¿Los parches en una capa superior protegerán contra la vulnerabilidad de espectro / fusión en una capa inferior?

4

La pregunta que voy a hacer es similar a la siguiente:

¿Necesito parchear Linux para Meltdown / Specter si el hipervisor ha sido parchado y confío en el invitado?

Sin embargo, me gustaría llevar la pregunta un poco más lejos o un poco más profundo.

Considere el siguiente entorno, donde una capa de virtualización de UCS, aloja instancias de VMware ESXi, que a su vez alojarán Windows, Linux y otros sistemas operativos, ¿qué capa debería proteger para proteger las capas subyacentes?

-> Hardware
   -> CPU
   -> RAM
   -> Mainboard
   -> Storage
      -> Operating System (UCS Management)
         -> partitioned "hardware" servers 
            -> physical CPUs
            -> physical RAM
            -> Storage
               -> OS of VMware ESXi Hosts
                  -> partitioned "virtual" servers
                     -> virtual CPUs
                     -> virtual RAM
                     -> Storage
                        -> OS of virtual Windows Server
                           -> Microsoft Hypervisor
                              -> virtual CPUs
                              -> virtual RAM
                              -> Storage
                                 -> OS of Microsoft Hypervisor Server/Client
                           -> Microsoft SQL Server
                              -> SQL Server OS (yes, SQL Server has its own OS)

Al ver que los distintos proveedores están suministrando parches para los distintos niveles (VMware, Microsoft OS, Microsoft SQL Server), ¿será suficiente para mí parchear, por ejemplo, solo la primera capa "física" más alta posible (sistema operativo UCS)? ) para garantizar que las capas subyacentes ya no se vean afectadas por la vulnerabilidad?

La idea detrás de esta pregunta es minimizar la posible cantidad de parches que deberían implementarse para proteger las capas subyacentes.

¿Hasta dónde debo parchear?

    
pregunta hot2use 10.01.2018 - 13:38
fuente

2 respuestas

1

Para Meltdown necesita parchear máquinas virtuales invitadas ya que el parche está en el kernel. Así que necesitas esos núcleos de invitado actualizados.

Para Specter, los parches están en el microcódigo de la CPU, por lo que deben cargarse en el sistema host. Creo que vmware ya tiene estos, pero las actualizaciones de microcódigo actuales aún no tienen correcciones para todas las CPU incluidas, por lo que habrá una actualización más para fines de enero.

    
respondido por el Aria 10.01.2018 - 14:42
fuente
1

Sí, no, y tal vez. Aquí hay dos vulnerabilidades:

  1. Meltdown. En un sistema no parcheado, un atacante puede acceder a cualquier memoria a la que pueda acceder el kernel, y solo a esa memoria. Por ejemplo, un atacante en la capa UCS puede acceder a todo atacando el kernel UCS; un atacante en la capa de SQL Server solo puede atacar aquellas partes a las que SQL Server puede acceder. Los parches en una capa dada solo protegen esa capa, por lo que un parche de capa UCS no impedirá que un atacante de capa de SQL Server lea la memoria del sistema operativo SQL Server.

    Debido a que un ataque Meltdown no puede realizarse fuera de la virtualización (pero puede llegar fuera de los contenedores, la zona de pruebas y la paravirtualización), ya tiene algo de protección con solo tener sus capas.

  2. Espectro. Specter no es tanto una vulnerabilidad como la enorme familia de vulnerabilidades. Debido a esto, hay muchos parches parciales que arreglan varios aspectos de la misma; no puede haber un parche universal de "arreglar todo" (excepto tal vez una actualización de microcódigo que mata el rendimiento que desactiva el predictor de ramificación).
    A diferencia de Meltdown, Specter puede llegar fuera de la virtualización: un un atacante en el nivel de SQL Server puede (con gran dificultad) realizar un ataque en la capa UCS. Cada capa que parche se protegerá, y algunos parches (como la actualización de microcódigo IBRS / IBPB de Intel) harán que los ataques sean más difíciles en todas las capas. Sin embargo, su configuración le brinda cierta protección inherente: Specter solo puede llegar a través de las CPU virtuales, no a las físicas.

respondido por el Mark 16.01.2018 - 22:39
fuente

Lea otras preguntas en las etiquetas