VMware 对 Intel 处理器中的“L1 终端故障”(L1TF) 推测执行漏洞的概述: CVE-2018-3646、CVE-2018-3620 和 CVE-2018-3615 (55636)
Last Updated: 4/28/2019Categories: Security
2
Symptoms
免责声明: 本文是 VMware Overview of ‘L1 Terminal Fault’ (L1TF) Speculative-Execution vulnerabilities in Intel processors: CVE-2018-3646, CVE-2018-3620, and CVE-2018-3615 (55636) 的翻译版本。 尽管我们会不断努力为本文提供最佳翻译版本,但本地化的内容可能会过时。 有关最新内容,请参见英文版本。
Purpose
本文旨在概述 Intel 处理器中存在的适用于 VMware 产品的与推测执行有关的安全问题,如 CVE 2018 3646(L1 终端故障 - OS)、CVE 2018 3620(L1 终端故障 - VMM)和CVE 2018 3615(L1 终端故障 - SGX)中所述。 由于解决这些问题需要使用多个文档,因此我们将本文档视为这些问题的真实集中来源。
如果任何相关文档有重大更改,将在本文的更新历史记录部分进行相应修订。 单击本文档中新增信息时出现的 Actions 框中的 Subscribe to Article,并注册我们 Security-Announce mailing list 以接收新增和更新的 VMware 安全公告。
背景
为帮助理解推测执行漏洞,VMware 此前在 KB52245 和 KB54951 中定义了以下类别 - 此处是以下四个类别的简短摘要:
- 管理程序特定的缓解措施可防止管理程序或客户机虚拟机中的信息泄露到恶意客户机虚拟机。 这些缓解措施需要 VMware 产品更改代码。
- 管理程序辅助的客户机缓解措施可对客户机虚拟机的新推测执行硬件控制机制进行虚拟化,以使客户机操作系统能够减轻虚拟机中的进程间泄漏。 这些缓解措施需要 VMware 产品更改代码。
- 操作系统特定的缓解措施将应用于客户机操作系统。 这些更新将由第三方供应商提供,或在使用 VMware 虚拟设备的情况下由 VMware 提供。
- 微码缓解措施将通过硬件供应商提供的微码更新应用于系统的处理器。 这些缓解措施不要求管理程序或客户机操作系统更新有效。
当前推测执行问题的缓解措施类别摘要:
- CVE 2018 3646(L1 终端故障 - VMM)
CVE 2018 3646 的缓解措施要求 Intel 硬件上运行适用于主机的管理程序特定的缓解措施。
- CVE 2018 3620(L1 终端故障 - OS)
CVE 2018 3620 的缓解措施需要操作系统特定的缓解措施。
- CVE 2018 3615(L1 终端故障 - SGX)
CVE 2018 3615 不会影响 VMware 产品和/或服务。 请参阅 KB54913 了解更多信息。
Resolution
CVE-2018-3646 (L1 终端故障 - VMM) |
管理程序特定的缓解措施
VMware 已针对 CVE-2018-3646 提供了管理程序特定的缓解措施。 AMD 处理器不受影响。 请参阅以下知识库文章了解产品特定的缓解过程和/或漏洞分析:
CVE-2018-3620(L1 终端故障 - OS)
操作系统特定的缓解措施
VMware 已调查了 CVE 2018 3620 可能会对虚拟设备造成的影响。 此调查的详细信息中包括一组不受影响的虚拟设备,可从 KB55807 中了解此名单。
作为可安装的 Windows 或 Linux 二进制文件提供的产品不会受到直接影响,但是可能需要安装这些产品的操作系统的相应供应商提供的修补程序。 VMware 建议您联系第三方操作系统供应商以确定合适的措施来缓解 CVE 2018 3620。 此问题可能适用于 VMware SaaS 产品中运行的客户控制环境,请查看 KB55808。
Related Information
有关 L1TF 的更多信息,请访问