1. Anasayfa
  2. Virtualization

L1 Terminal Fault – L1TF Execution Vulnerabilities


0

14 Ağustos Salı günü intel “L1 Terminal Fault” olarak adlandırlan yeni CPU speculative-execution güvenlik açığını duyurdu.Bu yeni güvenlik açığı intel işlemcilerin izin verilmeyen bir veri erişimine olanak tanıyor.Bu vakalardaki spekülasyonlar devam ederek, etkilenen intel işlemcilerde saldırı için yeni bir side-channel ortaya çıkıyor. Yani L1 Cache ‘de yer alan bir bilginin okunabilmesine, bu bilginin okunduktan sonra herhangi VM ‘e erişip sonrasında tüm tüm VM’lerinize erişmesi söz konusu olabilir.

Üç güvenlik açığı şöyle adlandırılıyor:

  • CVE-2018-3646 (L1 Terminal Fault – VMM)
  • CVE-2018-3620 (L1 Terminal Fault – OS)
  • CVE-2018-3615 (L1 Terminal Fault – SGX, SMM) : VMware products does not affect with this

 

Üç güvenlik açığından en kötü olanı (CVE-2018-3646: L1 Terminal Fault – VMM), VMware vSphere, VMware Workstation ve VMware Fusion dahil olmak üzere x86 Intel CPU’lar üzerinde çalışan tüm hypervisorleri etkilemektedir. Sonuç olarak, bu ürünleri kullanan hizmetlerimiz (AWS ve VMware Horizon Cloud üzerinde VMware Cloud dahil) ve VMware Cloud Sağlayıcı Programı iş ortağı ortamlarımız etkilenir.VMware’in en önemli önceliği, verilerinizin ve sistemlerin güvenliğini korumak ve sağlamaktır. VMware, sorunu değerlendirmek ve ortaklarımızla birlikte en etkili güncelleme ve / veya yamayı belirlemek için Intel ve diğerleri gibi endüstri ortaklarıyla yakın bir şekilde çalışmaktadır. Bu konu için merkezi bilgi kaynağı olarak bir bilgi tabanı (KB) makalesi https://kb.vmware.com/kb/55636 oluşturulmuştur.

Bu Güvenlik Açıklarının Azaltılması, iki kategoriye ayrılır:

  • Hypervisor -Specific Mitigations
  • Operating System Mitigations

Bu KB, L1 Terminal Fault güvenlik açıkları tarafından tanımlanan saldırı vektörlerinin her biri için ayrıntılı azaltma işlemleriyle ek KB’lere bağlantılar sağlar. Vmware, yeni ve güncellenmiş Güvenlik önerilerini almak için Security Announce Mailing List ‘ine kaydolmanızı önerir.VMSA-2018-0020’de belirtilen yamaları aşağıdaki tabloda gösterildiği gibi uyguladığınızdan emin olun.

Hypervisor Specific Mitigation Steps

CVE-2018-3646 burada“Sequential-Context” ve “Concurrent-Context.” olarak adlandırılan hypervizorler için 2 saldırı vektörü bulunmaktadır

CVE-2018-3646 açığı önlemek için Sequential-Context and ve Concurrent-Context ele alınmalıdır.

Sequential-context attack vector : Kötü niyetli bir  VM  L1 ‘de önceden veya anlık olarak erişilmiş olan veriyi okuma yetkisine sahiptir.

Concurrent-context attack vector: Kötü amaçlı bir VM, son zamanlarda Hyperthreading etkinleştirilmiş işlemci çekirdeğinin diğer mantıksal işlemcisi üzerinde eşzamanlı olarak yürütme yapabildiği için erişilen L1 verilerine erişebilir.

 

