VMware 환경에서의 인텔, AMD, ARM CPU 커널 버그 보안 패치 관련

[홍종근(스타리온)]

홍종근입니다.

정초부터 인텔이 싼 똥으로 인해 여파가 장난 아닌듯 합니다.

특히나 클라우드 업체는 난리 난리도 아니라네요. 소송한다고 하던데...

버그는 두가지인데 "멜트다운"과 "스펙터" 입니다.

"멜트다운"은 말그대로 성능과 취약점이 너무나 거대해서 원자로의 멜트다운에 걸맞는 대참사라서 '멜트다운' 이라 네이밍 하였다 하고, 

"스펙터"는 메모리에 상주한 정보를 CPU 취약점을 통해 들여다 볼수 있는 취약점이라 합니다.

VMware도 패치를 적용해야 하는거는 맞지만, "성능저하는 없다" 라는게 Vmware의 공식적인 답변입니다.

내용 참조하시기 바랍니다.

하이퍼-V로 가상화를 운영중인 회원사는 ParentsOS(하이퍼-v)외에 게스트 OS도 패치를 적용해야 한다고 합니다.

KB4056892랑, KB4058702 입니다.

------------------------------------------------------------------------------------------

안녕하세요 다우기술입니다.

2018년 새해 복 많이 받으시고 늘 즐거운 일들만 가득한 한 해 가 되시기 바랍니다!

다름이 아니오라 금주부터 이슈가 되고 있는 인텔, AMD, ARM CPU 커널 버그 보안 패치 관련 공지 메일을 드리오니 하기 내용 및 첨부파일 참고 부탁 드립니다.

1. 첨부파일 : VMSA-2018-0002 버그 Fixed 상세
2. 참고사항

• 2018/01/04(목), 인텔, AMD, ARM 의 CPU 보안 취약점과 관련하여 VMware ESXi, Workstation, Fusion 에 대한 초기 패치 업데이트 완료
• 긴급하게버그 Fix 된초기패치버전이나왔으며, 추후업데이트되는내용에대해서는 추후 공유 예정
• ESXi 에영향도가있는이슈는Spacter (스펙터) CVE-2017-5753 / CVE-2017-5715 로서 현재이슈가되고있는보안패치후메모리엑세스 30% 성능저하와연관이없음
• ESXi 6.5 
• VMware Patch 
• 요약내용

인텔과 AMD, ARM 의 CPU 결함으로인한보안취약점발생

• Meltdown (멜트다운) : CVE-2017-5754
1. 커널에서사용하는메모리정보가유저쪽으로유출될수있는보안취약점(Microsoft, Linux, MacOS에영향)
2. Microsoft, Linux, 등의보안패치적용시인한 Memory 엑세스에 30% 이상의성능저하발생
• Spacter (스펙터) : CVE-2017-5753 / CVE-2017-5715
1. CPU 실행시데이터캐시사용시잘못된정보로임의의가상메모리정보가사용자에유출될수있는보안취약점
• 인텔 CPU 결함 (두건모두해당)
• AMD, ARM CPU 결함 (한건만해당)

VMware vSphere ESXi 영향도

• Meltdown (멜트다운) 보안취약점은공식적으로 vSphere ESXi 와 VMware Workstation, Fusion 에보안취약점영향도없음으로패치적용필요하지않음.
• Spacter (스펙터) 보안취약점은공식적으로 vSphere ESXi, Workstation, Fusion 에보안취약점발생될수있으며해당이슈에대한긴급보안버그패치가 “VMSA-2018-0002” 로Fixed.
• Spacter (스펙터) 에대한버그패치가필요하며, 패치적용후에도성능저하발생되지않음

VMSA-2018-0002 패치 관련 VMware FAQ 답변도 같이 확인 부탁드립니다.

1.      Guest OS 패치 필요 여부

a.      각 Guest OS 의 벤더사에서 제공하는 패치 필요합니다.

b.      Meltdown 이슈는 Intel CPU 를 사용하는 Windows, Linux 등의 운영체제들이 영향을 받습니다. 가상 머신에 대한 성능 저하는 발생할 수 있으며, Intel 에서 발표한 자료는 사용자가 체감할 수 없을 정도의 성능저하라고 발표하고 있습니다.

2.      Guest OS 의 성능 저하 발생 부분

a.      Guest OS 에 해당하는 패치는 각 벤더사에서 제공되어 집니다. Guest OS 의 패치 여부에 대해서는 VMware 에서 Control 할 수 없습니다. 해당 운영체제를 제공하는 벤더사를 통해 가이드 받으시고 패치 계획 진행하시는 것이 맞습니다.

b.      https://blogs.vmware.com/security/2018/01/vmsa-2018-0002.html

3.      Guest OS 의 Meltdown 관련 패치 시 ESXi 의 호스트 성능 영향

a.      Meltdown 의 Guest OS 의 패치로 인한 이슈는 저희 ESXi 에 영향을 주지 않습니다.

상세한 질의 내용은 아래 내용 참고 부탁드립니다.

감사합니다.

VMSA-2018-0002 버그 Fixed 상세.pptx

[박재영(대우제약)]

좋은 정보 감사드립니다.^^