¿Es necesaria la mitigación de Meltdown / Specter en la máquina virtual y en el hipervisor? [duplicar]

Navega tus respuestas
2

Estoy ejecutando máquinas virtuales en el hipervisor kvm/qemu . El hipervisor tiene habilitada la mitigación Meltdown / Specter en el kernel.

¿Es necesario que las máquinas virtuales tengan también habilitada la mitigación de Fusión / Espectro, o la protección proporcionada por el hipervisor es suficiente?

En otras palabras, ¿el host y el huésped deben tener habilitada la mitigación de Meltdown / Specter?

    
pregunta Martin Vegter 08.12.2018 - 13:18
fuente

1 respuesta

2
  

P : .. ¿el host y el invitado deben tener habilitada la mitigación de Meltdown / Specter?

Cuando se anunciaron estas vulnerabilidades, QEMU publicó en " QEMU y los ataques de Spectre y Meltdown ":

  

En este momento, no hay parches públicos para KVM que expongan los nuevos bits de CPUID y MSR a las máquinas virtuales, por lo tanto, no hay necesidad urgente de actualizar QEMU; recuerde que actualizar el núcleo del host es suficiente para proteger al host de huéspedes maliciosos . Sin embargo, las actualizaciones se publicarán en la lista de correo qemu-devel en los próximos días y se lanzará una versión de parche 2.11.1 con la solución.

     

Una vez que se proporcionan las actualizaciones, la migración en vivo a una versión actualizada de QEMU no será suficiente para proteger el kernel invitado del espacio del usuario invitado . Debido a que la CPU virtual se debe cambiar a una con los nuevos bits de CPUID, el invitado deberá reiniciarse.

     

(01/05/18 - por Paolo Bonzini y Eduardo Habkost: fuente )

Las actualizaciones han estado disponibles, por lo tanto, debería continuar con ellas y habilitar la mitigación también en los invitados.

Por el artículo de QEMU " QEMU 2.11.1 y haciendo uso de la mitigación de Spectre / Meltdown para los invitados KVM ":

  

Lo que se está abordando aquí es permitir que un sistema operativo invitado habilite las mismas (o similares) mitigaciones para protegerse de los procesos invitados sin privilegios que se ejecutan bajo el sistema operativo invitado.

     

Habilitando las funciones de mitigación para invitados KVM x86:

     

Para los invitados x86 hay 2 indicadores de CPU adicionales asociados con la mitigación de Spectre / Meltdown: spec-ctrl , y ibpb :

     
  • spec-ctrl : expone la especulación restringida de rama indirecta (IBRS)
    •   
  • ibpb : expone las barreras de predicción de rama indirecta
    •   

La utilización de esta funcionalidad requiere actualizaciones de kernel de invitado / host, así como actualizaciones de microcódigo para Intel y procesadores AMD recientes. El estado de estos parches de kernel en sentido ascendente todavía está en proceso de cambio, pero la mayoría de las distribuciones compatibles tienen alguna forma de parches que sea suficiente para hacer uso de la funcionalidad. El estado / disponibilidad actual de las actualizaciones de microcódigo depende de la arquitectura / modelo de su CPU. Verifique con su proveedor / distribución para confirmar que estos requisitos previos están disponibles / instalados.

     

(14/02/18 - por Michael Roth: fuente )

    
respondido por el mike 08.12.2018 - 14:05
fuente

Lea otras preguntas en las etiquetas

¿Qué tan seguro es permitir el acceso SSH basado en clave dentro de LAN? ¿Cómo minimizar el sesgo de resultados personalizados en los motores de búsqueda?