Etkilenen CPU listesi

Intel Code Name FMS Intel Brand Names
Nehalem-EP 0x106a5 Intel Xeon 35xx Series;
Intel Xeon 55xx Series
Lynnfield 0x106e5 Intel Xeon 34xx Lynnfield Series
Clarkdale 0x20652 Intel i3/i5 Clarkdale Series;
Intel Xeon 34xx Clarkdale Series
Arrandale 0x20655 Intel Core i7-620LE Processor
Sandy Bridge DT 0x206a7 Intel Xeon E3-1100 Series;
Intel Xeon E3-1200 Series;
Intel i7-2655-LE Series;  Intel i3-2100 Series
Westmere EP 0x206c2 Intel Xeon 56xx Series;
Intel Xeon 36xx Series
Sandy Bridge EP 0x206d7 Intel Pentium 1400 Series;
Intel Xeon E5-1400 Series;
Intel Xeon E5-1600 Series;
Intel Xeon E5-2400 Series;
Intel Xeon E5-2600 Series;
Intel Xeon E5-4600 Series
Nehalem EX 0x206e6 Intel Xeon 65xx Series;
Intel Xeon 75xx Series
Westmere EX 0x206f2 Intel Xeon E7-8800 Series;
Intel Xeon E7-4800 Series;
Intel Xeon E7-2800 Series
Ivy Bridge DT 0x306a9 Intel i3-3200 Series; Intel i7-3500-LE/UE, Intel i7-3600-QE,
Intel Xeon E3-1200-v2 Series;
Intel Xeon E3-1100-C-v2 Series;
Intel Pentium B925C
Haswell DT 0x306c3 Intel Xeon E3-1200-v3 Series
Ivy Bridge EP 0x306e4 Intel Xeon E5-4600-v2 Series;
Intel Xeon E5-2400-v2 Series;
Intel Xeon E5-2600-v2 Series;
Intel Xeon E5-1400-v2 Series;
Intel Xeon E5-2600-v2 Series
Ivy Bridge EX 0x306e7 Intel Xeon E7-8800/4800/2800-v2 Series
Haswell EP 0x306f2 Intel Xeon E5-2400-v3 Series;
Intel Xeon E5-1400-v3 Series;
Intel Xeon E5-1600-v3 Series;
Intel Xeon E5-2600-v3 Series;
Intel Xeon E5-4600-v3 Series
Haswell EX 0x306f4 Intel Xeon E7-8800/4800-v3 Series
Broadwell H 0x40671 Intel Core i7-5700EQ;
Intel Xeon E3-1200-v4 Series
Avoton 0x406d8 Intel Atom C2300 Series;
Intel Atom C2500 Series;
Intel Atom C2700 Series
Broadwell EP/EX 0x406f1 Intel Xeon E7-8800/4800-v4 Series;
Intel Xeon E5-4600-v4 Series;
Intel Xeon E5-2600-v4 Series;
Intel Xeon E5-1600-v4 Series
Skylake SP 0x50654 Intel Xeon Platinum 8100 (Skylake-SP) Series;
Intel Xeon Gold 6100/5100 (Skylake-SP) Series
Intel Xeon Silver 4100, Bronze 3100 (Skylake-SP) Series
Broadwell DE 0x50662 Intel Xeon D-1500 Series
Broadwell DE 0x50663 Intel Xeon D-1500 Series
Broadwell DE 0x50664 Intel Xeon D-1500 Series
Broadwell NS 0x50665 Intel Xeon D-1500 Series
Skylake H/S 0x506e3 Intel Xeon E3-1500-v5 Series;
Intel Xeon E3-1200-v5 Series
Kaby Lake H/S/X 0x906e9 Intel Xeon E3-1200-v6

 

Sequential-Context Attack Vector Mitigation

VCenter sunucu ve ESXi hostlarımızı belirtilen sürümlere yükseltilmesi, bu güvenlik sorununu düzeltir. ve önemli bir performans kaybına yol açmaz.

Vcenter için önerilen versiyonlar :  Güncel sürümlerin kontrolü için KB

  • vCenter 6.7.0d
  • vCenter 6.5u2c
  • vCenter 6.0u3h
  • vCenter 5.5u3j

ESXi için önerilen versiyonlar.

  • ESXi 6.7
    • ESXi670-201808401-BG (esx-base)
    • ESXi670-201808402-BG (microcode)
    • ESXi670-201808403-BG (esx-ui)
  • ESXi 6.5 
    • ESXi650-201808401-BG (esx-base)
    • ESXi650-201808402-BG (microcode)
    • ESXi650-201808403-BG (esx-ui)
  • ESXi 6.0 
    • ESXi600-201808401-BG (esx-base)
    • ESXi600-201808402-BG (microcode)
    • ESXi600-201808403-BG (esx-ui)
  • ESXi 5.5
    • ESXi550-201808401-BG (esx-base)
    • ESXi550-201808402-BG (microcode)
    • ESXi550-201808403-BG (esx-ui)

Concurrent-context Attack Vector Mitigation

Bu güncelleme ile , “ESXi Side-Channel-Aware Scheduler” olarak adlandırılan yeni bir özellik etkinleştirmesi gerektirecektir ve bu özelliğin önemli bir performans etkisi yaratacağını ve varsayılan olarak etkin olmadığını unutmayın.

Güncelleme sonrası aşağıdaki potansiyel problemler VMware tarafından yayınlanmıştır.

  • VMs configured with vCPUs greater than the physical cores available on the ESXi host
  • VMs configured with custom affinity or NUMA settings
  • VMs with latency-sensitive configuration
  • ESXi hosts with Average CPU Usage greater than 70%
  • Hosts with custom CPU resource management options enabled
  • HA Clusters where a rolling upgrade will increase Average CPU Usage above 100%

 

15 yılı aşkın bir süredir Bilgi Teknolojileri sektörünün içerisindeyim. Bilişim sektörü ile alakalı farklı eğitimler sertifikalar edinerek bu sektör içerisin de son 12 yıldır profesyonel olarak çalışmaktayım. Yeditepe Üniversitesi Makine bölümü ve Eskişehir Üniversitesi işletme bölümü mezunuyum. Bilişim sektöründe kurumsal firmalarda, pek çok farklı pozisyonlarda görev aldım.

Yazarın Profili

Bültenimize Katılın

Hemen ücretsiz üye olun ve yeni güncellemelerden haberdar olan ilk kişi olun.

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir