VxRail: 「このホストにはCVE-2018-3646で記述されている問題に対する脆弱性があります。 詳細およびVMwareの推奨については、https://kb.vmware.com/s/article/55636を参照してください」の警告、及びL1TF/Foreshadow問題への対応

この文書ではvSphere Web Client/vSphere Host Client上に表示される題記の警告、またIntel社製CPU脆弱性問題:通称L1 Terminal Fault(L1TF)/Foreshadowへの対応について説明します。

 

 

※VxRailにおけるL1TF問題への対応全般についての情報をお求めの場合は、"L1 Terminal Fault(L1TF)とは"の項目以下を参照してください。


キャプチャ.PNG.png

 

alarm.PNG.png

 

 

Ⅰ. 警告が発生する原因について

 

vCenter が6.0 U3hまたは6.5 U2c以上にUpgradeされており、且つESXiホストに対しCVE-2018-3646の対策(ESXi SCA Scheduler:ESXi サイドチャネル対応スケジューラ)が有効化されていない環境で発生します。

VxRailをご利用のユーザにおいては、下記の条件でCVE-2018-3646の対策(ESXi SCA Scheduler:ESXi サイドチャネル対応スケジューラ)が有効化されていない場合が該当します。

 

内部VCSA利用環境VxRailが4.0.520、または4.5.218以上
外部vCenter利用環境vCenterが6.0 U3hまたは6.5 U2c

 

 

Ⅱ. L1 Terminal Fault(L1TF)とは

Intel社からCVE-2018-3615、CVE-2018-3620、CVE-2018-3646の3つのCPUに関する脆弱性が公開されており、総称してL1 Terminal Fault(L1TF)、またはForeshadowと呼称されています。

このうち、VxRailとして対応が必用なものはCVE-2018-3620、CVE-2018-3646の2つです

 

L1TF問題の概要については下記のページをご参照ください。

・Japan Vulnerability Notes: Intel 製 CPU の投機的実行機能に対するサイドチャネル攻撃 (L1TF, L1 Terminal Fault)

https://jvn.jp/vu/JVNVU97646030/

 

・Intel社公式ページ:Q3 2018 Speculative Execution Side Channel Update(英語)

INTEL-SA-00161

 

L1TF問題の詳細な技術情報については下記に掲載されています。

・Intel社公式ページ: "Deep Dive: Intel Analysis of L1 Terminal Fault"(英語)

https://software.intel.com/security-software-guidance/insights/deep-dive-intel-analysis-l1-terminal-fault

 

また、Intel社から内容が簡潔にまとまった動画(英語)も公開されています。

 

 

Ⅲ. L1TF/Foreshadow問題に対するVMwareからの案内


VMwareとしては、L1TF問題について下記のようにアナウンスしています。

・Intel プロセッサの「L1 Terminal Fault」(L1TF) 投機的実行の脆弱性に対する VMware の対応の概要 CVE-2018-3646、CVE-2018-3620、CVE-2018-3615 (55636)

https://kb.vmware.com/s/article/55636?lang=ja

     公開されている3つの脆弱性の内、VxRailとして対応の必用のある項目はCVE-2018-3620、CVE-2018-3646です。

     CVE-2018-3620については、VxRailのサービスVM(VxRail Manager、VCSA、PSC)への対処はVxRailが4.0.520、または4.5.218以上にUpgradeされた時点で完了します。

     お客様の仮想マシンについては、ゲストOSごとの対処を行う必要があります。

 

CVE-2018-3646への対応処置は、VMware KB 55806に詳述されています。

・vSphere 用 Intel プロセッサにおける「L1 Terminal Fault」(L1TF - VMM) 投機的実行の脆弱性に対する VMware の対応 CVE-2018-3646 (55806)

https://kb.vmware.com/s/article/55806?lang=ja

 

上記KBの"Resolution"セクションに、CVE-2018-3646に対する大まかな対応フローが図説されています。

CVE-2018-3646の対策(ESXi SCA Scheduler:ESXi サイドチャネル対応スケジューラ)を実施する手順は、"スケジューラ有効化フェーズ: ESXi サイドチャネル対応スケジューラの有効化"の項目に掲載されています。

ただし、該当処置を行うに際しCPUパフォーマンス影響を伴う場合があります。

 

パフォーマンス影響の側面については下記記事に詳述されています。

CVE-2018-3646への対応で、パフォーマンス影響を伴う対策(ESXi SCA Scheduler:ESXi サイドチャネル対応スケジューラ)の実施是非を判断する際は、特にこの記事を精読する必要があります。

・「L1 Terminal Fault - VMM」(L1TF - VMM) の軽減策によって VMware が受けるパフォーマンス面の影響の説明 CVE-2018-3646 (55767)

https://kb.vmware.com/s/article/55767?lang=ja

 

