Anbieter VMware reagiert auf die am 14. August 2018 öffentlich bekannt gewordenen CPU-Schwachstellen (L1TF) mit Updates für seine Produkte VMware vSphere, Workstation, Player und Fusion.
Anzeige
Die Forshadow/L1TF-Schwachstelle
In Intel CPUs wurden am 14. August 2018 weitere Schwachstellen auf Hardwareebene bekannt, die das Abrufen von Ergebnissen ermöglichen. Ich hatte im Blog-Beitrag Foreshadow (L1TF), neue (Spectre-ähnliche) CPU-Schwachstellen berichtet. Intel weist darauf hin, dass die Lücken in Virtualisierungsumgebungen möglicherweise zusätzliche Maßnahmen erfordern, um die virtualisierten Gastsysteme zu schützen.
VMware Security Advisory VMSA-2018-0020
Im Sicherheitshinweis VMSA-2018-0020 vom 14. August 2018 weist VMware auf die Schwachstelle CVE-2018-3646 in seinen Produkten hin. Im Hypervisor könnten die Schwachstelle L1 Terminal Fault (L1TF – VMM) ausgenutzt werden. Eine VM mit einem bösartigen Inhalt kann möglicherweise auf L1-Daten eines früheren Kontexts (Hypervisor-Thread oder anderer VM-Thread) auf einem der beiden logischen Prozessoren eines Prozessorkerns (lesend) zugreifen. Details finden sich im Sicherheitshinweis VMSA-2018-0020 sowie in diesem VMware KB-Artikel. Betroffen sind:
- VMware vCenter Server (VC)
- VMware vSphere ESXi (ESXi)
- VMware Workstation Pro / Player (WS)
- VMware Fusion Pro / Fusion (Fusion)
VMware stuft die Lücken als kritisch ein und hat daher Updates für diverse Produkte freigegeben. Diese bietet man im Sicherheitshinweis VMSA-2018-0020 zum Download an. Bei heise.de schreibt man in diesem Artikel, dass einige Patches Mikrocode-Updates, die über BIOS-Updates einzuspielen sind, voraus.
Allerdings beißt sich, zumindest bei vSphere ESXi, die Katze in den Schwanz. Um Seitenkanalangriffe abzuschwächen, muss die Option ESXi-Side-Channel- Aware Scheduler eingeschaltet werden. Diese Option führt aber zu einer teilweise gravierenden Verschlechterung der Leistung. Daher schreibt VMware in VMSA-2018-0020:
Anzeige
The Concurrent-context attack vector is mitigated through enablement of a new feature known as the ESXi Side-Channel-Aware Scheduler. This feature may impose a non-trivial performance impact and is not enabled by default.
Man baut also ein Feature zum Schutz ein, deaktiviert dieses aber standardmäßig (wegen der negativen Beeinflussung der Leistung). Der Administrator muss es also aktivieren und schauen, ob die VMs dann noch vernünftig auf der Hardware laufen.
VMware Workstation Pro/Player-Update auf Version 14.1.3
Den Kollegen von deskmodder.de ist aufgefallen, dass VMware auch die VMware Workstation 14.1.3 Pro aktualisiert hat. Die Release Notes vom 14. August 2018 geben an, dass die OpenSSL Library Version openssl-1.0.2o verwendet wird. Zudem wird die in KB55636 angesprochene L1 Terminal Fault-Schwachstelle als behoben aufgeführt.
Download VMware Workstation 14.1.3
Download VMware Player 14.1.3
Ob die von mir kürzlich im Artikel VMware: Sicherheitsupdate und Player-Sicherheitsmängel angerissenen Sicherheitsmängel im VMware-Installer für Player und/oder Workstation beseitigt sind, habe ich nicht testet. Notfalls könnt ihr die von mir im Artikel Classic Shell heißt jetzt Open-Shell-Menü skizzierten Test selbst ausführen.
Ähnliche Artikel:
VMware: Sicherheitsupdate und Player-Sicherheitsmängel
VMware ESxi 6.5 kann (scheinbar) neue CPUs nicht nutzen
VMware: Updates für ESX-Server mit Spectre/Meltdown Patch
Knock-out: VMware Workstation/Player 14 verfügbar, brauchen neuere CPUs
Anzeige
