روش بروزرسانی محصولات VMware و سرور HP جهت رفع آسیب پذیری پردازنده

همان طور که در چند هفته اخیر، اخباری مبنی بر آسیب پذیری پردازنده نسبت به Spectre و Meltdown پخش شده است، شرکت های بسیاری شروع به ارائه وصله های امنیتی کرده اند. در حوزه مجازی سازی نیز، شرکت VMware بروز رسانی هایی را برای محصولات vSphere ارائه داده است که در زیر مشخصات و نحوه بروز رسانی آن ها را نشان می دهیم.
هم اکنون رخنه های امنیتی طبق جدول زیر دسته بندی شده اند:
 

Exploit Name Exploited Vulnerability Exploit Name / CVE Microcode update required on the host
Variant 1 Spectre Bounds check bypass
CVE-2017-5753
No
Variant 2 Spectre Branch target injection
CVE-2017-5715
Yes
Variant 3 Meltdown Rogue data cache load
CVE-2017-5754
No
VMware
وبسایت مشاوره های امنیتی VMware، آخرین راه حل ها برای جلوگیری از نفوذ پذیری ها را بیان می کند. این دو مورد تا به الان به لیست رفع آسیب پذیری ها اضافه شده اند:
VMSA-2018-0002.2 (updated 2018-01-13) برای ماشین فوق ناظر.
VMSA-2018-0004.2 برای حل Hypervisor-Assisted Guest
این دو مورد برای کاهش حمله به میکرو کد پردازنده از نوع CVE-2017-5715 ارائه شده اند که باید طبق شرایط زیر انجام شود:
1-آپگرید کردن vCenter Server به:
6.5 U1e (Build Number 7515524)
6.0 U3d (Build Number 7464194)
5.5 U3g (Build Number 7460842)
2-اعمال وصله ESXi:
3- اعمال بروز رسانی میکروکد / بایوس برای CVE-2017-5715
(با توجه به توضیحات اینتل مبنی بر مشکلات وصله جدید برای رفع دو حفره Meltdown و Spectre، فعلا از این مرحله باید صرف نظر شود.)
**این نسخه ها از وصله های جداگانه برای ماشین فوق ناظر و میکروکد استفاده می کند.
* این نسخه از یک وصله برای هر دو ماشین فوق ناظر و میکروکد استفاده می کند.
برای هر ماشین مجازی، Hypervisor-Assisted Guest mitigation از طریق زیر فعال شود:
  1. ماشین خاموش شود.
  2. یک Snapshot از ماشین گرفته شود.
  3. ماشین روشن شود.
  4. همه وصله های امنیتی برای سیستم عامل آن ماشین اعمال شوند.
  5. از استفاده نسخه 9 سخت افزار به بالا برای ماشین مجازی اطمینان حاصل شود.
    توجه شود که برای حل Hypervisor-Assisted Guest mitigation به حداقل نسخه 9 نیاز است. برای جلوگیری از کاهش کارایی ماشین های مجازی، نسخه 11 به بالا پیشنهاد می شود. نسخه 11 سخت افزار مجازی که در ESXi 6.0 به بعد در دسترس است، ویژگی PCID/INVPCID را فعال می کند. این ویژگی از تأثیر کارایی CVE-2017-5754 جلوگیری می کند. به شرط آن که پردازنده این ویژگی ها را پشتیبانی کند. ESXi 6.5 نیز از نسخه 13 سخت افزار استفاده می کند.
  6. ماشین مجازی را آزمایش کنید تا ایرادی نداشته باشد. در صورت بروز مشکل می توانید با Snapshot به وضعیت قبلی بر گردانید.
  7. می توانید Snapshot را حذف کنید.
HPE
در مورد شرکت HPE به نظر نمی آید که مدل های G7 و G6 بروز رسانی بشوند. اگر چه ROM هایی جهت بروز رسانی میکرو کد در سایت این شرکت گذاشته شده است، اما به دستور اینتل، این ROM ها از سایت برداشته شده اند. فعلا تا اطلاع ثانویه از طرف اینتل، بروز رسانی متوقف شده اند. لازم به ذکر است که در آینده با ارائه سفت افزار، حتما از پیشنهاد شرکت HPE برای بروز رسانی استفاده کنید، در غیر این صورت ممکن است سرور بوت نشود.
لنگرتوجه شود که برای برطرف کردن نوع اول حفره  Spectre و حفره Meltdown فقط با بروز رسانی سیستم عامل کفایت می کند و نوع دوم Spectre به بروز رسانی سیستم عامل و میکرو کد نیاز دارد.


اضافه کردن نظر

باید ورود به سیستم برای اتخاذ یک دیدگاه »است.