ESXi SCA Scheduler(ESXi サイドチャネル対応スケジューラ)の適用に際する影響を測定する参考ツールとして、VMwareから下記が提供されています。

記事内の"Attachments"からダウンロードすることできます。

・HTAware 軽減策ツールの概要および使用法 (56931)

https://kb.vmware.com/s/article/56931?lang=ja

 

 

Ⅳ. VxRailとして必要な処置


CVE-2018-3620について

CVE-2018-3620はゲストOSレベルの脆弱性です。

VxRailのサービスVM(VxRail Manager、VCSA、PSC)への対処は、VxRailが4.0.520・または4.5.218以上にアップグレードされた時点で完了します。

お客様の仮想マシンについては、ゲストOSごとの対処を行う必要があります。

外部vCenterをご利用のお客様は、外部vCenterを6.0u3hまたは6.5u2c以上にアップグレードする必要があります。

 

CVE-2018-3646について

CVE-2018-3646はハイパーバイザレベルの脆弱性です。

対処には、VxRailを4.0.520・または4.5.218以上アップグレードした後、ESXi SCA Scheduler(ESXiサイドチャネル対応スケジューラ)を有効化する必要があります。

ESXi SCA Scheduler(ESXiサイドチャネル対応スケジューラ)の有効化には、CPUパフォーマンスへの影響を伴う場合があります。



Ⅴ. お客様に取っていただくアクション


1. お客様のセキュリティコンプライアンス、ポリシーを確認いただき、ポリシーに準拠したL1TF問題に対する対応方針を策定いただく

2. VxRailを4.0.520、または4.5.218以上にアップグレードいただく

    →この時点でサービスMVに対してCVE-2018-3620の対処が完了します。

3.  L1TF/Foreshadow問題に対するVMwareからの案内の項目で紹介している記事を一読のうえ、内容を理解いただく

4. ご利用のVxRailのクラスターのCPUリソース使用状況をご確認いただき、CVE-2018-3646の対策(ESXi SCA Scheduler:ESXi サイドチャネル対応スケジューラ)適用に際する影響を確認いただく

5. 上記で確認・検討いただいた内容を元にESXi SCA Scheduler(ESXi サイドチャネル対応スケジューラ)の適用の是非を検討いただき、必用に応じて適用いただく


最終的に客様に取り得る対応方針は一般的に下記のいずれかであると考えられます。


A. セキュリティ脆弱性を受け入れ、CVE-2018-3646への対応をしないまま運用する(VMwareとしては非推奨)

     メリット:  パフォーマンス影響を回避できる

     デメリット: VxRailがCVE-2018-3646に対して脆弱な状態となる


B. CVE-2018-3646の対応(ESXiサイドチャネル対応スケジューラ)を実施し、セキュリティ対策を実行する

     メリット: CVE-2018-3646の脆弱性が回避される

     デメリット: パフォーマンス影響が発生する惧れがある


C. クラスターに十分な量のCPUリソースを追加したうえで、CVE-2018-3646の対応(ESXiサイドチャネル対応スケジューラ)を実行する

     メリット: セキュリティ面での安全性とパフォーマンスの両方を維持することができる

     デメリット: CPU追加(VxRailにおいてはノード追加)のためのコストが発生する


Ⅵ. 警告の抑制


上記を確認・検討のうえ、ご利用のVxRailにCVE-2018-3646に対する処置を実施する必要がないと判断された場合は、下記の方法で警告の表示を抑止することが可能です。


vSphere Web Clientにアクセス: ホストを選択 > サマリ > 警告の抑制

suppress.PNG.png

 

※WebClientにて、「警告の抑制」の表示がない場合は以下のKBを参照し抑制を実施してください。

https://kb.vmware.com/s/article/57374

 

---------------------------------------------------------------------------------------------------------------------------------------------------------------------

Dell/EMC/VMware のうちどのベンダーも、当該問題についてお客様に取っていただくべき対応方針を案内・推奨・手引きすることはできません。

当該問題により発生し得るお客様ビジネス・セキュリティコンプライアンスへのリスク、及び問題への対処に必要なクラスターリソースを確認いただいた上で、お客様自身で対応方針を策定いただく必要があります。

---------------------------------------------------------------------------------------------------------------------------------------------------------------------



参考資料:

Dell EMC ナレッジベース

VxRail: After upgrading to 4.5.218, an alert is reported on the hosts: esx.problem.hyperthreading.unmitigated

https://support.emc.com/kb/525114

DSA-2018-176: Dell EMC VxRail Security Update for Multiprocessor L1 Terminal Fault Vulnerabilities

https://support.emc.com/kb/525471