Sécurité-VMwareVMware

Atténuation des attaques par canal latéral dans VMware ESXi

Vulnérabilités de sécurité :

Réponse de VMware à la vulnérabilité d’exécution spéculative « L1 Terminal Fault – VMM » (L1TF – VMM) dans les processeurs Intel pour vSphere : CVE-2018-3646 (55806)

Instructions d’atténuation pour CVE-2022-21123, CVE-2022-21125 et CVE-2022-21166 (VMSA-2022-0016) (88632)

Solution :

Les options de démarrage du noyau suivantes sont disponibles et peuvent être modifiées à partir de vSphere ou ESXi Host Client, via esxcli  via CLI, PowerCLI ou via API. Ces options ne s’appliquent que lorsque les processeurs de l’hôte disposent de la capacité d’hyperthreading et lorsqu’elle est activée dans le BIOS. Veuillez suivre les articles individuels de la base de connaissances pour les vecteurs possibles qui sont atténués sur l’hôte et pour les étapes de configuration des options d’atténuation ci-dessous.

OptionDescription
 Atténuation de l’hyperthreading Activer la stratégie d’atténuation Side-Channel Aware Scheduler (SCA) dans l’hôte ESXi. Cette option, associée à hyperthreadingMitigationIntraVM  , contrôle la stratégie SCA utilisée. Cela ne s’applique qu’aux hôtes dotés de processeurs affectés par la vulnérabilité L1TF.
 hyperthreadingMitigationIntraVM Activer la stratégie d’atténuation SCA qui désactive l’hyperthreading au niveau du logiciel. Si cette option est définie sur TRUE, l’hyperthreading sera désactivé (SCAv1). Si cette option est définie sur FALSE et que hyperthreadingMitigation est activé, l’hyperthreading inter-VM est activé (SCAv2). Cela ne s’applique qu’aux hôtes dotés de processeurs affectés par la vulnérabilité L1TF.
 forceHyperthreadingMitigationforceHyperthreadingMitigation Cette option active l’atténuation SCAv2, qui désactive efficacement le partage d’hyper thread entre les machines virtuelles. Cette option peut être utilisée pour atténuer la vulnérabilité dans KB 88632 sur n’importe quel processeur applicable.
Remarque : sur les processeurs vulnérables L1TF mentionnés dans l’article
VMware Knowledge Base de la base de connaissances , cette option n’est pas prioritaire si la stratégie actuellement active est SCAv1.

Related Articles

Back to top button