وبسایت مشاوره های امنیتی VMware، آخرین راه حل ها برای جلوگیری از نفوذ پذیری ها را بیان می کند. این دو مورد تا به الان به لیست رفع آسیب پذیری ها اضافه شده اند:
شنبه ۷ بهمن ۱۳۹۶ ساعت ۱۲:۰۴
روش بهروزرسانی محصولات VMware و سرور HP جهت رفع آسیب پذیری پردازنده
همان طور که در چند هفته اخیر، اخباری مبنی بر آسیب پذیری پردازنده نسبت به Spectre و Meltdown پخش شده است، شرکت های بسیاری شروع به ارائه وصلههای امنیتی کرده اند. در حوزه مجازی سازی نیز، شرکت VMware بهروز رسانی هایی را برای محصولات vSphere ارائه داده است که در زیر مشخصات و نحوه بهروزرسانی آن ها را نشان می دهیم.
هم اکنون رخنه های امنیتی طبق جدول زیر دسته بندی شده اند:
هم اکنون رخنه های امنیتی طبق جدول زیر دسته بندی شده اند:
| Exploit Name | Exploited Vulnerability | Exploit Name / CVE | Microcode update required on the host |
| Variant 1 | Spectre | Bounds check bypass CVE-2017-5753 |
No |
| Variant 2 | Spectre | Branch target injection CVE-2017-5715 |
Yes |
| Variant 3 | Meltdown | Rogue data cache load CVE-2017-5754 |
No |
VMware
وبسایت مشاوره های امنیتی VMware، آخرین راه حل ها برای جلوگیری از نفوذ پذیری ها را بیان می کند. این دو مورد تا به الان به لیست رفع آسیب پذیری ها اضافه شده اند:
VMSA-2018-0002.2 (updated 2018-01-13) برای ماشین فوق ناظر.
VMSA-2018-0004.2 برای حل Hypervisor-Assisted Guest
این دو مورد برای کاهش حمله به میکرو کد پردازنده از نوع CVE-2017-5715 ارائه شده اند که باید طبق شرایط زیر انجام شود:
1-آپگرید کردن vCenter Server به:
6.5 U1e (Build Number 7515524)
6.0 U3d (Build Number 7464194)
5.5 U3g (Build Number 7460842)
6.0 U3d (Build Number 7464194)
5.5 U3g (Build Number 7460842)
2-اعمال وصله ESXi:
3- اعمال بروز رسانی میکروکد / بایوس برای CVE-2017-5715
(با توجه به توضیحات اینتل مبنی بر مشکلات وصله جدید برای رفع دو حفره Meltdown و Spectre، فعلا از این مرحله باید صرف نظر شود.)
** این نسخه ها از وصله های جداگانه برای ماشین فوق ناظر و میکروکد استفاده می کند.
* این نسخه از یک وصله برای هر دو ماشین فوق ناظر و میکروکد استفاده می کند.
برای هر ماشین مجازی، Hypervisor-Assisted Guest mitigation از طریق زیر فعال شود:
(با توجه به توضیحات اینتل مبنی بر مشکلات وصله جدید برای رفع دو حفره Meltdown و Spectre، فعلا از این مرحله باید صرف نظر شود.)
** این نسخه ها از وصله های جداگانه برای ماشین فوق ناظر و میکروکد استفاده می کند.
* این نسخه از یک وصله برای هر دو ماشین فوق ناظر و میکروکد استفاده می کند.
برای هر ماشین مجازی، Hypervisor-Assisted Guest mitigation از طریق زیر فعال شود:
- ماشین خاموش شود.
- یک Snapshot از ماشین گرفته شود.
- ماشین روشن شود.
- همه وصله های امنیتی برای سیستم عامل آن ماشین اعمال شوند.
