Die Foren-SW läuft ohne erkennbare Probleme. Sollte doch etwas nicht funktionieren, bitte gerne hier jederzeit melden und wir kümmern uns zeitnah darum. Danke!

CVE-2018-3646 ESXi 6.7U3

Alles zum Thema vSphere 6.7, ESXi 6.7 und vCenter Server.

Moderatoren: irix, continuum, Dayworker

Member
Beiträge: 1
Registriert: 04.02.2020, 18:19

CVE-2018-3646 ESXi 6.7U3

Beitragvon wrath » 04.02.2020, 19:35

Guten Tag!

ich hab heute das erste mal privat einen ESXi aufgesetzt (mit Custom ISO wegen Realtek Treiber).. (6.7.0 Update 3 (Build 15160138))
Hat alles super geklappt.

Nun zeigt es mir in der Oberfläche jedoch das an:
This host is potentially vulnerable to issues described in CVE-2018-3646, please refer to https://kb.vmware.com/s/article/55636 for details and VMware recommendations.


Ich hab mir dann den Patch runtergeladen (ESXi670-201808001).. aber ich versteh nicht wie genau ich den installiert bekomme? :?

King of the Hill
Beiträge: 12188
Registriert: 02.08.2008, 15:06
Wohnort: Hannover/Wuerzburg
Kontaktdaten:

Re: CVE-2018-3646 ESXi 6.7U3

Beitragvon irix » 04.02.2020, 20:53

Moin,

du hattest die Frage auch im VMTN gepostet.

Das Thema muss man lesen und dann auch verstehen. Ich vermute das es an folgendem liegt.... fuer dieses und die aehnlich gelagerten Probleme aus Spectre/Meltdown gibt ES KEIN einfaches Update was das Problem loest und man ist gezwungen eine Entscheidung zutreffen. Das ist im Vergleich zu sonstigem Patching ungewoehnlich.

Wenn du den KB und die folgenden liest dann wird du sehen das DU eine Entscheidung treffen must was Sicherheit <=> Performance angeht.

Der Patch von VMware fuegt die Moeglichkeit hinzu ueber die GUI das Problem "zu minimieren" in dem die HT logischen CPUs nicht mehr aktiv mitverwendet werden vom CPU Scheduler. Das kann geringe oder sehr drastische Auswirkungen auf die Performance haben je nach Anzahl VMs und deren Auslastung pro ESX. Darum wird das auch nicht per Default aktiviert und der ESXi macht dich aufmerksam in diesem sehr speziellen Falle.

Mit 6.7u2? haben sie noch mal nachjustiert und des gibt die Moeglichkeit fuer vertrauenswuerde VMs, welche mehrere vCPUs haben die Verwenndung von HT wieder zu erlauben mittels Adv. Parameter.

Ansonsten bietet dir der Patch halt die Moeglichkeit das du per Schalter und ESXi Reboot mal eben auf 50% deiner logischen CPUs verzichtest.

Gruss
Joerg

King of the Hill
Beiträge: 12188
Registriert: 02.08.2008, 15:06
Wohnort: Hannover/Wuerzburg
Kontaktdaten:

Re: CVE-2018-3646 ESXi 6.7U3

Beitragvon irix » 04.02.2020, 20:58

wrath hat geschrieben:Ich hab mir dann den Patch runtergeladen (ESXi670-201808001).. aber ich versteh nicht wie genau ich den installiert bekomme? :?


Host in den Wartungsmode versetzen und den Patch per PSCP/WinSCP nach /tmp oder per Datastorebrowser auf einen Datastore hochladen.

Dann ein

Code: Alles auswählen

esxcli software vib install -d /path/to/PATCHNAME.zip


und den Reboot nicht vergessen.

Es geht auch folgendes sofern der Host in das Internet kann/darf

Code: Alles auswählen

vim-cmd hostsvc/maintenance_mode_enter
esxcli network firewall ruleset set -e true -r httpClient
esxcli software profile update -p ESXi-6.7.0-20191204001-standard -d https://hostupdate.vmware.com/software/VUM/PRODUCTION/main/vmw-depot-index.xml
esxcli network firewall ruleset set -e false -r httpClient
vim-cmd hostsvc/maintenance_mode_exit


und neustarten

King of the Hill
Beiträge: 12990
Registriert: 01.10.2008, 12:54
Wohnort: laut USV-Log am Ende der Welt...

Re: CVE-2018-3646 ESXi 6.7U3

Beitragvon Dayworker » 04.02.2020, 21:00

Ausgehend von deiner geschriebenen Patch-Version (ESXi670-201808001) müßte dieser Patch schon veraltet und bereits ersetzt worden sein. VMware-Patches sind immer kommulativ und enthalten alle vorhergehenden Patches.
Aber im von dir bereits verlinkten KB-Eintrag wird unter anderen auf VMware Response to Speculative Execution security issues, CVE-2018-3639 and CVE-2018-3640 (54951) verwiesen. Neben den 3 bereits bekannten Notwendigkeiten zum Abmildern von Spectre/Meltdown wird darin auch noch eine vierte Notwendigkeit nämlich Microcode-Update genannt. Da du wegen dem Realtek-Treiber vermutlich ein sogenanntes Whitebox-System aufgesetzt hast, bietet dir hoffentlich dein MB-Hersteller noch BIOS-Updates an. Dazu müßte aber Intel für deine CPU seinerseits noch Microcode-Updates anbieten. Von daher wäre es schon interessant zu wissen, was du da als HW verbaut hast.


Zurück zu „vSphere 6.7“

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 1 Gast