在大规模发布漏洞后24小时,Rackspace对于Spectre和Meltdown保持沉
默.他们没有打算修补所有Xen虚拟机管理程序的计划.他们所有较新的平台服务器都是易受攻击的HVM服务器.较旧的PV服务器不容易受到攻击.
我更新了HVM客户机的Linux内核,但Rackspace没有更新任何虚拟机管理程序.在未修补的虚拟机管理程序上更新来宾内核是否会阻止“坏人”虚拟机访问从我的补丁主机泄露的内存?
根据我对这些漏洞的理解,没有 – 推测性缓存攻击绕过所有
cpu对来自任意地址的进程
获取内存的保护.
我相信这将包括邻居虚拟机(甚至那些用于防御攻击的补丁)以及虚拟机管理程序的内核内存空间 – 但即使有一些我遗漏的东西可以防止直接内存泄露,也有潜力攻击者可以使用他们对内核内存的访问权来获得对虚拟机管理程序的更完整访问权限.
如果您不信任在其上运行的所有VM,您绝对不希望冒险在任何类型的未修补的虚拟机管理程序上运行敏感工作负载.
