VMware ESXi 6.7 安裝後出現CVE-2018-3646( L1TF ) 的警告處理
之前就看過類似「L1終端故障」(L1 Terminal Fault,L1TF)的CPU高危底層漏洞訊息,沒有太多的注意與琢磨,沒想到買了台貴鬆鬆的HPE ProLiant DL380 Gen10 伺服器,安裝完VMware ESXi 6.7後發現有CVE-2018–3646 的警告訊息,查了一下是 L1TF 有關的漏洞提醒,其實就是為了避免駭客取得L1快取的資訊,其實這個錯誤訊息是可以透過更改設定值來取消的。
挨踢路人甲都使用VMware Workstation來玩Widnows、Mac OS與Linux虛擬機器。由於PC硬體越來越強,原本專屬的 VMware ESXi Server 6.x 機器也搬到VMware Workstation上運行,虛擬中的虛擬是多麼的神奇啊!然而對專屬的VMware Server硬體機器有著嚴峻的門檻,想要DIY一台VMware ESXi Server的機器主要兩大問題,就是網路卡與磁碟陣列卡,網路卡只要找有Intel網路晶片的主機板大致OK,倒是Intel晶片H/Z系列的RAID是無法被VMware ESXi所認可。
剛好有機會把玩到一台HPE DL380 G10 2U機架式主機,順便來裝一裝RAID 10的VMware ESXi 6.7虛擬主機,但安裝後登入Web管理介面,發現了一個CVE-2018–3646 的警告訊息。
到導覽器下的「管理」→「 系統」→「進階設定」畫面。
找到一個「VMkernel.Boot.hyperthreadingMitigation」金鑰項目,要捲動尋找不方便,筆者是直接輸入關鍵字較快啦!(如Boot)
找到「VMkernel.Boot.hyperthreadingMitigation」後按下滑鼠右鍵選擇〔編輯選項〕。
將這個設定值設為「True」後按下儲存。
再將 ESXi 主機重開後進入查看,已經看不到CVE-2018-3646 警告訊息了。
延伸閱讀:
