Спустя 24 часа после широкомасштабного выпуска уязвимостей Rackspace ничего не говорит о Spectre и Meltdown. У них нет плана по установке исправлений для всех своих гипервизоров Xen. Все их новые серверы платформы - это серверы HVM, которые уязвимы. Старые PV-серверы не уязвимы.
Я обновил ядро Linux моих гостей HVM, но Rackspace не обновил ни один из их гипервизоров. Будет ли обновление гостевого ядра на непропатченном гипервизоре предотвращать доступ виртуальных машин "плохих парней" к памяти, утерянной с моего исправленного хоста?
Из того, что я понимаю об уязвимостях, нет - спекулятивные атаки кэширования обходят все защиты ЦП от процесса, захватывающего память с любого произвольного адреса.
Я считаю, что это будет включать в себя соседние виртуальные машины (даже те, которые пропатчены для защиты от самих атак), а также пространство памяти ядра гипервизора - но даже если мне не хватает чего-то, что могло бы защитить от прямого раскрытия памяти, есть также потенциал что злоумышленник может использовать свой доступ к памяти ядра, чтобы получить более полный доступ к гипервизору.
Вы определенно не хотите рисковать запускать чувствительную рабочую нагрузку на непропатченном гипервизоре любого типа, если вы не доверяете всем виртуальным машинам, работающим на нем.
Призрак и Мелтдаун.
С чего начать? плохой, я имею в виду очень плохой пресс-релиз о том, что может или не может повлиять на ваш компьютер, рабочую станцию, сервер или сервер в облаке. Да, это полностью так, но у вас должен быть локальный доступ к связанному процессору, который может быть ПК или телефоном, кажется, Apple сделала пример, но позволяет думать о своем процессоре ARM, так что каждая мобильная платформа, которая поддерживает (функцию / раскрытие микрокода / слишком много контроля над ЦП из ОС / и т. д. / т. д.)
Приложение должно быть запущено на ЦП устройства, поэтому я бы подумал, что доступ к консоли или, по крайней мере, удаленный пользователь, который обращается к системе, доступ к устройству ввода ...
В настоящее время единственный известный способ использования этих уязвимостей - это локальный / прямой доступ к ЦП (снова может быть удаленным, если у вас есть SSH / VNC и т. Д.)
Ниже приведены патчи, которые я нашел на данный момент.
VMWare has released a security advisory for their ESXi, Workstation and Fusion products: VMSA-2018-0002
[https://www.vmware.com/us/security/advisories/VMSA-2018-0002.html][1]
RedHat has released a security advisory for their qemu product: [https://access.redhat.com/errata/RHSA-2018:0024][1]
Amazon has released a security advisory for their Amazon Linux AMI product: ALAS-2018-939
https://alas.aws.amazon.com/ALAS-2018-939.htmл
Теперь это должен быть лучший ответ на проблему прямо сейчас.
Что сказали наши друзья из BSD?
проверка Powershell на то же самое;)
Я могу / вернусь и отредактирую этот пост. Я уверен, что это не проблема (пока она не появится в дикой природе) не станет реальной проблемой надолго. Google действительно следовало соблюдать даты раскрытия информации здесь! -1 для Google