Atténuation des attaques par canal latéral dans VMware ESXi
Vulnérabilités de sécurité :
Réponse de VMware à la vulnérabilité d’exécution spéculative « L1 Terminal Fault – VMM » (L1TF – VMM) dans les processeurs Intel pour vSphere : CVE-2018-3646 (55806)
Instructions d’atténuation pour CVE-2022-21123, CVE-2022-21125 et CVE-2022-21166 (VMSA-2022-0016) (88632)
Solution :
Les options de démarrage du noyau suivantes sont disponibles et peuvent être modifiées à partir de vSphere ou ESXi Host Client, via esxcli via CLI, PowerCLI ou via API. Ces options ne s’appliquent que lorsque les processeurs de l’hôte disposent de la capacité d’hyperthreading et lorsqu’elle est activée dans le BIOS. Veuillez suivre les articles individuels de la base de connaissances pour les vecteurs possibles qui sont atténués sur l’hôte et pour les étapes de configuration des options d’atténuation ci-dessous.
Option | Description |
Atténuation de l’hyperthreading | Activer la stratégie d’atténuation Side-Channel Aware Scheduler (SCA) dans l’hôte ESXi. Cette option, associée à hyperthreadingMitigationIntraVM , contrôle la stratégie SCA utilisée. Cela ne s’applique qu’aux hôtes dotés de processeurs affectés par la vulnérabilité L1TF. |
hyperthreadingMitigationIntraVM | Activer la stratégie d’atténuation SCA qui désactive l’hyperthreading au niveau du logiciel. Si cette option est définie sur TRUE, l’hyperthreading sera désactivé (SCAv1). Si cette option est définie sur FALSE et que hyperthreadingMitigation est activé, l’hyperthreading inter-VM est activé (SCAv2). Cela ne s’applique qu’aux hôtes dotés de processeurs affectés par la vulnérabilité L1TF. |
forceHyperthreadingMitigationforceHyperthreadingMitigation | Cette option active l’atténuation SCAv2, qui désactive efficacement le partage d’hyper thread entre les machines virtuelles. Cette option peut être utilisée pour atténuer la vulnérabilité dans KB 88632 sur n’importe quel processeur applicable. Remarque : sur les processeurs vulnérables L1TF mentionnés dans l’article VMware Knowledge Base de la base de connaissances , cette option n’est pas prioritaire si la stratégie actuellement active est SCAv1. |