VMSA-2018-0004:VMware vSphere、Workstation 和 Fusion 更新針對推測執行問題增添了 Hypervisor 協助的客體修復 (Spectre)

medium Nessus Plugin ID 105768

Synopsis

遠端 VMware ESXi 主機缺少一或多個與安全性相關的修補程式。

描述

適用於虛擬機器的全新推測執行控制機制

vCenter Server、ESXi、Workstation 和 Fusion 會虛擬化適用於虛擬機器 (VM) 的全新推測執行控制機制。因此,已修補的客體作業系統 (客體 OS) 可修復分支目標注入問題 (CVE-2017-5715)。此問題可允許資訊從 VM 的一個處理程序洩漏到另一個處理程序。

要修復客體 OS 中的 CVE-2017-5715 問題,必須符合下列 VMware 和第三方要求:

VMware 要求
-------------------

- 部署表格中列出的更新版 vCenter Server (若是使用 vCenter Server)。

- 部署表格中列出的 ESXi 修補程式和/或新版的 Workstation 或 Fusion。

- 確保 VM 使用的是版本 9 或更高版本的硬體。為確保達到最佳效能,建議使用版本 11 或更高版本的硬體。
VMware 知識庫文章 1010675 有更詳細的硬體版本說明。

第三方需求
------------------------

- 部署 CVE-2017-5715 的來賓 OS 修補程式。您的 OS 供應商會提供這些修補程式。

- 更新 CPU 微碼。您的 CPU 需要額外的微碼才能暴露已修補客體 OS 使用的新 MSR。您的硬體平台供應商應該會提供此微碼。
VMware 已透過表格中列出的 ESXi 修補程式,提供必要的 INTEL 和 AMD 微碼若干版本。詳細資訊請參閱 VMware 知識庫文章 52085。

解決方案

套用遺漏的修補程式。

另請參閱

http://lists.vmware.com/pipermail/security-announce/2018/000399.html

Plugin 詳細資訊

嚴重性: Medium

ID: 105768

檔案名稱: vmware_VMSA-2018-0004.nasl

版本: 3.10

類型: local

已發布: 2018/1/12

已更新: 2021/4/15

風險資訊

VPR

風險因素: High

分數: 7.6

CVSS v2

風險因素: Low

基本分數: 1.9

時間分數: 1.7

媒介: AV:L/AC:M/Au:N/C:P/I:N/A:N

時間媒介: E:H/RL:OF/RC:C

CVSS v3

風險因素: Medium

基本分數: 5.6

時間分數: 5.4

媒介: CVSS:3.0/AV:L/AC:H/PR:L/UI:N/S:C/C:H/I:N/A:N

時間媒介: E:H/RL:O/RC:C

弱點資訊

CPE: cpe:/o:vmware:esxi:5.5, cpe:/o:vmware:esxi:6.0, cpe:/o:vmware:esxi:6.5

必要的 KB 項目: Host/local_checks_enabled, Host/VMware/release, Host/VMware/version

可被惡意程式利用: true

可輕鬆利用: Exploits are available

修補程式發佈日期: 2018/1/9

弱點發布日期: 2018/1/4

參考資訊

CVE: CVE-2017-5715

VMSA: 2018-0004

IAVA: 2018-A-0020