Думаю, уже все наслышаны об обнаруженных крупных уязвимостях в процессорах AMD, Intel и ARM под названием Meltdown и Spectre. Не копая глубоко, напомню, что данные уязвимости позволяют получить доступ из одного процесса к данным в памяти процессов других пользователей или даже системы. По заявлениям VMware, в их продуктах отсутствует уязвимость Meltdown, однако против Spectre их системы уязвимы. Соответственно для ликвидации этой уязвимости был выпущен ряд патчей.
VMware были выпущены два бюллетеня безопасности
- Hypervisor-Specific Remediation (VMSA-2018-02)
Hypervisor-Assisted Guest Remediation (VMSA-2018-04)
Обновление 1. На данный момент VMware отозвала патчи, касающиеся уязвимости Hypervisor-Assisted Guest Mitigation (VMSA-2018-04). Как откатить патчи описано в статье: https://vmblog.ru/kak-v-vmware-esxi-otkatit-patchi-meltdown-i-spectre/
Для исправления уязвимостей следует использовать следующие патчи для указанных версий ESXi
Бюллетень VMSA-2018-02
- ESXi 6.5 – ESXi650-201712101-SG
- ESXi 6.0 – ESXi600-201711101-SG
- ESXi 5.5 – ESXi550-201709101-SG
Бюллетень VMSA-2018-04
ESXi 6.5 – ESXi650-201801401-BG, ESXi650-201801402-BGESXi 6.0 – ESXi600-201801401-BG, ESXi600-201801402-BGESXi 5.5 – ESXi550-201801401-BG
В этом статье я покажу, как установить патч ESXi650-201712101-SG на VMware ESXi 6.5 (остальные патчи устанавливаются аналогично). Пропатчить хосты ESXi проще всего через VMware Update Manager (VUM) (если VUM нет, установиь патчи на ESXi можно вручную из локального или онлайн репозитария).
Важно. Перед установкой патчей обязательно тестируйте их на тестовых хостах!!!
Открываем веб клиент vSphere, выбираем нужный хост или кластер. И на вкладке Update Manager нажимаем кнопку Attach Baseline.
В списке Patch Baselines выберите опции Non-Critical и Critical Host Patches. Нажмите OK.
Нажмите кнопку Scan for Updates для проверки соответствия.
Если хосту требуется установка патча Spectre, статус проверки будет Non-Compliant.
Как вы видите, наш хост ESXi требует наличия патча ESXi650-201712101-SG.
Теперь наживаем кнопку Remediate.
Выбираем нужные бейзлайны.
Выбираем хост: 
Выберите обновление, которое нужно применить:
В разделе Advanced Options можно запланировать нужное время установки и опцию игнорирования неподдерживаемых элементов.
Затем в разделе Host Remediation Options укажите параметры питания, отключения носителей и прочее.
Наконец в разделе Cluster Remediation Options можно указать последовательность процесса установки патчей на хосты в кластере.
Проверьте выбранные опции. Если все хорошо, нажмите Finish.
Следить за процессом установки патча можно в панели Recent Tasks. Update Manager устанавливает патчи в следующей последовательности:
- Хост переводится в режим обслуживания (maintenance mode). Виртуальные машины перемещаются на другие хосты.
- Устанавливается патч.
- Хост перезапускается.
- Хост выводится из режима обслуживания.
- Update Manager переходит к следующему хосту
Как только установка исправлений будет завершена, базовый уровень будет соответствовать требованиям.
Также не забудьте, что необходимо устанавливать обновления для гостевых операционных систем.
