest OS) може да отстрани проблема Branch Target Injection (CVE-2017-5715). Този проблем може да позволи разкриване на информация между процесите във виртуалните машини.

Като средство против  CVE-2017-5715 в Guest OS, трябва да бъдат изпълнени следните изисквания на VMware и трети страни:

Изисквания на VMware:

Внедрете актуализираната версия на vCenter Server, посочена в таблицата (ако се използва vCenter Server).

Приложете пакетите на ESXi и / или новите версии за Workstation или Fusion, изброени в таблицата.

Уверете се, че вашите виртуални машини използват хардуерна версия 9 или по-нова. За най-добра производителност се препоръчва хардуерна версия 11 или по-нова версия.

Изисквания на трети страни:

Приложете корекциите на Guest OS, които отстраняват уязвимост CVE-2017-5715. Тези корекции трябва да бъдат получени от доставчика на операционната система.

Актуализирайте микрокода на CPU. Необходим е допълнителен микрокод за вашето CPU, за да можете да експонирате новите MSR, които се използват от коригираната операционна система. Този микрокод трябва да е доставен от доставчика на хардуерната платформа.

VMware предоставя няколко версии на необходимия микрокод от INTEL и AMD чрез пачовете на ESXi, изброени в таблицата.

ProductVersionRunningonSeverityReplace with/ 
Apply patch
 VC 6.5 Any Important 6.5 U1e *
 VC 6.0 Any Important 6.0 U3d *
 VC 5.5 Any Important 5.5 U3g *
 ESXi 6.5 Any Important ESXi650-201801401-BG
ESXi650-201801402-BG **
 ESXi 6.0 Any Important ESXi600-201801401-BG 
ESXi600-201801402-BG **
 ESXi 5.5 Any Important ESXi550-201801401-BG **
 Workstation14.x Any Important 14.1.1 
 Workstation12.x Any Important patch planned 
 Fusion 10.x OS XImportant 10.1.1 
 Fusion 8.x OS XImportant 8.5.10 

Новите версии на vCenter сървър поставят ограничения за ESXi хостовете, присъединени към  Enhanced vMotion Cluster. За подробности вижте статията 52 085 в базата знания на VMware.

** Тези пачове на ESXi инсталират микрокодовете, ако те са налични за вашето CPU. За подробности вижте статията 52 085 в базата знания на VMware.

CERT България препоръчва на потребителите и администраторите да се запознаят със съветите за сигурност на VMware VMSA-2018-0004 и да приложат необходимите ъпдейти.

https://www.vmware.com/security/advisories/VMSA-2018-0004.html

https://kb.vmware.com/s/article/52085