Wanneer je VMware patched met updates uit VMSA-2018-0020 kan het zijn dat je na het rebooten van de ESX Host de ESX warning esx.problem.hyperthreading.unmitigated krijgt.
Deze melding krijg je omdat er in update CVE-2018-3646 een notificatie ingebouwd is om de remediation status van de “L1 Terminal Fault” (L1TF – VMM) vulnerability weer te geven.
Over deze vulnerability is hier meer te vinden.
Om deze melding te laten verdwijnen zijn een paar simpele stappen nodig.
In de vSphere Web Client ga je eerst naar de betreffende ESX Host, vervolgens naar Settings.
Dan in het menu ga je naar Advanced System Settings
Druk dan bij de advanced settings op het knopje Edit en zoek dan de volgende parameter op :
VMkernel.Boot.hyperthreadingMitigation
Het vinkje zal uit staan bij Enabled.
Zet het vinkje aan en sla dan de wijziging op.
Reboot de ESX Host en de melding zal dan verdwenen zijn.
Deze wijziging heeft wel een aantal gevolgen dan wel problemen :
- VM’s met een hoger aantal vCPU’s dan het aantal fysieke cores zullen niet meer gestart kunnen worden, vMotion/Migrate zal ook niet werken.
- Problemen met VM’s met een custom affinity of NUMA instellingen
- VM’s met een latency gevoelige configuratie
- ESXi hosts met een gemiddelde CPU load groter dan 70%
- Hosts met niet standaard CPU resource management ingeschakeld
- HA Clusters waar een rolling upgrade zal zorgen voor een toename van CPU load van boven 100%
De ESX Host gaat dus niet meer “verzachtend” om met de vCPU’s zodat er dus ook geen misbruik meer van gemaakt kan worden.
Je kunt de aanpassing ook niet doen waardoor je dus de melding blijft houden, maar malicious VM’s kunnen daar dan misbruik van gaan maken.
Lees voordat je de wijziging doet de volledige beschrijving van het document !