修补较高层是否可以防止低层中的幽灵/熔毁漏洞？

Question

我将要提出的问题与以下问题相似：

如果系统管理程序已被修补，并且我信任客人，我是否需要为崩溃/幽灵修补Linux？

不过，我想进一步或更深入地探讨这个问题。

考虑以下环境，其中UCS虚拟化层托管VMware ESXi实例，这些实例本身将承载Windows、Linux和其他OSes，为了保护底层，我应该保护哪一层？

-> Hardware
   -> CPU
   -> RAM
   -> Mainboard
   -> Storage
      -> Operating System (UCS Management)
         -> partitioned "hardware" servers 
            -> physical CPUs
            -> physical RAM
            -> Storage
               -> OS of VMware ESXi Hosts
                  -> partitioned "virtual" servers
                     -> virtual CPUs
                     -> virtual RAM
                     -> Storage
                        -> OS of virtual Windows Server
                           -> Microsoft Hypervisor
                              -> virtual CPUs
                              -> virtual RAM
                              -> Storage
                                 -> OS of Microsoft Hypervisor Server/Client
                           -> Microsoft SQL Server
                              -> SQL Server OS (yes, SQL Server has its own OS)

鉴于不同的供应商都在为不同级别(VMware、Microsoft、Microsoft )提供补丁，我是否可以只修补第一个最高的物理层(UCS操作系统)来保证底层不再受到漏洞的影响？

这个问题背后的想法是尽量减少为保护底层而必须执行的修补程序的数量。

我要补多远？

Answer 1

对于熔毁，您需要修补来宾VM，因为补丁在内核中。所以你需要那些最新的客用内核。

对于谱，补丁是在CPU微码，所以他们需要加载到主机系统。我认为vmware已经具备了这些功能，但是目前的微码更新还没有对所有CPU进行修复，所以到1月底还会有一个更新。

Answer 2

是的，不，也许。这里有两个漏洞：

1. 熔毁。在未修补的系统中，攻击者可以访问内核可以访问的任何内存，而且只能访问该内存。例如，UCS层的攻击者可以通过攻击UCS内核来访问一切；SQL Server层的攻击者只能攻击Server可以访问的部分。在给定层进行修补只会保护该层，因此UCS层修补程序不会阻止SQL Server层攻击者读取Server操作系统的内存。 因为崩溃攻击不能到达虚拟化之外(但可以到达容器、沙箱和半虚拟化之外)，所以您已经通过拥有您的层得到了一些保护。
2. 幽灵。幽灵与其说是一个弱点，不如说是一个庞大的脆弱家族。正因为如此，有许多局部补丁可以修复它的各个方面；不可能有一个通用的“修复所有”修补程序(除了禁用分支预测器的性能低下的微码更新之外)。与熔毁不同的是， 可以到达虚拟化之外: Server级别的攻击者可以(非常困难)对UCS层执行攻击。您修补的每一层都会保护自己，某些修补程序(如Intel的IBRS/IBPB微码更新)将使所有层的攻击更加困难。但是，您的设置确实为您提供了一些固有的保护:幽灵只能跨越虚拟CPU，而不是物理CPU。