Aviso sobre la explotación de Meltdown y Spectre

Actualización de Inuvika relativa a CVE-2017-5754, CVE-2017-5715 y CVE-2017-5753 (fallos de seguridad Spectre y Meltdown)

Visión general

Recientemente, se han identificado nuevos problemas relacionados con la seguridad que afectan a las arquitecturas de CPU basadas en Intel, AMD y ARM.

Aunque la naturaleza de estos problemas está relacionada con el hardware, Inuvika continúa revisando el impacto potencial en OVD Enterprise. Esta actualización tiene por objeto asesorar a nuestros clientes y socios sobre los cursos de acción actualmente conocidos que se pueden tomar para mitigar los posibles riesgos. Inuvika proporcionará actualizaciones adicionales si se identifican impactos directos en OVD.

Impacto en la empresa OVD

Inuvika cree que actualmente soportado versiones de OVD Enterprise no son directamente afectados por los problemas de seguridad conocidos.

Sin embargo, los problemas de seguridad pueden ser explotados tanto a nivel local (es decir, dentro del mismo sistema operativo) como a través del límite del invitado de virtualización.   Por lo tanto, el firmware subyacente de la CPU, el hipervisor, los sistemas operativos invitados, las plataformas en la nube y otros componentes de terceros que forman parte de un entorno OVD Enterprise pueden requerir actualizaciones. 

Estado conocido de los componentes de terceros

• Microsoft ha publicado parches para las versiones 2008 R2, 2012 R2 y 2016 del sistema operativo Windows Server. (Ref: https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution )
• Las actualizaciones del kernel y del microcódigo del procesador están disponibles para los sistemas operativos Ubuntu 16.04 LTS y Ubuntu 14.04 LTS. (Ref: https://wiki.ubuntu.com/SecurityTeam/KnowledgeBase/SpectreAndMeltdown )
• Ya están disponibles las actualizaciones del kernel y del microcódigo del procesador para los sistemas operativos Red Hat Enterprise Linux 6 y 7. (Ref: https://access.redhat.com/security/vulnerabilities/speculativeexecution )
• VMware ha publicado parches para vSphere ESXi.
• Se han abordado las nubes de Google, Microsoft y Amazon. Consulte los sitios web de los proveedores para obtener más información.
• Navegador Mozilla Firefox. (Ref: https://blog.mozilla.org/security/2018/01/03/mitigations-landing-new-class-timing-attack/ )
• Apple iOS, macOS y Safari. (Ref: https://support.apple.com/en-us/HT208394 )
• Infraestructura de hiperconvergencia Nutanix. (Consulte el aviso de seguridad #0007 en el portal de soporte: https://portal.nutanix.com/#/page/static/securityAdvisories )
• Aviso de seguridad de Intel. (Referencia: https://security-center.intel.com/advisory.aspx?intelid=INTEL-SA-00088&languageid=en-fr )

Recomendaciones actuales para clientes empresariales de OVD

1. Antes de comenzar su actualización, haga una pausa y cree un plan general. Evalúe cada componente individual de su entorno OVD e identifique los pasos necesarios que deben darse. Inuvika recomienda priorizar lo siguiente:
   1. Dispositivos de hipervisor y hardware de servidor que alojan OVD
   2. Sistemas operativos invitados
   3. Sistemas backend (hardware de servidores de directorio, almacenamiento y aplicaciones; y sus sistemas operativos).
   4. Aplicaciones que residen en sus servidores de aplicaciones

2. Póngase en contacto con sus proveedores de hardware o software OEM para obtener la información más actualizada y los parches disponibles.

3. Aplique los parches recomendados. Después de aplicar un parche, compruebe que el componente funciona como se espera.

4. Además, los dispositivos cliente, sus Sistemas Operativos y las aplicaciones que acceden a su entorno OVD pueden requerir actualizaciones. Le recomendamos que se ponga en contacto con los OEM de sus dispositivos para obtener más instrucciones.