CVE-2018-3646 ESXi 6.7U3

[wrath]

Guten Tag!

ich hab heute das erste mal privat einen ESXi aufgesetzt (mit Custom ISO wegen Realtek Treiber).. (6.7.0 Update 3 (Build 15160138))
Hat alles super geklappt.

Nun zeigt es mir in der Oberfläche jedoch das an:

This host is potentially vulnerable to issues described in CVE-2018-3646, please refer to https://kb.vmware.com/s/article/55636 for details and VMware recommendations.

Ich hab mir dann den Patch runtergeladen (ESXi670-201808001).. aber ich versteh nicht wie genau ich den installiert bekomme?

[irix]

Moin,

du hattest die Frage auch im VMTN gepostet.

Das Thema muss man lesen und dann auch verstehen. Ich vermute das es an folgendem liegt.... fuer dieses und die aehnlich gelagerten Probleme aus Spectre/Meltdown gibt ES KEIN einfaches Update was das Problem loest und man ist gezwungen eine Entscheidung zutreffen. Das ist im Vergleich zu sonstigem Patching ungewoehnlich.

Wenn du den KB und die folgenden liest dann wird du sehen das DU eine Entscheidung treffen must was Sicherheit <=> Performance angeht.

Der Patch von VMware fuegt die Moeglichkeit hinzu ueber die GUI das Problem "zu minimieren" in dem die HT logischen CPUs nicht mehr aktiv mitverwendet werden vom CPU Scheduler. Das kann geringe oder sehr drastische Auswirkungen auf die Performance haben je nach Anzahl VMs und deren Auslastung pro ESX. Darum wird das auch nicht per Default aktiviert und der ESXi macht dich aufmerksam in diesem sehr speziellen Falle.

Mit 6.7u2? haben sie noch mal nachjustiert und des gibt die Moeglichkeit fuer vertrauenswuerde VMs, welche mehrere vCPUs haben die Verwenndung von HT wieder zu erlauben mittels Adv. Parameter.

Ansonsten bietet dir der Patch halt die Moeglichkeit das du per Schalter und ESXi Reboot mal eben auf 50% deiner logischen CPUs verzichtest.

Gruss
Joerg

[irix]

Ich hab mir dann den Patch runtergeladen (ESXi670-201808001).. aber ich versteh nicht wie genau ich den installiert bekomme?

Host in den Wartungsmode versetzen und den Patch per PSCP/WinSCP nach /tmp oder per Datastorebrowser auf einen Datastore hochladen.

Dann ein

Code: Alles auswählen

esxcli software vib install -d /path/to/PATCHNAME.zip

und den Reboot nicht vergessen.

Es geht auch folgendes sofern der Host in das Internet kann/darf

Code: Alles auswählen

vim-cmd hostsvc/maintenance_mode_enter
esxcli network firewall ruleset set -e true -r httpClient
esxcli software profile update -p ESXi-6.7.0-20191204001-standard -d https://hostupdate.vmware.com/software/VUM/PRODUCTION/main/vmw-depot-index.xml
esxcli network firewall ruleset set -e false -r httpClient
vim-cmd hostsvc/maintenance_mode_exit

und neustarten

[Dayworker]

Ausgehend von deiner geschriebenen Patch-Version (ESXi670-201808001) müßte dieser Patch schon veraltet und bereits ersetzt worden sein. VMware-Patches sind immer kommulativ und enthalten alle vorhergehenden Patches.
Aber im von dir bereits verlinkten KB-Eintrag wird unter anderen auf VMware Response to Speculative Execution security issues, CVE-2018-3639 and CVE-2018-3640 (54951) verwiesen. Neben den 3 bereits bekannten Notwendigkeiten zum Abmildern von Spectre/Meltdown wird darin auch noch eine vierte Notwendigkeit nämlich Microcode-Update genannt. Da du wegen dem Realtek-Treiber vermutlich ein sogenanntes Whitebox-System aufgesetzt hast, bietet dir hoffentlich dein MB-Hersteller noch BIOS-Updates an. Dazu müßte aber Intel für deine CPU seinerseits noch Microcode-Updates anbieten. Von daher wäre es schon interessant zu wissen, was du da als HW verbaut hast.