重要:この軽減策を有効にする前に、KB76050 に記載されているパフォーマンスへの影響のデータを確認する必要があります。軽減策は、ホストまたはゲスト レベルで適用できます。CVE-2018-12 に対する
ハイパーバイザー固有の軽減策をホスト レベルで有効にするには、以下の手順を実行します。
- VMSA-2019-0020 のセクション 3a に記載されているパッチで ESXi ホストを更新します。
- SSH セッションでホストに接続します。
- /etc/vmware/config ファイルを編集します。
- 次の行を追加します。
monitor.if_pschange_mc_workaround = "TRUE"
- 以下のいずれかの方法を実行して、変更を適用します。
- 仮想マシンをパワーオフし、再度パワーオンする(再起動は不十分)
- 仮想マシンをサスペンドしてからレジュームする
- パッチが適用された別のホストへの仮想マシンの vMotion を実行する
- パッチが適用されていない別のホストへの仮想マシンの vMotion を実行してから、パッチが適用されたホストに戻す
- vmware.log ファイルに disable_mmu_largepages が適用されていることを確認します。エントリは、次のようになります。
YYYY-MM-DDTHH:MM:SS.349Z| vmx| I125: DICT monitor.if_pschange_mc_workaround = "TRUE"
注:/etc/vmware/config に加えた変更は、通常は再起動後も維持されます。ただし、ホスト プロファイルを使用している場合は、/etc/vmware/config を編集した後、それがホスト プロファイルによって削除されないように、ホスト プロファイルを再キャプチャする必要があります。
CVE-2018-12207 に対するハイパーバイザー固有の軽減策をゲスト レベルで有効にするには、以下の手順を実行します。
- VMSA-2019-0020 のセクション 3a に記載されている適切なパッチで ESXi を更新します。
- 仮想マシンが格納されている場所に移動し、VM_name.vmx を編集します。
- 次の行を追加します。
monitor.if_pschange_mc_workaround = "TRUE"
- 以下のいずれかの方法を実行して、変更を適用します。
- 仮想マシンをパワーオフし、再度パワーオンする(再起動は不十分)
- 仮想マシンのサスペンドおよびレジューム
- パッチが適用された別のホストへの仮想マシンの vMotion を実行する
- パッチが適用されていない別のホストへの仮想マシンの vMotion を実行してから、パッチが適用されたホストに戻す