OVH - L1 Terminal Fault (L1FT) / Предвидение

В рамках нашего партнерства с Intel нам сообщили об обнаружении вектора, использующего уязвимости типа «спекулятивное исполнение сторонних каналов». Эта новая уязвимость, L1 Terminal Fault (L1TF), поэтому связана с уязвимостями Spectre и Meltdown, представленными в январе и мае 2018 года.

Что такое L1TF?
Вызывается L1 Terminal Fault (L1TF) или «Foreshadow», эта уязвимость касается процессоров с технологией SMT (более известной как Hyper-Threading в Intel). Это может привести к тому, что вредоносный код работает в одном потоке для доступа к данным из кэша L1 другого потока в одном ядре.

L1FT — это уязвимость, чрезвычайно сложная для реализации, и только доказательство концепции, разработанное в лаборатории, подтвердило ее существование. Хотя нет доказательств того, что он мог быть использован, три идентификатора CVE (высокий) уже созданы:

• L1 Terminal Fault – SGX (CVE-2018-3615) 7.9 High CVSS: 3.0/AV: L/AC: L/PR: N/UI: N/S: C/C: H/I: L/A: N ;
• L1 Terminal Fault – OS, SMM (CVE-2018-3620)
7.1 High CVSS: 3.0/AV: L/AC: L/PR: N/UI: N/S: C/C: H/I: N/A: N ;
• L1 Terminal Fault – VMM (CVE-2018-3646)
7.1 High CVSS: 3.0/AV: L/AC: L/PR: N/UI: N/S: C/C: H/I: N/A: N.

Как защитить себя от этой ошибки?
Уменьшение этих трех вариантов L1 Terminal Fault (L1TF) основано на двух действиях:

использование прошивки с мая (через загрузку OEFH UEFI и / или через операционную систему);
обновление операционных систем и ядер (основной редактор ОС и гипервизоров начнет распространение патча).
OVH будет применять эти исправления на своих хост-машинах, когда они будут доступны, и что мы, как обычно, будем внутренне проверять все наши нерегрессивные тесты.

Клиенты с управляемым предложением (веб-хостинг, электронные письма и т. Д.), Следовательно, не имеют никаких действий для выполнения.

Параллельно для клиентов, имеющих корневой доступ к своим инфраструктурам (выделенные серверы, VPS, Public Cloud, Private Cloud и т. Д.), Обновление операционной системы и ядер (https: // docs. ovh.com/en/dedicated/make-day-kernel-server-dedicated/) обеспечит их.

Подробная информация о варианте CVE-2018-3646
В частном случае варианта 3646 en L1FT может потребоваться некоторое время, чтобы издатели предложили исправление. Ожидая последнего, один из способов защиты от последнего — отключить Hyper-Threading. В зависимости от случая, можно отключить его непосредственно из ОС (Linux, Windows, ...). Согласно нашей информации, VMware ESXi должна предложить эту функцию в будущем обновлении.

Однако будьте осторожны, влияние этой операции с точки зрения производительности может быть очень важным. Учитывая сложность использования этого недостатка, мы рекомендуем дождаться рекомендаций из редактора ОС или гипервизора, которые использовались до отключения Hyper-Threading.

Общие рекомендации
Как всегда, мы рекомендуем нашим клиентам просто обновлять свои системы, чтобы максимально повысить эффективность введенных гарантий.

Являясь глобальным провайдером хостинга и облачных сервисов, мы тесно сотрудничаем с нашими партнерами, производителями и издателями, чтобы ежедневно повышать безопасность нашей инфраструктуры. Мы применяем исправления и исправления при обнаружении новых уязвимостей в дополнение к другим мерам внутренней защиты.

Эта уязвимость L1 Terminal Fault (L1TF) не является исключением. Но столкнувшись с освещением в средствах массовой информации своего открытия и верными ценностям прозрачности OVH, мы хотели, чтобы через это сообщение отвечали на вопросы наших клиентов.

Дополнительная информация:
travaux.ovh.net/?do=details&id=33475
software.intel.com/security-software-guidance/software-guidance/l1-terminal-fault

Ссылки на страницы издателей:
Ubuntu: wiki.ubuntu.com/SecurityTeam/KnowledgeBase/L1TF
VMware: kb.vmware.com/s/article/55636
Microsoft: portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180018
Redhat: access.redhat.com/security/vulnerabilities/L1TF
Susa: www.suse.com/support/kb/doc/?id=7023077