Ausgangslage
Dieser Hotfix bietet Abhilfe für kürzlich bekannt gewordenen Schwachstellen in der Ausführungsfunktionalität von CPUs mehrerer Hersteller, besser bekannt unter dem Namen Specter oder Meltdown:
- CVE-2017-5753, also known as ‘Variante 1: bounds check bypass’
- CVE-2017-5715, also known as ‘Variante 2: branch target injection’
- CVE-2017-5754, also known as ‘Variante 3: rogue data cache load’
Für Variante 1 kennt Citrix derzeit keine Exploit-Vektoren in Citrix XenServer.
Bei Variante 2 kann ein Angreifer, der Code in einer Gast-VM ausführt, möglicherweise In-Memory-Daten von anderen VMs auf demselben Host lesen. Dies unabhängig vom CPU-Hersteller.
Bei Variante 3 kann ein Angreifer, der Code in einer 64-Bit PV Gast-VM auf einer Intel CPU ausführt, möglicherweise In-Memory-Daten von anderen VMs auf demselben Host lesen.
Da es sich hierbei um Probleme in der zugrunde liegenden Hardware handelt, sind alle Versionen von Citrix XenServer betroffen.
Wie kann ich das Problem beheben?
Die erkannten Problem in der CPU erfordern, dass System-Firmware-/BIOS-Upgrades durchgeführt werden, bevor sie voll wirksam werden. Citrix empfiehlt Kunden dringend, sich mit ihren Hardware-Herstellern in Verbindung zu setzen, um weitere Informationen zu diesen Firmware-Upgrades zu erhalten.
Da es sich bei diesen Problemen um Optimierungsfunktionen der zugrunde liegenden physischen CPU handelt, führt die Lösung dieser Probleme zwangsläufig zu einer Verringerung der CPU-Leistung. Die Auswirkungen auf die Performance hängen von einer Reihe von Faktoren ab, wie z.B. der Auslastung und dem CPU-Modell. Kunden wird empfohlen, ihre Systemlast nach der Installation der Hotfixes zu überwachen.
Gast-VMs müssen nach dem Einspielen der entsprechenden Firmware/BIOS-Upgrades und XenServer-Hotfixes vollständig heruntergefahren und mindestens einmal nach dem Einspielen der entsprechenden Gastbetriebssystemaktualisierungen gestartet werden. Dadurch können entsprechende Sicherheitsupdates für das Gastbetriebssystem voll wirksam werden.
Citrix hat Hotfixes veröffentlicht, die Korrekturen für Variante 2 enthalten. Diese Hotfixes sind auf der Citrix-Website unter den folgenden Adressen zu finden:
Citrix XenServer 7.3: CTX230790 – https://support.citrix.com/article/ctx230790
Citrix XenServer 7.2: CTX230789 – https://support.citrix.com/article/ctx230789
Citrix XenServer 7.1 LTSR CU1: CTX230788 – https://support.citrix.com/article/ctx230788
Citrix XenServer 7.0: Citrix arbeitet aktiv an einem Hotfix für diese Version.
Diese Updates sind nicht Livepatchable. Citrix ist sich eines möglichen verbleibenden Problems für Variante 2 bei der Verwendung von 32-Bit PV-Gästen bewusst und arbeitet aktiv an einem Update für dieses Problem, empfiehlt jedoch dringend, dass Kunden, die nicht vertrauenswürdige 32-Bit PV-Gäste eingesetzt haben, den Umstieg auf HVM-basierte Gäste in Erwägung ziehen.
Kunden, die End of Maintenance-Versionen von Citrix XenServer verwenden, d.h. Citrix XenServer Version 6.0.2, 6.2 SP1 und 6.5 SP1, wird dringend empfohlen, ein Upgrade auf eine neuere Version durchzuführen.
Citrix arbeitet aktiv an zusätzlichen Minderungen für Variante 3, empfiehlt aber dringend, dass Kunden, die nicht vertrauenswürdige 64-Bit PV-Gäste auf Intel-CPUs installiert haben, den Umstieg auf HVM-basierte Gäste in Erwägung ziehen.
Citrix informiert Kunden und Vertriebspartner über dieses potenzielle Sicherheitsproblem. Dieser Artikel ist auch im Citrix Knowledge Center unter folgender Adresse verfügbar:
Sie haben Fragen oder benötigen Unterstützung?
Wenn Sie technische Unterstützung bei der Einrichtung einer der besten Vorgehensweisen benötigen, wenden Sie sich bitte an uns.
