Последние несколько дней, было забавно смотреть на новости от VMware, касающиеся уязвимостей Meltdown и Spectre. Сначала были выпущены обновления, которые рекомендовались к срочной установке, потом часть обновлений была отозвана, а на часть выпущены дополнительные патчи (речь о VMSA-2018-04 — см. статью Уязвимость Spectre: установка обновлений на сервера VMware ESXi). VMware официально отозвала исправления, сявзанные с аднным бюллетенем (речь о ESXi650-201801402-BG, ESXi600-201801402-BG и ESXi550-201801401-BG).
Патчи были отозваны в связи с обнаруженными проблемами на процессорах семейства Haswell/Broadwell. В том случае, если вы уже успели установить данный патчи на свои хосты ESXi с процессорами Haswell или Broadwell (или другими процессорами Intel, перечисленными в таблице ниже), нужно как можно скорее удалить данный апдейт.
| VCG Processor Series/Family | Encoded CPUID Family. Model. Stepping | Processor SKU Stepping | Microcode Revision | ||
| Intel Xeon E3-1200-v3 Intel i3-4300 Intel i5-4500-TE Intel i7-4700-EQ | 0x000306C3 | C0 | 0x00000023 | ||
| Intel Xeon E5-1600-v3 Intel Xeon E5-2400-v3 Intel Xeon E5-2600-v3; Intel Xeon E5-4600-v3 | 0x000306F2 | C0/C1, M0/M1, R1/R2 | 0x0000003B | ||
| Intel Xeon E7-8800/4800-v3 | 0x000306F4 | E0 | 0x00000010 | ||
| Intel Xeon E3-1200-v4 | 0x00040671 | G0 | 0x0000001B | ||
| Intel Xeon E5-1600-v4 Intel Xeon E5-2600-v4; Intel Xeon E5-4600-v4 | 0x000406F1 | B0/M0/R0 | 0x0B000025 | ||
| Intel Xeon E7-8800/4800-v4 | 0x000406F1 | B0/M0/R0 | 0x0B000025 | ||
| Intel Xeon D-1500 | 0x00050663 | V2 | 0x07000011 |
В рекомендациях VMware описан следующей способ отката действия патча против уязвимостей Meltdown и Spectre.
- На каждом затронутом хосте ESXi в конфигурационной файл /etc/vmware/config нужно добавить следующую строку:
cpuid.7.edx = “—-:00–:—-:—-:—-:—-:—-:—-“
- Данная строка скроет механизм контроля за спекулятивным выполнением команд от виртуальных машин
- Данный строку нужно будет удалить после выхода следующего фикса от VMWare, для работы защиты гостевых ОС от CVE-2017-5715
- Для применения изменений нужно выключить/включить в удобное время все ВМ на затронутом хосте ESXi (сам ESXi при этом перезагружать не нужно)
- В ESXi версии 5.5 и 6.0, данную строку нужно будет добавлять после каждой перезагрузки хоста, т.к. она будет каждый раз сбрасываться
Самый простой вариант внести это изменение – включить SSH на хосте и поправить файл с помощью WinSCP.
Есть еще один способ откатить данное исправление на ESXi сервере (официально не поддерживаемое). Как вы, вероятно, знаете любой ESXi хост можно загрузить с помощью предыдущей версии системы, которая автоматически сохраняется при апгрейде хоста. Выполнить откат версии можно на этапе загрузки ОС.
Данный трюк позволит вернуть хост к предыдущей версии ОС, в том случае если хост был обновлен с помощью одного из следующих методов:
- Установке/удалению пакета VIB installation or removal
- Установке/удалению профиля
- Обновления хоста ESXi с помощью VMware Update Manager
- При обновлении ESXi из репизитория или ISO образа
Как вы видите, текущая сборка is 6.5.0-1.38.7526125. Чтобы откатить версию нажмите кнопку Y.
После подтверждения операции отката сервер быстро загрузит предыдущую версию сборки ESXi.
Как вы видите, процесс отката версии ESXi выполнить не сложно. А пока продолжаем ждать новых вестей от VMWare.
