Come aggiornare Vmware ESXi 6.5 contro il bug Spectre
Questo articolo è superato, non è più valido.
VMware ha rilasciato un bollettino di sicurezza denominato VMSA-2018-0002 in merito alle vulnerabilità di Meltdown e Spectre. La nota riguarda però solo Spectre in quanto, secondo il produttore, i software VMware non sono vulnerabili al bug Meltdown. Il risultato dello sfruttamento della falla di sicurezza Spectre potrebbe consentire il passaggio di informazioni da una macchina virtuale a un’altra macchina virtuale in esecuzione sullo stesso host.
Sono interessati diversi prodotti VMware:
- ESXi 5.5, 6.0 e 6.5 (da installare sono rispettivamente le patch: ESXi550-201709101-SG, ESXi600-201711101-SG, ESXi650-201712101-SG)
- Workstation 12.x (aggiornare alla 12.5.8 per risolvere)
- Fusion 8.x (aggiornare alla 8.5.9)
Chiaramente non sono predisposte patch per sistemi fuori supporto, che comunque risultano vulnerabili.
Le patch sono disponibili già dal 19 dicembre 2017 come indicato nel bolletino VMSA-2017-0021
Come patchare un host Vmware ESXi 6.5
Per patchare un host ESXi, è essenziale spostare tutte le VM accese altrove e mettere l’host in maintenance mode.
Poi attivare, qualora non lo fosse, il deamon SSH.
Disattivare il firewall temporaneamente con il comando:
esxcli network firewall ruleset set -e true -r httpClient
Lanciare questo comando:
esxcli software sources profile list -d https://hostupdate.vmware.com/software/VUM/PRODUCTION/main/vmw-depot-index.xml | grep -i ESXi-6.5
Individuare la patch da installare, che è ESXi-6.5.0-20171204001-standard.
Installare la patch
esxcli software profile update -p ESXi-6.5.0-20171204001-standard -d https://hostupdate.vmware.com/software/VUM/PRODUCTION/main/vmw-depot-index.xml
Al termine dell’installazione, riattivare il firewall:
esxcli network firewall ruleset set -e false -r httpClient
Riavviare l’host col comando:
reboot