VMware 安全工程、通信和响应组 (vSECR) 正在调查这些漏洞可能会对 VMware 虚拟设备造成的影响。
CPU 数据缓存计时可能会被软件滥用,从错误推断的 CPU 执行泄漏信息,导致在各种环境中导致出现跨本地安全边界的任意虚拟内存读取漏洞(最坏的情况)。Google Project Zero 和其他安全研究人员最近发现了三个变体;它们可能会影响许多现代处理器,其中包括某些 Intel、AMD 和 ARM 处理器:
变体 1:绕过边界检查 (CVE-2017-5753),也称为 Spectre 攻击的一部分。
变体 2:分支目标注入 (CVE-2017-5715),也称为 Spectre 攻击的一部分。
变体 3:恶意数据缓存加载 (CVE-2017-5754),也称为 Meltdown 攻击。
必须修补或升级所有操作系统 (OS)、虚拟机、虚拟设备、管理程序、服务器固件和 CPU 微码,才能有效缓解这些已知变体的攻击。
本文将重点介绍特定于操作系统的缓解措施,因为它们与 VMware 虚拟设备有关。
请参见VMware Response to Speculative Execution security issues, CVE-2017-5753, CVE-2017-5715, CVE-2017-5754 (aka Spectre and Meltdown),获得更多全面信息。
注意:
受影响的虚拟设备:
vSECR 已针对下列设备进行评估,并确定这些设备可能会受 CVE-2017-5753、CVE-2017-5715 或 CVE-2017-5754 的影响。对这些产品进行更新时,还需要 KB52245 中所述的管理程序辅助的客户机缓解措施才能缓解 CVE-2017-5715。VMware 目前正在调查可行的权宜措施,一旦可用,即添加到以下列表中。即将发布的 VMware 安全公告中将记录修复信息。请注册 Security-Announce mailing list 以接收新增和更新的 VMware 安全公告,单击此页面右侧的“subscribe to article”,以便本文档更新时收到通知。如果未列出特定版本号,则表示该条目适用于所有受支持版本的设备。
不受影响的虚拟设备:
vSECR 已完成下列设备的评估,并确定在支持的配置下,这些设备将不受影响,因为必须使用管理特权才能执行任意代码。此情况假设底层管理程序已修补,可修复 CVE-2017-5753 和 CVE-2017-5715。有关信息,请参见 VMSA-2018-0002。如果未列出特定版本号,则表示该条目适用于所有受支持版本的设备。
注意:自动漏洞扫描程序可能会报告这些设备易受 CVE-2017-5753、CVE-2017-5715 或 CVE-2017-5754 的攻击,即使此问题不会受到攻击。但作为预防措施,将在未来的维护版本中更新这些产品的内核。