Sicherheitsupdate für CPU-Lücke in VMware-Produkten 14.8.18

Anbieter VMware reagiert auf die am 14. August 2018 öffentlich bekannt gewordenen CPU-Schwachstellen (L1TF) mit Updates für seine Produkte VMware vSphere,  Workstation, Player und Fusion.


Anzeige

Die Forshadow/L1TF-Schwachstelle

In Intel CPUs wurden am 14. August 2018 weitere Schwachstellen auf Hardwareebene bekannt, die das Abrufen von Ergebnissen ermöglichen. Ich hatte im Blog-Beitrag Foreshadow (L1TF), neue (Spectre-ähnliche) CPU-Schwachstellen berichtet. Intel weist darauf hin, dass die Lücken in Virtualisierungsumgebungen möglicherweise zusätzliche Maßnahmen erfordern, um die virtualisierten Gastsysteme zu schützen.

VMware Security Advisory VMSA-2018-0020

Im Sicherheitshinweis VMSA-2018-0020 vom 14. August 2018 weist VMware auf die Schwachstelle CVE-2018-3646 in seinen Produkten hin. Im Hypervisor könnten die Schwachstelle L1 Terminal Fault (L1TF – VMM) ausgenutzt werden. Eine VM mit einem bösartigen Inhalt kann möglicherweise auf L1-Daten eines früheren Kontexts (Hypervisor-Thread oder anderer VM-Thread) auf einem der beiden logischen Prozessoren eines Prozessorkerns (lesend) zugreifen. Details finden sich im Sicherheitshinweis VMSA-2018-0020 sowie in diesem VMware KB-Artikel. Betroffen sind:

  • VMware vCenter Server (VC)
  • VMware vSphere ESXi (ESXi)
  • VMware Workstation Pro / Player (WS)
  • VMware Fusion Pro / Fusion (Fusion)  

VMware stuft die Lücken als kritisch ein und hat daher Updates für diverse Produkte freigegeben. Diese bietet man im Sicherheitshinweis VMSA-2018-0020 zum Download an. Bei heise.de schreibt man in diesem Artikel, dass einige Patches Mikrocode-Updates, die über BIOS-Updates einzuspielen sind, voraus.

Allerdings beißt sich, zumindest bei vSphere ESXi, die Katze in den Schwanz. Um Seitenkanalangriffe abzuschwächen, muss die Option ESXi-Side-Channel- Aware Scheduler eingeschaltet werden. Diese Option führt aber zu einer teilweise gravierenden Verschlechterung der Leistung. Daher schreibt VMware in VMSA-2018-0020:

The Concurrent-context attack vector is mitigated through enablement of a new feature known as the ESXi Side-Channel-Aware Scheduler. This feature may impose a non-trivial performance impact and is not enabled by default.

Man baut also ein Feature zum Schutz ein, deaktiviert dieses aber standardmäßig (wegen der negativen Beeinflussung der Leistung). Der Administrator muss es also aktivieren und schauen, ob die VMs dann noch vernünftig auf der Hardware laufen.

VMware Workstation Pro/Player-Update auf Version 14.1.3

Den Kollegen von deskmodder.de ist aufgefallen, dass VMware auch die VMware Workstation 14.1.3 Pro aktualisiert hat. Die Release Notes vom 14. August 2018 geben an, dass die OpenSSL Library Version openssl-1.0.2o verwendet wird. Zudem wird die in KB55636 angesprochene L1 Terminal Fault-Schwachstelle als behoben aufgeführt. 

Download VMware Workstation 14.1.3
Download VMware Player 14.1.3

Ob die von mir kürzlich im Artikel VMware: Sicherheitsupdate und Player-Sicherheitsmängel angerissenen Sicherheitsmängel im VMware-Installer für Player und/oder Workstation beseitigt sind, habe ich nicht testet. Notfalls könnt ihr die von mir im Artikel Classic Shell heißt jetzt Open-Shell-Menü skizzierten Test selbst ausführen.


Anzeige

Ähnliche Artikel:
VMware: Sicherheitsupdate und Player-Sicherheitsmängel 
VMware ESxi 6.5 kann (scheinbar) neue CPUs nicht nutzen
VMware: Updates für ESX-Server mit Spectre/Meltdown Patch
Knock-out: VMware Workstation/Player 14 verfügbar, brauchen neuere CPUs


Anzeige


Dieser Beitrag wurde unter Sicherheit, Update, Virtualisierung abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.