OVH - L1 Terminal Fault (L1FT) / Предвидение
В рамках нашего партнерства с Intel нам сообщили об обнаружении вектора, использующего уязвимости типа «спекулятивное исполнение сторонних каналов». Эта новая уязвимость, L1 Terminal Fault (L1TF), поэтому связана с уязвимостями Spectre и Meltdown, представленными в январе и мае 2018 года.
Что такое L1TF?
Вызывается L1 Terminal Fault (L1TF) или «Foreshadow», эта уязвимость касается процессоров с технологией SMT (более известной как Hyper-Threading в Intel). Это может привести к тому, что вредоносный код работает в одном потоке для доступа к данным из кэша L1 другого потока в одном ядре.
L1FT — это уязвимость, чрезвычайно сложная для реализации, и только доказательство концепции, разработанное в лаборатории, подтвердило ее существование. Хотя нет доказательств того, что он мог быть использован, три идентификатора CVE (высокий) уже созданы:
- L1 Terminal Fault – SGX (CVE-2018-3615) 7.9 High CVSS: 3.0/AV: L/AC: L/PR: N/UI: N/S: C/C: H/I: L/A: N ;
- L1 Terminal Fault – OS, SMM (CVE-2018-3620) 7.1 High CVSS: 3.0/AV: L/AC: L/PR: N/UI: N/S: C/C: H/I: N/A: N ;
- L1 Terminal Fault – VMM (CVE-2018-3646) 7.1 High CVSS: 3.0/AV: L/AC: L/PR: N/UI: N/S: C/C: H/I: N/A: N.
Как защитить себя от этой ошибки?
Уменьшение этих трех вариантов L1 Terminal Fault (L1TF) основано на двух действиях:
использование прошивки с мая (через загрузку OEFH UEFI и / или через операционную систему);
обновление операционных систем и ядер (основной редактор ОС и гипервизоров начнет распространение патча).
OVH будет применять эти исправления на своих хост-машинах, когда они будут доступны, и что мы, как обычно, будем внутренне проверять все наши нерегрессивные тесты.
Клиенты с управляемым предложением (веб-хостинг, электронные письма и т. Д.), Следовательно, не имеют никаких действий для выполнения.
Параллельно для клиентов, имеющих корневой доступ к своим инфраструктурам (выделенные серверы, VPS, Public Cloud, Private Cloud и т. Д.), Обновление операционной системы и ядер (https: // docs. ovh.com/en/dedicated/make-day-kernel-server-dedicated/) обеспечит их.
Подробная информация о варианте CVE-2018-3646
В частном случае варианта 3646 en L1FT может потребоваться некоторое время, чтобы издатели предложили исправление. Ожидая последнего, один из способов защиты от последнего — отключить Hyper-Threading. В зависимости от случая, можно отключить его непосредственно из ОС (Linux, Windows, ...). Согласно нашей информации, VMware ESXi должна предложить эту функцию в будущем обновлении.
Однако будьте осторожны, влияние этой операции с точки зрения производительности может быть очень важным. Учитывая сложность использования этого недостатка, мы рекомендуем дождаться рекомендаций из редактора ОС или гипервизора, которые использовались до отключения Hyper-Threading.
Общие рекомендации
Как всегда, мы рекомендуем нашим клиентам просто обновлять свои системы, чтобы максимально повысить эффективность введенных гарантий.
Являясь глобальным провайдером хостинга и облачных сервисов, мы тесно сотрудничаем с нашими партнерами, производителями и издателями, чтобы ежедневно повышать безопасность нашей инфраструктуры. Мы применяем исправления и исправления при обнаружении новых уязвимостей в дополнение к другим мерам внутренней защиты.
Эта уязвимость L1 Terminal Fault (L1TF) не является исключением. Но столкнувшись с освещением в средствах массовой информации своего открытия и верными ценностям прозрачности OVH, мы хотели, чтобы через это сообщение отвечали на вопросы наших клиентов.
Дополнительная информация:
travaux.ovh.net/?do=details&id=33475
software.intel.com/security-software-guidance/software-guidance/l1-terminal-fault
Ссылки на страницы издателей:
Ubuntu: wiki.ubuntu.com/SecurityTeam/KnowledgeBase/L1TF
VMware: kb.vmware.com/s/article/55636
Microsoft: portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180018
Redhat: access.redhat.com/security/vulnerabilities/L1TF
Susa: www.suse.com/support/kb/doc/?id=7023077
