Meltdown&Spectre-パッチが適用されていないハイパーバイザーのゲストカーネルにパッチを適用すると、VM間のメモリリークが防止されますか?
脆弱性の大規模なリリースから24時間後、RackspaceはSpectreとMeltdownについて沈黙しています。 Xenハイパーバイザーすべてにパッチを適用する計画はありません。新しいプラットフォームサーバーはすべてHVMサーバーであり、脆弱です。古いPVサーバーは脆弱ではありません。
HVMゲストのLinuxカーネルを更新しましたが、Rackspaceはそれらのハイパーバイザーを更新していません。パッチが適用されていないハイパーバイザーでゲストカーネルを更新すると、「悪意のある」VMがパッチを当てたホストからリークしたメモリにアクセスできなくなりますか?
私が脆弱性について理解していることから、いいえ-投機的キャッシング攻撃は、任意のアドレスからメモリを取得するプロセスに対するすべてのCPUの保護をバイパスします。
これには、隣接するVM(攻撃から保護するためにパッチが適用されたVMも含む)とハイパーバイザーのカーネルメモリスペースが含まれると思います。攻撃者はカーネルメモリへのアクセスを使用して、ハイパーバイザーへのより完全なアクセスを取得する可能性があります。
実行中のすべてのVMを信頼しない場合、パッチを適用していないハイパーバイザーで機密性の高いワークロードを実行する危険を冒したくはありません。