cd ~/

Home of Daniel Graf

Benutzer-Werkzeuge

Webseiten-Werkzeuge


Seitenleiste

cd ~/

Home of Daniel Graf

Seiten

Suche

Blog Meta

Dynamo Dresden

Galerie

blog:vmware_-_zwischen_meltdown_spectre_und_der_performance

VMware - Zwischen Meltdown, Spectre und der Performance

Die Schwachstellen Meltdown und Spectre haben das neue Jahr 2018 ziemlich stockend starten lassen… Von VMware wurde kurz nach der öffentlichen Bekanntgabe der Schwachstellen Meltdown und Spectre ein Security Advisory verfasst, welches auf Patches referenziert, die sowohl den ESXi Hypervisor als auch den Microcode der CPU fixen.

Wenige Tage später wurde ein weiteres Advisory veröffentlicht. Die darin enthalten Patches wurden von VMware in der Zwischenzeit wieder zurück gezogen:

https://kb.vmware.com/kb/52345

Zitat: Note: ESXi patches associated with VMSA-2018-0004 have been pulled down from the online and offline portal.
[…]
For ESXi hosts that have not yet applied one of the following patches ESXi650-201801402-BG, ESXi600-201801402-BG, or ESXi550-201801401-BG, VMware recommends not doing so at this time. It is recommended to apply the patches listed in VMSA-2018-0002 instead.

Es sollen also allenfalls die Patches aus dem Advisory VMSA-2018-0002 installiert werden.

Die Patches wurden zurückgezogen, da es mit diesen Performance Probleme gibt. Dazu wurde am 15.01.2018 ein Artikel veröffentlicht, in dem VMware darauf hinweist, dass die Auswirkungen der Patches auf die Performance erst noch getestet werden müssen:

https://kb.vmware.com/kb/52337
Zitat: The VMware performance team is currently evaluating the performance costs of the Meltdown/Spectre mitigations for vSphere.

Soweit die Fakten, nun zu meiner persönlichen Meinung… Für alle VMware Administratoren, die keine public shared Plattform betreiben (wie es z.B. Webhoster mit VMware-virtualisierten root-Servern tun), ergibt sich keine akute Gefahr, da der Personen-Kreis, der Zugriff auf die Systeme hat, bekannte Personen sind (in einem Unternehmen sollte den Mitarbeitern der IT ja vertraut werden). Wohingegen bei einer public shared Plattform (wieder das Beispiel eines Webhosters) die Gefahr gegeben ist, da sich Kunden untereinander kompromittieren könnten.

Sofern also keine public shared Plattform betrieben wird, sollte man mit den Updates noch warten, zumindest bis die Auswirkungen bekannt der Patches vollends bekannt sind. Andernfalls könnten Performance-Engpässe entstehen, die einzig durch weitere Hardware kompensiert werden kann.

Diskussion

Geben Sie Ihren Kommentar ein. Wiki-Syntax ist zugelassen:
 
blog/vmware_-_zwischen_meltdown_spectre_und_der_performance.txt · Zuletzt geändert: 2018/01/20 12:44 von Daniel Graf