보안취약점중 Spectre-NG 라고 불리는 것에 대한 VMSA 가 발표되었습니다.
https://www.vmware.com/security/advisories/VMSA-2018-0012.html
연관된 CVE 는 다음과 같습니다.
CVE-2018-3639 (Speculative Store bypass issue)
CVE-2018-3640 (Rogue System Register Read)
위의 CVE 중 3640 에 대해서는 별도의 VMware Patch 는 요구되지 않으나, CPU Microcode 업데이트가 필요하며, 관련 코드가 아직은 release 되지 않은것으로 보입니다. (BIOS 업데이트 만으로 해결 가능)
CVE-2018-3639 는, Hypervisor-Assisted Guest Mitigation & Operating System Specific Mitigation 을 필요로 하기 때문에, Microcode update 및 ESXi & VC upgrade 를 필요로 합니다만, ESXi 와 vCenter 자체는 not affected 입니다.
추가될 Microcode 를 Guest OS 쪽으로 Expose 시켜주어야 하기 때문에 ESXi 및 Guest OS업데이트를 필요로 하지만, 아직 연관된 Microcode 가 release 되지 않았으며, Microcode update 후 Guest OS Level 에서의 패치로 필요로 합니다.
ESXi 자체를 patch 하진 않기 때문에 해당 패치로 인한 퍼포먼스 영향도는 언급되지 않았습니다. Guest OS level 에서의 영향은 있을수도 있겠지요.
기타 VMware 제품 및 appliance 제품들의 경우는 아직 조사가 진행중입니다만 현재 시점으로는 not affected 로 되어있습니다.
KB 는 아래 내용을 참조하시기 바랍니다.
https://kb.vmware.com/s/article/54951