ESXi | L1 Terminal Fault or esx.problem.hyperthreading.unmitigated

Publicado en |

Buenos días a tod@as!!!

Muchos de vosotros, os abreis dado cuenta que al actualizar vuestros hosts ESXi a la última versión os han aparecido unos misteriosos mensajes:

warning1

warning2

Esto es debido al bug L1 Terminal Fault - VMM

The L1 Terminal Fault (aka Foreshadow) bug is another speculative execution side channel attack
that affects Intel Core processors and Intel Xeon processors only.

VMWare sacó el 14 de agosto una serie de parches:

tabla

Estos parches, por defecto, NO mitigan el riesgo de ejecución de código. Para ello, tendremos que seguir la KB55806

3pasos

  1. Fase de actualización: aplicar actualizaciones y parches de vSphere
  2. Fase de planificación: evaluar el entorno
  3. Fase de habilitar sheduler: habilitar el scheduler de ESXi Side-Channel-Aware

Es importante aplicar los parches en el orden correcto. Primero el vCenter y luego los hosts ESXI. Si lo hacemos a la inversa, nos aparecerá un error del tipo xxx esx.problem.hyperthreading.unmitigated.formatOnHost not found xxx o esx.problem.hyperthreading.unmitigated

Para habilitar el scheduler ESXi side-channel-aware tendremos que seguir los siguientes pasos en nuestro vSphere Client:

  • Nos conectamos al vCenter Server utilizando vSphere Web o vSphere Client.
  • Seleccionamos un host ESXi en el inventario.
  • Pestaña Configurar.
  • En Sistema, hacemos clic en Configuración avanzada del sistema .
  • Clic en el cuadro Filtro y buscamos VMkernel.Boot.hyperthreadingMitigation
  • Seleccionamos la configuración y haga clic en el icono Editar
  • Cambiamos la opción de configuración a true (predeterminado: false).
  • Clic en Aceptar .
  • Reiniciamos el host ESXi para que el cambio de configuración entre en vigencia.

habilitar

Una vez llegados a este punto y hemos conseguido eliminar este molesto mensaje, a mi personalmente me salta una pregunta

¿Por qué esta check no está activa por defecto?

El motivo principal parece ser el posible impacto en el rendimiento/capacidad. Parece ser que así como Spectre y Meltdown, el aplicar este parche podría tener alrededor de un 30% de penalización en cuanto a rendimiento. Para más información sobre este punto, podeis consultar la KB55767

Espero que os pueda ser de utilidad

Un saludo!

Miquel.

*Bibliografia: https://vinfrastructure.it/2018/08/l1-terminal-fault-l1tf-vmware-vsphere-patches/

0%