بروزرسانی VMware برای رفع دو نقص امنیتی Meltdown و Spectre

VMware بروزرسانی‌های جدیدی برای جلوگیری از آسیب‌پذیری‌های امنیتی جنجالی Meltdown و Spectre را برای محصولات مرتبط با مجازی‌سازی خودش منتشر کرد. به گفته این کمپانی، محصولات VMware VA شامل vCloud Usage Meter (UM) ،Identity Manager (vIDM) ،vCenter Server (vCSA) ،vSphere Data Protection (VDP) ،vSphere Integrated Containers (VIC) و vRealize Automation (vRA) در معرض این آسیب‌پذیری قرار دارند.

براساس توضیحات این کمپانی، سوءاستفاده از تایمینگ کش دیتای پردازنده باعث درز اطلاعات به‌صورت غافلگیرانه در هنگام اجرای دستورات می‌شود. این موضوع در بدترین حالت ممکن است باعث دسترسی خودسرانه به حافظه مجازی و خواندن اطلاعات آن شود؛ بدین ترتیب اطلاعات مذکور می‌تواند به دست فرد مهاجم برسد.

این کمپانی تنها یک پچ را برای محصولات vSphere Integrated Containers (VIC) خود منتشر نموده است. اما توصیه‌های امنیتی ارائه شده برای تمامی محصولات VMware مشترک می‌باشد. باتوجه به این‌که دو نقص Meltdown و Spectre محصولات مذکور از این کمپانی را نیز درگیر کرده‌اند، به کاربران توصیه شده تا زمان ارائه پچ‌های جدید برای هر محصول، اقدامات امنیتی ضروری را به‌کار ببرند.

پس از این‌که بسیاری از کمپانی‌ها مجبور شدند ارائه پچ‌های ارائه شده در این زمینه را متوقف و آنها را غیرفعال کنند، VMware نیز به ناچار زمان انتشار پچ‌های خود را به تاخیر انداخت. به گفته اینتل، آنها سرانجام ریشه اصلی مشکلی که در این پچ‌ها وجود داشت و امکان بوت کردن سیستم را در برخی موارد به کاربر نمی‌داد، پیدا کرده‌اند و از آن موقع در حال انتشار پچ‌های جدید برای رفع این دو نقص جنجالی هستند.

شما می‌توانید پچ‌های متناسب با ابزاری که استفاده می‌کنید را از لینک‌های زیر دانلود کنید:

• vCloud Usage Meter (UM): KB52467
• Identity Manager (vIDM) 3.x, 2.x: KB52284
• vCenter Server (vCSA) 6.0, 6.5: KB52312 [نسخه 5.5 آسیب‌پذیر نیست]
• vSphere Data Protection (VDP): پچ ارائه نشده است
• vSphere Integrated Containers (VIC): Patch available
• vRealize Automation (vRA): 7.x KB52377 | 6.x KB52497