Colapso e espectro - A correção do kernel convidado de um hipervisor não corrigido evita vazamentos de memória entre VMs?

24 horas após o lançamento em larga escala das vulnerabilidades, a Rackspace silencia sobre Spectre e Meltdown. Eles não têm um plano para corrigir todos os seus hipervisores Xen. Todos os servidores de plataforma mais recentes são servidores HVM, vulneráveis. Servidores fotovoltaicos mais antigos não são vulneráveis.

Atualizei o kernel do Linux dos meus convidados HVM, mas o Rackspace não atualizou nenhum de seus hipervisores. A atualização do kernel convidado em um hipervisor não corrigido impedirá que VMs de "bandidos" acessem a memória vazada do meu host corrigido?

Pelo que entendi das vulnerabilidades, não - os ataques especulativos de cache ignoram todas as proteções da CPU contra um processo que captura memória de qualquer endereço arbitrário.

Acredito que isso inclua as VMs vizinhas (mesmo as que foram corrigidas para se proteger contra o ataque) e o espaço de memória do kernel do hipervisor - mas mesmo se houver algo que eu esteja ausente que proteja contra a divulgação direta de memória, também há potencial que o invasor poderia usar seu acesso à memória do kernel para obter acesso mais completo ao hipervisor.

Você definitivamente não quer correr o risco de executar uma carga de trabalho sensível em um hipervisor não corrigido de qualquer tipo, se não confiar em todas as VMs em execução nele.

Espectro e Fusão.

Por onde começamos? mau, refiro-me a um comunicado de imprensa muito ruim de algo que pode ou não afetar seu computador, estação de trabalho, servidor ou servidor na nuvem. Sim, é totalmente, mas você precisa ter acesso local à CPU associada, que pode ser um PC ou um telefone, a Apple foi um exemplo, mas vamos pensar em sua CPU ARM, de modo que todas as plataformas móveis que suportam o recurso ( / exposição ao microcódigo / muito controle sobre a CPU a partir do sistema operacional / etc / etc)

O aplicativo deve estar em execução na CPU do dispositivo, por isso acho que o acesso ao console, ou pelo menos o usuário remoto que acessa o sistema, acessa o dispositivo ....

No momento, a única maneira conhecida de explorar essas vulnerabilidades é acessar local / diretamente a CPU (novamente pode ser remoto quando você tiver SSH / VNC etc.)

Abaixo estão os patches que encontrei até agora.

VMWare has released a security advisory for their ESXi, Workstation and Fusion products: VMSA-2018-0002
[https://www.vmware.com/us/security/advisories/VMSA-2018-0002.html][1]

RedHat has released a security advisory for their qemu product:  [https://access.redhat.com/errata/RHSA-2018:0024][1]

Amazon has released a security advisory for their Amazon Linux AMI product: ALAS-2018-939

https://alas.aws.amazon.com/ALAS-2018-939.htm l

Agora, essa deve ser a melhor resposta para o problema em questão no momento

O que nossos amigos do BSD disseram?

Google ruim; (

uma verificação do PowerShell para o mesmo;)

O Linux Kernel Ok, tivemos uma semana interessante e agora todo mundo sabe por que estávamos mesclando todos esses patches de isolamento de tabela de página x86 ímpares sem seguir todas as regras normais de tempo de lançamento.

Eu posso / vou voltar e editar este post. Estou certo de que o não problema (até na natureza) não será um problema real por muito tempo. O Google realmente deveria ter seguido as datas de divulgação aqui! -1 para o Google