Hallo zusammen,
nach Upgrade nach vSphere 6.5U2c, wird eine Meldung angezeigt vulnerable cve-2018-3646. Wie geht Ihr mit dem um? Patchen? Wie sieht die performance für Host und die VM's danach aus?
Danke für eure Erfahrung
Novell1
Die Foren-SW läuft ohne erkennbare Probleme. Sollte doch etwas nicht funktionieren, bitte gerne hier jederzeit melden und wir kümmern uns zeitnah darum. Danke!
vulnerable cve-2018-3646 Intel CPU
-
- King of the Hill
- Beiträge: 12990
- Registriert: 02.08.2008, 15:06
- Wohnort: Hannover/Wuerzburg
- Kontaktdaten:
Re: vulnerable cve-2018-3646 Intel CPU
Die kann man erstmal nicht patchen. Intels loesung ist die Einfuehrung von Trusted CPU Usern fuer bestimmte Dinge welche sich gegenseitig vertrauen und somit gleichzeit auf einer CPU und somit gemeinsamen L1 Cache laufen duerfen.
VMware hat daraus einfach gemacht einen Schalter gemacht in dem HT ignoriert wird. Alternativ kann man auch HT im BIOS abschalten. Der Schalter von VMware waehlt einen anderen Scheduler aus welcher sorge traegt das nur eine VM zu gleicher Zeit auf einer CPU laeuft. Die Begruendung fuer den Schalter und gegen BIOS Abschaltung war das der Schalter ja leichter fuer den Admin ist und in Zukunft dann ja auch wieder Rueckgaengig gemacht werden kann.
Wir haben in unserer Hosting Umgebung den alternativen Scheduler und hier und da bei Kunden welche dedizierte DMZ Server haben. Alle anderen haben "interne" VMs und die lassen es wie es ist. Diese ignorieren das ganze wie auch Meltdown und Spectre zu grossen Teilen ignoriert wird.
Da keiner deine CPU Auslastung kennt und das verhaeltnis Mulit vCPU VMs kann die das keiner Beantworten und somit mein Ratschlag probier es einfach aus. Es kostet ja nur einen ESXi Reboot.
Es gibt Messung von VMware zum Thema bei Hosts welche 30 bzw. 70% CPU Auslastung haben.
Gruss
Joerg
VMware hat daraus einfach gemacht einen Schalter gemacht in dem HT ignoriert wird. Alternativ kann man auch HT im BIOS abschalten. Der Schalter von VMware waehlt einen anderen Scheduler aus welcher sorge traegt das nur eine VM zu gleicher Zeit auf einer CPU laeuft. Die Begruendung fuer den Schalter und gegen BIOS Abschaltung war das der Schalter ja leichter fuer den Admin ist und in Zukunft dann ja auch wieder Rueckgaengig gemacht werden kann.
Wir haben in unserer Hosting Umgebung den alternativen Scheduler und hier und da bei Kunden welche dedizierte DMZ Server haben. Alle anderen haben "interne" VMs und die lassen es wie es ist. Diese ignorieren das ganze wie auch Meltdown und Spectre zu grossen Teilen ignoriert wird.
Da keiner deine CPU Auslastung kennt und das verhaeltnis Mulit vCPU VMs kann die das keiner Beantworten und somit mein Ratschlag probier es einfach aus. Es kostet ja nur einen ESXi Reboot.
Es gibt Messung von VMware zum Thema bei Hosts welche 30 bzw. 70% CPU Auslastung haben.
Gruss
Joerg
Wer ist online?
Mitglieder in diesem Forum: 0 Mitglieder und 3 Gäste