ESXi: TPS in Zukunft deaktiviert

VMware wird in Zukunft die Transparent Page Sharing Funktion im Standard deaktiviert lassen. Grund hierfür ist eine Untersuchung, die damit einen möglichen Seitenangriff aufgedeckt hat.

Published academic papers have demonstrated that by forcing a flush and reload of cache memory, it is possible to measure memory timings to determine an AES encryption key in use on another virtual machine running on the same physical processor of the host server if Transparent Page Sharing is enabled. This technique works only in a highly controlled environment using a non-standard configuration.

Mit anderen Worten: Der Angriff ist prinzipiell möglich, aber bisher nur unter Laborbedingungen reproduzierbar.

Ist das ein Problem?

Die Einsparpotenziale von TPS sind ohnehin umstritten. Es greift ohnehin nur wenn die Arbeitsspeicher Belegung bestimmte Grenzwerte Überschreitet. VMware vSphere verwendet large memory pages von 2MB Größe. Die Wahrscheinlichkeit zweier identischer Pages im RAM von dieser Größe ist eher gering. Dennoch ließ VMware die TPS Funktion aktiv. Das Thema wird sehr schön in einem Artikel von Frank Denneman diskutiert.

Wann wird abgeschaltet?

Die unterschiedlichen Versionen werden in folgenden Zeiträumen deaktiviert:

  • ESXi 5.5 Update release – Q1 2015
  • ESXi 5.1 Update release – Q4 2014
  • ESXi 5.0 Update release – Q1 2015
  • The next major version of ESXi

Links

 

Granuläre Passwortrichtlinien in Active-Directory

Eine Passwortrichtlinie für die Domäne einzuführen ist nicht weiter schwer und lässt sich schnell mit einer Gruppenrichtlinie bewirken. Was aber erst auf den zweiten Blick auffält ist, daß man nur eine Richtlinie für die gesamte Domäne haben kann. Eine Beschränkung auf OU oder Nutzergruppen ist damit nicht möglich. Auch mehrere verschieden gestaltete Richtlinien für unterschiedliche Nutzergruppen kann man so nicht realisieren.

Seit Server 2008 gibt es jedoch einen Weg, unterschiedliche Passwort Richtlinien für unterschiedliche Gruppen einzuführen. Die sogenannte Fine Grained Password Policy.

Ermöglicht wird dies durch die Einführung neuer ADS Objektklassen seit Server 2008.

Voraussetzungen

  • Der Functional Level der Domäne muss mindestens Server 2008 sein.
  • Richtlinien können nur auf Nutzergruppen angewendet werden, nicht auf OU.

„Granuläre Passwortrichtlinien in Active-Directory“ weiterlesen

VMware Produkte und Shellshock

Am 24.9.2014 wurde ein kritischer Fehler in der Bash-Shell Implementierung publiziert, der unter dem Namen Shellshock bekannt wurde. Durch diese Sicherheitslücke kann sich ein Agreifer auf einem System mit verwundbarer BASH Implementierung root Rechte verschaffen.

VMware kat einen KB Artikel (2090740) mit potenziell betroffenen Produkten veröffentlicht.

ESXi Server sind nach VMware nicht betroffen, da im Hypervisor keine Bash Shell enthalten ist. Auch vCenter auf Windows Basis sind nicht betroffen. Die vCenter-App auf Linux Basis dagegen schon (VMSA-2014-0010.13)

  • vCenter Appliance 5.5: vor Version U2a
  • vCenter Aplliance 5.1: vor Version U2b
  • vCenter Appliance 5.0: vor Version U3b

Links

 

Brocade FOS und JAVA

Zur Verwaltung von Brocade SAN Switches benötigt man auf dem Client das Java Runtime Environment (JRE). Dies funktionierte jahrelang recht gut, doch in jüngerer Vergangenheit hatte Oracle die Sicherheit verschärft. Dies ist zwar prinzipiell eine gute Idee, aber ein echtes PITA wenn man unterschiedliche Versionen und Anwendungen mit dieser JRE verwalten muss. Beim Zusammenspiel mit des Brocade Fabric OS (FOS) und Java gibt es viele Fallstricke.

  • FOS fordert ab Version 6.3 eine Mindestversion des JRE
  • Oracle hat das JRE ab Version 7 Update 21 (7u21) mit einem hart codierten Verfallsdatum ausgestattet.
  • Software Zertifikate mit veralteter Signatur oder zu geringer Schlüssellänge werden nicht mehr unterstützt.
  • FOS Zertifikate haben ein Ablaufdatum

Das alles endet in einem Sumpf aus Updates und Warnungen. Applikationen seien nicht mehr vertrauenswürdig und dürfen daher nicht mehr gestartet werden. An dieser Stelle brachte mich der lesenswerte Blogartikel von Erwin van Londen weiter. „Brocade FOS und JAVA“ weiterlesen