VMware Security Advisories (VMSA-2018-0004.3)

VMSA-2018-0004 문서가 .3 으로 업데이트 되었습니다.
1월달에 릴리즈되었다가 포함된 Microcode issue 로 인하여 내려간뒤, 다시 업데이트 되어서 올라온 것입니다.

https://www.vmware.com/security/advisories/VMSA-2018-0004.html

다시한번 정리를 하면

VMware 에서는 Meltdown/Spectre 이슈에 대해 3가지로 분류하여 대응하고 있습니다.

  1. Hypervisor-Specific Mitigation
  2. Hypervisor-Assisted Guest Mitigation
  3. Operating System-Specific Mitigations

여기서 3번의 Operating System-Specific Mitigations 은 VMware 에서 대응하는 내용은 아닙니다.

1번의 Hypervisor-Specific Mitigation 의 경우 ESXi 는 Meltdown 에는 영향이 없고, Spectre 에만 영향을 받습니다. 이것과 관련해서는 이미 기존에 patch 가 나왔습니다.
문제는 2번 항목인데요,

최근 인텔 및 서버 벤더에서 해당 이슈를 fix 하기 위해서 CPU microcode 또는 BIOS update 를 배포하고 있습니다. 그러나 VMSA-2018-0004.3 에 포함된 ESXi 패치를 진행하지 않으면,
하드웨어벤더에서 제공한 패치를 진행하더라도 Guest OS 쪽에 새로 추가된 Microcode 를 노출시켜줄수가 없습니다. 따라서 ESXi 패치전까지는 Guest OS Vendor 를 통해 제공된 패치가 Software level 로 동작하게 됩니다.

그러나 VMSA-2018-0004.3 에 포함된 Microcode 와 패치를 진행하면

  1. 하드웨어벤더에서 제공한 Microcode/BIOS 패치가 없을 경우, ESXi 의 Microcode loader 를 사용하여, Guest OS 에서 사용할 수 있도록 지원
  2. 하드웨어벤더에서 제공한 Microcode/BIOS 가 있을 경우 별도로 Microcode 를 로드하지 않고, Guest OS 에서 사용할 수 있도록 지원

두가지 케이스로 사용이 되어, Hardware Level 로 support 할 수 있습니다.
The ESXi patches listed above will also automatically apply these critical CPU microcode updates if the server’s BIOS/Firmware has not already applied them. The mechanism defined by AMD and Intel always ensures that the latest microcode update is active regardless of the order in which the BIOS and OS apply them. As a result, ESXi will never override a newer version of the microcode update provided by BIOS nor will the BIOS with an older version prevent ESXi from applying the newer version.

따라서 완전하게 해당이슈에 대응하기 위해서는 위해서는,

Third Party 관련

  1. Guest OS 에 패치를 진행한다.
  2. CPU Microcode update 를 진행한다.

VMware 관련

  1. vCenter 를 아래버전으로 업그레이드 한다.
    • VCSA 6.5 : VC 6.5U1g
    • VCSA 6.0 : VC U3e
    • VCSA 5.5 : VC 5.5U3h 
  2. VMSA-2018-0004.3 에 포함된 ESXi 패치를 진행한다. (https://kb.vmware.com/s/article/52085)
    • ESXi 6.5 : 6.5 Build 7967591 (EP6)
    • ESXi 6.0 : 6.0 Build 7967664 (EP13)
    • ESXi 5.5 : 5.5 Build 7967571 (EP14)
  3. VM Hardware Version 을 9 or later 버전으로 업그레이드 한다. (Appliance 제품은 별도로 업그레이드 하지 마시기 바랍니다.)
  4. 새로 추가된 CPU Feature 를 볼수있도록 VM 을 완전히 Power recycle 한다.

적용이 제대로 되었다면, vmware.log 에서 아래와 같은 내용을 확인할 수 있습니다.
“Capability Found: cpuid.IBRS”
•“Capability Found: cpuid.IBPB”
•“Capabliity Found: cpuid.STIBP”

위와 같은 절차가 마무리 되면,

  1. Hypervisor-Specific Mitigation
  2. Hypervisor-Assisted Guest Mitigation
  3. Operating System-Specific Mitigations

에 대해 전부가 대응이 가능합니다.

추가적으로 성능저하 부분에 대한 KB 의 업데이트도 있습니다.
https://kb.vmware.com/s/article/52337
요약하면

  1.  Guest OS Patch 가 안된상태에서 ESXi & Microcode 업데이트만 진행할경우 2% 이하의 성능저하가 발생
  2.  Guest OS Patch 및 모든 패치가 완료된 상태의 경우, 특히 Heavy IO 환경에선 눈에 띌만한 성능저하가 있는것으로 보입니다. 다만 자세한 내용은 Guest OS Vendor 와 상의하라고 되어있습니다. Hypervisor 레벨의 경우 2% 이내의 저하가 있다 라는 점을 말하고 싶은것 같습니다.( Consistent with our findings above, the virtualization layer mitigations that are part of these full stack mitigations have minimal influence to the overall impact)

VMware Appliance 제품에 대한 패치의 경우
https://www.vmware.com/us/security/advisories/VMSA-2018-0007.html 를 통해 대응하고 있으니 참고하시면 됩니다.

 

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다