适用于分支目标注入的管理程序辅助客户机缓解方法
search cancel

适用于分支目标注入的管理程序辅助客户机缓解方法

book

Article ID: 301152

calendar_today

Updated On:

Products

VMware Desktop Hypervisor VMware vCenter Server VMware vSphere ESXi

Issue/Introduction

Intel 和 AMD 最近发布的微码更新针对分支目标注入缓解方法提供了硬件支持。要在虚拟机中使用此新硬件功能,必须启用管理程序助客解方法
 
本文将重点介绍管理程序助客解方法,因为它适用于 vSphere。请查看 VMware 对预测执行安全问题 CVE-2017-5753、CVE-2017-5715、CVE-2017-5754(亦称 幽灵 (Spectre) 和 熔断 (Meltdown))的响应
 
请参见 VMware 安全公告 VMSA-2018-0004,获取 VMware 所提供的与本知识库相关的修补程序。

Symptoms:
免责声明:本文为 Hypervisor-Assisted Guest Mitigation for branch target injection(52085) 的翻译版本。尽管我们会不断努力为本文提供最佳翻译版本,但本地化的内容可能会过时。有关最新内容,请参见英文版本。

Environment

VMware Workstation Player 12.x (Linux)
VMware vSphere ESXi 5.5
VMware vSphere ESXi 6.5
VMware vCenter Server 6.0.x
VMware Workstation Player 14.x
VMware vCenter Server 6.5.x
VMware Workstation Player 14.x (Windows)
VMware vSphere ESXi 6.0
VMware Workstation Player 14.x (Linux)
VMware Workstation Player 12.x (Windows)
VMware Workstation Pro 14.x (for Linux)
VMware vCenter Server 5.5.x
VMware Fusion 8.x
VMware vSphere ESXi 5.1

Resolution

修补 CPU 微码和 VMware 管理程序将允许客户机操作系统使用分支目标缓解方法硬件支持。
 
要在 vSphere 中启用分支目标缓解方法硬件支持,请按如下所示顺序执行这些步骤:
注意:确保先更新 vCenter Server,有关详细信息,请参见 vMotion EVC 信息部分。

重要事:继续之前,请阅读 Intel 针对 VMSA-2018-0004 中 ESXi 捆绑微码修补程序的更新。受 Intel 微码问题影响的修补程序和步骤已删除,稍后会进行更新。
  1. 升级到 vCenter 5.5 – 6.5 的以下版本之一:
  2. 将以下 ESXi 5.5 – 6.5 修补程序版本应用于所有 ESX 主机,这些修补程序可从 VMware Patch Downloads 下载:
    • ESXi650-201801401-BG 管理程序 *
    • ESXi600-201801401-BG 管理程序 *
    • ESXi550-201801401-BG 管理程序和微码 **
  3. 通过以下两种方法应用针对 CVE-2017-5715 的微码/BIOS 更新:
    • 应用您的平台供应商提供的 BIOS/微码更新。

    • 应用以下 ESXi 修补程序之一以更新所支持 CPU 的微码
      • ESXi650-201801402-BG 微码 *
      • ESXi600-201801402-BG 微码 *
      • ESXi550-201801401-BG 管理程序和微码 **
 * ESXi 6.5 和 ESXi 6.0 针对管理程序和微码使用单独的修补程序。
** ESXi 5.5 针对管理程序和微码使用单个修补程序。
 
要在 Workstation/Fusion 中启用分支目标缓解方法硬件支持,应执行以下步骤:
  1. 部署以下任一版本的 Workstation/Fusion:
    • Workstation 14.1.1
    • Workstation 12.5.9
    • Fusion 10.1.1
    • Fusion 8.5.10
  2. 应用您的平台供应商提供的针对 CVE-2017-5715 的微码/BIOS 更新。
对于每个虚拟机,通过以下步骤启用管理程序助客解方法
  1. 应用操作系统供应商提供的针对客户机操作系统的所有安全修补程序。
  2. 确保虚拟机使用虚拟硬件版本 9 或更高版本。将虚拟机升级到最新硬件版本(多个版本) 介绍了硬件版本
  3. 重新启动虚拟机(冷启动)。 
vMotion  EVC 信息
运行已修补微码和已修补管理程序的 ESXi 主机将看到以前不可用的新CPU 功能。
该主机会将这些新功能提供给所有虚拟硬件版本 9 以上已开机的虚拟机。由于这些虚拟机现在拥有更多的 CPU 功能,因此在不应用微码或管理程序修补程序的情况下将阻止通过 vMotion 迁移至 ESXi。
vCenter 修补程序支持在 EVC 群集内保留 vMotion 兼容性。
要保持此兼容性,在群集中的所有主机均已正确更新之前,请对群集中的客户机隐藏新功能。此时,群集将自动升级其功能以公开新功能。未应用修补程序的 ESXi 主机将无法再进入 EVC 群集。

操作正确
要确认主机具有已修补微码和已修补 VMware 管理程序,请使用以下步骤:
  1. 打开配置为使用虚拟硬件版本 9 或更高版本的虚拟机的电源。
  2. 查看该虚拟机的 vmware.log 文件,并查找以下条目之一:
    • “Capability Found: cpuid.IBRS”
    • “Capability Found: cpuid.IBPB”
    • “Capabliity Found: cpuid.STIBP”
  3. 上述任一日志条目均指示已正确更新 CPU 微码和管理程序。
要确认端到端操作(包括客户机操作系统启用分支目标缓解方法硬件支持),请联系您的操作系统供应商。

ESXi 更新信息
对于已知的 Spectre 漏洞,Intel 和 AMD 针对许多受影响的处理器提供了CPU 微码修补程序,添加了新的推测执行控制机制。
 
大多数服务器供应商很快将在其下一个 BIOS/固件更新中包括这些 CPU 微码修补程序。强烈建议客户针对其服务器应用这些 BIOS/固件更新。 
 
如果服务器 BIOS/固件尚未应用这些关键 CPU 微码修补程序,上面列出的 ESXi 修补程序将会自动应用。AMD 和 Intel 定义的机制能够始终确保最新微码修补程序处于活动状态,无论 BIOS 和操作系统的应用顺序为何。因此,ESXi 永远不会覆盖 BIOS 提供的较新版本的微码修补程序,旧版 BIOS 也不会阻止 ESXi 应用较新版本。
 
要确认 CPU 已针对这些功能更新微码,请打开主机上的虚拟机电源,然后查看 vmware.log 文件。
 
具有更新微码的 Intel CPU 将在主机的 CPUID[7].EDX[26:27] 中具有非零值。
hostCPUID level 00000007, 0: 0x00000000 0xd39ffffb 0x00000008 0x0c000000
                                                                 ^ [4-9a-f]in nibble
 
具有更新微码的 AMD CPU 将在主机的 CPUID[0x80000008].EBX[12] 中具有非零值。
hostCPUID level 80000008, 0: 0x00003030 0x00001007 0x0000603f 0x00000000
                                              ^ [13579bdf] in nibble