Meltdown, Spectre issue for ESXi(2)

업데이트 겸 해서 내용을 좀더 정리해봤습니다. (2018/Jan/25 기준)

문제가 되는 부분은 3가지 입니다.

Variant 1: bounds check bypass (CVE-2017-5753) – a.k.a. Spectre
Variant 2: branch target injection (CVE-2017-5715) – a.k.a. Spectre
Variant 3: rogue data cache load (CVE-2017-5754) – a.k.a. Meltdown

이중 Intel 은 1,2,3 모두, AMD 및 기타 프로세서는 1,2 가 해당되는 것으로 알려져있습니다. 알고 계시겠지만, 이것은 Processor 의 설계 및 아키텍처로 인해 발생하는 내용입니다.

VMware 에서는 3가지로 분류해서 대응중입니다.

  • Hypervisor-Specific Mitigation
    • Hypervisor 인 ESXi 에 대응하는 내용
  • Hypervisor-Assisted Guest Mitigation
    • Hypervisor 를 통해 Guest OS 의 취약점 개선을 서포트 하는 내용
  • Operating System-Specific Mitigations
    • Guest OS Vendor 의 대응이 필요한 부분

1번인 Hypervisor-Specific Mitigation 의 경우, ESXi Hypervisor 는 Variant 1,2 에만 Affected 되며, Variant 3 의 경우 not affected 합니다. 따라서 Variant 1,2 로 인한 취약점을 개선에 대한 VMSA-2018-0002 (2018/1/3)를 발표하였습니다. 여기서 VMSA 는 VMware Security Advisories 의 줄임말 입니다. https://www.vmware.com/us/security/advisories/VMSA-2018-0002.html

위 내용에 따르면, ESXi 6.5, 6.0 버전의 경우 Variant 1,2 에 대응하는 패치가 이미 Released 되어있으며, ESXi 5.5 의 경우 Variant 2 에 대해서만 아직 fix 되었으나, 얼마전 Variant 1 에도 대응하는 패치가 릴리즈 되었습니다. https://blogs.vmware.com/security/2018/01/vmsa-2018-0002.html

ESXi 6.5 – ESXi 6.5 patch2 (2017/12/19 released)
ESXi 6.0 – ESXi 6.0 Patch 6 (2017/11/09 released)
ESXi 5.5 – ESXi 5.5 Update 3g(?) (2018/01/22 released)

따라서 위의 패치를 진행할경우, ESXi 6.5, 6.0, 5.5 에 대해서는 Spectre 이슈에 대해서 대응이 가능합니다.
성능저하와 관련해서 업데이트가 있을 경우 https://kb.vmware.com/s/article/52337 가 업데이트 될 것입니다.

2번 Hypervisor-Assisted Guest Mitigation 의 경우, 간단히 설명드리면, Intel 에서 해당 이슈에 대응하기 위해서 CPU Microcode 를 발표했습니다. 새로 추가된 Microcode 를 Guest OS 쪽에서 사용할 수 있도록 ESXi 에 대한 패치를 진행한것입니다. 보통 서버 하드웨어의 바이오스나, 펌웨어가 release 될때까지 시간이 걸리기 때문에, 나올때까지 VMware 에서 선제적으로 해당 마이크로코드를 포함한 ESXi 및 vCenter 패치를 발표하였습니다. 해당 패치의 내용이 VMSA-2018-0004 (2018/1/9) 에서 설명(https://www.vmware.com/us/security/advisories/VMSA-2018-0004.html)되었으나, 인텔에서 제공한 Microcode 에 문제가 있어서, Intel 에서 배포중지를 요청하여 현재 해당 패치버전의 사용은 중지된 상태입니다. (https://kb.vmware.com/s/article/52345)

ESXi 6.5 – ESXi 6.5 U1e
ESXi 6.0 – ESXi 6.0 U3d
ESXi 5.5 – ESXi 5.5 U3g (Variant 1 에 대한 fix 가 포함됨)

추후에 다시 업데이트가 있을 예정입니다.

위 패치를 진행하지 않더라도, Guest OS Vendor 사에서 제공하는 Guest OS 패치를 적용하고 사용하고 계신 기존에 발표된 ESXi 버전에 맞는 패치를 진행 하신다면, Hypervisor ESXi 와 Guest OS 에 대한 보안 취약점은 개선됩니다. 다만 Hardware 의 결함을 소프트웨어적으로 패치한 상태라고 보시면 되겠습니다.

3번 Operating System-Specific Mitigations 의 경우 VMware 에서 제공하는 내용은 아니며, 각 OS Vendor 사에서 제공하는 패치를 진행하시면 됩니다.

추가적으로 VMware 의 Appliance 제품의 경우, 아래 KB 를 통해서 affected/not affected list 가 업데이트 되고 있습니다. 참고 부탁드립니다.

https://kb.vmware.com/s/article/52264

감사합니다.

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다