Intel image.jpg

Kundeinformation: Beslutning vedr. Intel CPU sårbarheder

8. oktober 2018


Problemstillingen

For nylig offentliggjorde Intel at der er opdaget CPU sårbarheder, som potentielt kan gøre et datacentermiljø, der benytter Intel CPU’ere sårbart. Derfor anbefaler Loop Partners at denne sårbarhed imødegås med tilgængelige patches.

 VMware har beskrevet problemstillingen i en række artikler:

 https://kb.vmware.com/s/article/55636

https://kb.vmware.com/s/article/55806

https://kb.vmware.com/s/article/55767


Løsningen

VMware har frigivet en løsning på de nyeste Intel CPU sårbarheder i form af et patch. Loop Partners ligger VMwares patches på via patch cyclus, men den løsning som imødegår CPU sårbarhederne, skal I som kunde tage stilling til idet den kan påvirke jeres miljø.

 Der er én specifik løsning som ikke er et almindeligt patch, da den kan påvirke den grundliggende performance negativt. Patchet beskytter imod: Concurrent-context attack vector (a malicious VM can potentially infer recently accessed L1 data of a concurrently executing context (hypervisor thread or other VM thread) on the other logical processor of the hyperthreading-enabled processor core.

 For at imødegå denne specifikke sårbarhed kræver det, at vi aktiverer en ny service indbygget i VMware esxi. Vi, eller VMware, kan ikke forudsige hvordan det enkelte miljø påvirkes, og erfaringer viser at det kan være alt fra ingen påvirkning til i værste fald at miljøet har 30-40% ringere performance efter patchet.


Anbefaling

Loop Partners anbefaler at alle sikkerhedshuller som kan lukkes, bliver lukket. Dette gælder også denne problemstilling. I dette tilfælde kan det betyde at der skal tilføjes flere ressourcer, såfremt performance påvirkes negativt og miljøet ikke har merkapacitet som kan absorbere påvirkningen.

 I skal selv træffe valget om patchet skal lægges på og vi beder derfor om at I fortæller os, om I ønsker at vi skal implementere patchet. Ifald at I ikke ønsker implementering af patchet, accepterer I som virksomhed den risiko der følger heraf. Loop Partners tager ikke ansvar for evt. følger ifald I ikke vælger at implementere patchet.

VMware anbefaler følgende forløb ift. denne beslutning:

 Kilde: VMware

Kilde: VMware