요새 핫(?) 한 이슈인 Intel L1 Terminal fault 에 대한 VMware 의 Response 를 정리한 KB 들의 목록입니다.
제가 정리해놓은 상세한 내용이 있긴 합니다만, 해당 문서를 공개적으로 올리긴 어려워서, 아래 내용을 참고하시기 바랍니다.
이 이슈가 어떤 내용인지 비유하자면 다음과 같다고 합니다.
호텔이나 리조트에서 식사를 하고 나면, 그자리에서 결제를 할 수도 있지만, 일반적으로 방번호와 이름을 남기는 경우가 많습니다. 이때 다른 투숙객의 이름과 방번호, 체크아웃하는 날짜 등을 알고 있다면, 다른사람으로 해당 비용이 차지가 되도록 만들 수 있는데요, 문제는 해당 게스트가 체크아웃을 하고 나면 이게 잘못된 것 이라는 내용을 호텔측에서 뒤늦게 알아차리는 문제가 있다.. 이것과 유사하다.. 라고 합니다.
- 본 이슈와 연관되어있는 CVE
- CVE-2018-3646 (L1 Terminal Fault – VMM) –> Hypervisor Patch 필요
- CVE-2018-3620 (L1 Terminal Fault – OS) –> Guest OS Patch 필요
- CVE-2018-3615 (L1 Terminal Fault – SGX, SMM) – VMware Product 에 영향없음. (https://kb.vmware.com/s/article/54913)
- 본 이슈에 대한 VMware Overview
- CVE-2018-3646 에 대한 VMware 의 공식적인 대응방안이 설명되어 있는 KB
- CVE-2018-3646 의 공격 벡터 두가지에 대한 workaround 로 인한 성능 영향도
- VMware Performance Impact Statement for ‘L1 Terminal Fault – VMM’ (L1TF – VMM) mitigations: CVE-2018-3646 (55767)
- Sequential-context attack vector –> maximum 3%
- Concurrent-context attack vector –> ESXi Side-Channel-Aware Scheduler 의 활성화로 인한 성능영향이 큼으로 꼭 상세하게 읽어보시기 바랍니다.
- CVE-2018-3620 과 연관된 VMware Appliance 제품들 영향도
- CVE-2018-3646 에 대응하기 위해서 VMware 가 제공하는 HTAware Mitigation Tool 관련 KB
혹시나 문의가 있으면 남겨주세요.