- از استفاده نسخه 9 سخت افزار به بالا برای ماشین مجازی اطمینان حاصل شود. توجه شود که برای حل Hypervisor-Assisted Guest mitigation به حداقل نسخه 9 نیاز است. برای جلوگیری از کاهش کارایی ماشین های مجازی، نسخه 11 به بالا پیشنهاد می شود. نسخه 11 سخت افزار مجازی که در ESXi 6.0 به بعد در دسترس است، ویژگی PCID/INVPCID را فعال می کند. این ویژگی از تأثیر کارایی CVE-2017-5754 جلوگیری می کند. به شرط آن که پردازنده این ویژگی ها را پشتیبانی کند. ESXi 6.5 نیز از نسخه 13 سخت افزار استفاده می کند.
- ماشین مجازی را آزمایش کنید تا ایرادی نداشته باشد. در صورت بروز مشکل می توانید با Snapshot به وضعیت قبلی بر گردانید.
- می توانید Snapshot را حذف کنید.
- یک Snapshot از ماشین گرفته شود.
- ماشین روشن شود.
- همه وصله های امنیتی برای سیستم عامل آن ماشین اعمال شوند.
- از استفاده نسخه 9 سخت افزار به بالا برای ماشین مجازی اطمینان حاصل شود. توجه شود که برای حل Hypervisor-Assisted Guest mitigation به حداقل نسخه 9 نیاز است. برای جلوگیری از کاهش کارایی ماشین های مجازی، نسخه 11 به بالا پیشنهاد می شود. نسخه 11 سخت افزار مجازی که در ESXi 6.0 به بعد در دسترس است، ویژگی PCID/INVPCID را فعال می کند. این ویژگی از تأثیر کارایی CVE-2017-5754 جلوگیری می کند. به شرط آن که پردازنده این ویژگی ها را پشتیبانی کند. ESXi 6.5 نیز از نسخه 13 سخت افزار استفاده می کند.
- ماشین مجازی را آزمایش کنید تا ایرادی نداشته باشد. در صورت بروز مشکل می توانید با Snapshot به وضعیت قبلی بر گردانید.
- می توانید Snapshot را حذف کنید.
HPE
در مورد شرکت HPE به نظر نمی آید که مدل های G7 و G6 بهروز رسانی بشوند. اگر چه ROM هایی جهت بهروز رسانی میکرو کد در سایت این شرکت گذاشته شده است، اما به دستور اینتل، این ROM ها از سایت برداشته شده اند. فعلا تا اطلاع ثانویه از طرف اینتل، بروز رسانی متوقف شده اند. لازم به ذکر است که در آینده با ارائه سفت افزار، حتما از پیشنهاد شرکت HPE برای بروز رسانی استفاده کنید، در غیر این صورت ممکن است سرور بوت نشود.
توجه شود که برای برطرف کردن نوع اول حفره Spectre و حفره Meltdown فقط با بروز رسانی سیستم عامل کفایت می کند و نوع دوم Spectre به بروز رسانی سیستم عامل و میکرو کد نیاز دارد.
کاریار ارقام مرکز تخصصی آموزش فناوری اطلاعات
منبع : http://blog.cdigit.com/?p=4333
عضویت در کانال تلگرام : https://t.me/cdigit
تماس : 02188612979
کاریار ارقام
در مورد شرکت HPE به نظر نمی آید که مدل های G7 و G6 بهروز رسانی بشوند. اگر چه ROM هایی جهت بهروز رسانی میکرو کد در سایت این شرکت گذاشته شده است، اما به دستور اینتل، این ROM ها از سایت برداشته شده اند. فعلا تا اطلاع ثانویه از طرف اینتل، بروز رسانی متوقف شده اند. لازم به ذکر است که در آینده با ارائه سفت افزار، حتما از پیشنهاد شرکت HPE برای بروز رسانی استفاده کنید، در غیر این صورت ممکن است سرور بوت نشود.
توجه شود که برای برطرف کردن نوع اول حفره Spectre و حفره Meltdown فقط با بروز رسانی سیستم عامل کفایت می کند و نوع دوم Spectre به بروز رسانی سیستم عامل و میکرو کد نیاز دارد.
کاریار ارقام مرکز تخصصی آموزش فناوری اطلاعات
منبع : http://blog.cdigit.com/?p=4333
عضویت در کانال تلگرام : https://t.me/cdigit
تماس : 02188612979
کاریار ارقام
کد مطلب: 51853
