web-dev-qa-db-ja.com

仮想マシンとハイパーバイザーでMeltdown / Spectreの緩和策は必要ですか?

kvm/qemuハイパーバイザーで仮想マシンを実行しています。ハイパーバイザーでは、カーネルでMeltdown/Spectre緩和策が有効になっています。

仮想マシンでMeltdown/Spectre緩和策も有効にする必要がありますか、それともハイパーバイザーによって提供される保護で十分ですか?

言い換えれば、ホストだけでなくゲストもMeltdown/Spectre緩和を有効にする必要がありますか?

2
Martin Vegter

[〜#〜] q [〜#〜]:..ホストだけでなくゲストもメルトダウン/スペクトル緩和を有効にする必要がありますか?

はい

これらの脆弱性が発表されたとき、QEMUは「QEMUとスペクターおよびメルトダウン攻撃」に投稿しました:

現在、KVMへの公開パッチはなく、新しいCPUIDビットとMSRを仮想マシンに公開しているため、QEMUを更新する緊急の必要はありません。ホストカーネルの更新は、悪意のあるゲストからホストを保護するのに十分ですにもかかわらず、更新は数日後にqemu-develメーリングリストに投稿され、2.11.1パッチリリースは修正とともにリリースされます。

更新が提供されると、QEMUの更新バージョンへのライブマイグレーションでは、ゲストカーネルをゲストユーザー空間から保護するには不十分です。仮想CPUを新しいCPUIDビットで1に変更する必要があるため、ゲストを再起動する必要があります。

(18/01/05 — Paolo BonziniとEduardo Habkostによる: source

更新が利用可能になっているため、お客様はそれらを続行し、ゲストに対しても軽減を有効にする必要があります。

QEMUの記事「QEMU 2.11.1およびSpectre/Meltdownの軽減策をKVM guest」に利用することで):

ここでは、ゲストオペレーティングシステムを有効にして、同じ(または同様の)軽減策を有効にして、ゲストオペレーティングシステムで実行されている特権のないゲストプロセスから自分自身を保護する方法について説明します。

X86の緩和機能を有効にするKVMゲスト:

X86ゲストの場合、Spectre/Meltdown軽減に関連する2つの追加のCPUフラグがあります:spec-ctrlibpb

  • spec-ctrl:間接分岐制限投機(IBRS)を公開します
  • ibpb:間接分岐予測バリアを公開

この機能を利用するには、ゲスト/ホストカーネルの更新に加えて、Intelおよび最近のAMDプロセッサー用のマイクロコードの更新が必要です。これらのカーネルパッチアップストリームのステータスはまだ流動的ですが、サポートされているほとんどのディストリビューションには、機能を利用するのに十分なパッチの形式があります。マイクロコード更新の現在のステータス/可用性は、CPUアーキテクチャ/モデルによって異なります。これらの前提条件が利用可能/インストールされていることをベンダー/ディストリビューションに確認してください。

(14/02/18 — Michael Roth作: source

2
mike