P : .. ¿el host y el invitado deben tener habilitada la mitigación de Meltdown / Specter?
Sí
Cuando se anunciaron estas vulnerabilidades, QEMU publicó en " QEMU y los ataques de Spectre y Meltdown ":
En este momento, no hay parches públicos para KVM que expongan los nuevos bits de CPUID y MSR a las máquinas virtuales, por lo tanto, no hay necesidad urgente de actualizar QEMU; recuerde que actualizar el núcleo del host es suficiente para proteger al host de huéspedes maliciosos . Sin embargo, las actualizaciones se publicarán en la lista de correo qemu-devel en los próximos días y se lanzará una versión de parche 2.11.1 con la solución.
Una vez que se proporcionan las actualizaciones, la migración en vivo a una versión actualizada de QEMU no será suficiente para proteger el kernel invitado del espacio del usuario invitado . Debido a que la CPU virtual se debe cambiar a una con los nuevos bits de CPUID, el invitado deberá reiniciarse.
(01/05/18 - por Paolo Bonzini y Eduardo Habkost: fuente )
Las actualizaciones han estado disponibles, por lo tanto, debería continuar con ellas y habilitar la mitigación también en los invitados.
Por el artículo de QEMU " QEMU 2.11.1 y haciendo uso de la mitigación de Spectre / Meltdown para los invitados KVM ":
Lo que se está abordando aquí es permitir que un sistema operativo invitado habilite las mismas (o similares) mitigaciones para protegerse de los procesos invitados sin privilegios que se ejecutan bajo el sistema operativo invitado.
Habilitando las funciones de mitigación para invitados KVM x86:
Para los invitados x86 hay 2 indicadores de CPU adicionales asociados con la mitigación de Spectre / Meltdown: spec-ctrl
, y ibpb
:
-
spec-ctrl
: expone la especulación restringida de rama indirecta (IBRS)
-
ibpb
: expone las barreras de predicción de rama indirecta
La utilización de esta funcionalidad requiere actualizaciones de kernel de invitado / host, así como actualizaciones de microcódigo para Intel y procesadores AMD recientes. El estado de estos parches de kernel en sentido ascendente todavía está en proceso de cambio, pero la mayoría de las distribuciones compatibles tienen alguna forma de parches que sea suficiente para hacer uso de la funcionalidad. El estado / disponibilidad actual de las actualizaciones de microcódigo depende de la arquitectura / modelo de su CPU. Verifique con su proveedor / distribución para confirmar que estos requisitos previos están disponibles / instalados.
(14/02/18 - por Michael Roth: fuente )