ページ サイズ変更時のマシン チェック エラー (MCEPSC) による投機的実行の脆弱性 (CVE-2018-12207) に対するハイパーバイザー固有の軽減策の有効化
search cancel

ページ サイズ変更時のマシン チェック エラー (MCEPSC) による投機的実行の脆弱性 (CVE-2018-12207) に対するハイパーバイザー固有の軽減策の有効化

book

Article ID: 313907

calendar_today

Updated On:

Products

VMware vSphere ESXi

Issue/Introduction

Intel プロセッサに影響する投機的実行の脆弱性の情報が公表されています。CVE-2018-12207 で識別されるこれらの脆弱性の 1 つに対するハイパーバイザー固有の軽減策は、デフォルトでは有効になっていません。この記事には、ESXi でこの軽減策を有効にするための手順が記載されています。CVE-2018-12207 のセキュリティへの影響については、VMSA-2019-0020 を参照してください。

Symptoms:
免責事項:これは英文の記事「Enabling Hypervisor-Specific Mitigations for Machine Check Error on Page Size Change (MCEPSC) Speculative-Execution vulnerability (CVE-2018-12207) 」の日本語訳です。記事はベストエフォートで翻訳を進めているため、ローカライズ化コンテンツは最新情報ではない可能性があります。最新情報は英語版の記事で参照してください。

Environment

VMware vSphere ESXi 6.7
VMware vSphere ESXi 6.5
VMware vSphere ESXi 7.x

Cause

この問題は、CVE-2018-12207 で識別される、ページ サイズ変更時のマシン チェック エラー (MCEPSC) の投機的実行に関する脆弱性が原因で発生します。

Resolution

重要:この軽減策を有効にする前に、KB76050 に記載されているパフォーマンスへの影響のデータを確認する必要があります。

軽減策は、ホストまたはゲスト レベルで適用できます。

CVE-2018-12 に対するハイパーバイザー固有の軽減策をホスト レベルで有効にするには、以下の手順を実行します。
  1. VMSA-2019-0020 のセクション 3a に記載されているパッチで ESXi ホストを更新します。
  2. SSH セッションでホストに接続します。
  3. /etc/vmware/config ファイルを編集します。
  4. 次の行を追加します。
monitor.if_pschange_mc_workaround = "TRUE"
  1. 以下のいずれかの方法を実行して、変更を適用します。
  • 仮想マシンをパワーオフし、再度パワーオンする(再起動は不十分)
  • 仮想マシンをサスペンドしてからレジュームする
  • パッチが適用された別のホストへの仮想マシンの vMotion を実行する
  • パッチが適用されていない別のホストへの仮想マシンの vMotion を実行してから、パッチが適用されたホストに戻す
  1. vmware.log ファイルに disable_mmu_largepages が適用されていることを確認します。エントリは、次のようになります。
YYYY-MM-DDTHH:MM:SS.349Z| vmx| I125: DICT monitor.if_pschange_mc_workaround = "TRUE"
:/etc/vmware/config に加えた変更は、通常は再起動後も維持されます。ただし、ホスト プロファイルを使用している場合は、/etc/vmware/config を編集した後、それがホスト プロファイルによって削除されないように、ホスト プロファイルを再キャプチャする必要があります。
CVE-2018-12207 に対するハイパーバイザー固有の軽減策をゲスト レベルで有効にするには、以下の手順を実行します。
  1. VMSA-2019-0020 のセクション 3a に記載されている適切なパッチで ESXi を更新します。
  2. 仮想マシンが格納されている場所に移動し、VM_name.vmx を編集します。
  3. 次の行を追加します。
monitor.if_pschange_mc_workaround = "TRUE"
 
  1. 以下のいずれかの方法を実行して、変更を適用します。
  • 仮想マシンをパワーオフし、再度パワーオンする(再起動は不十分)
  • 仮想マシンのサスペンドおよびレジューム
  • パッチが適用された別のホストへの仮想マシンの vMotion を実行する
  • パッチが適用されていない別のホストへの仮想マシンの vMotion を実行してから、パッチが適用されたホストに戻す