2018
Januar
19
2018

Information zu "Meltdown" und "Spectre"

Kürzlich entdeckten mehrere Forscher, unter anderem der Technischen Universität Graz und des Google Project Zero, unabhängig voneinander zwei gravierende Sicherheitslücken. Diese wurden unter den Namen Meltdown und Spectre bekannt. Erstmals wurden diese am 03.01.2018 in einem Blogpost des Google Project Zero veröffentlicht, nachdem sich Gerüchte dazu über die Festtage verdichtet hatten.

Wir bei cloudscale.ch nehmen diese neuen Bedrohungen sehr ernst und tun unser Bestes, um die Sicherheit unserer Cloud-Infrastruktur zu gewährleisten. In diesem Beitrag möchten wir Sie über den aktuellen Stand der von uns getroffenen Massnahmen informieren.

Bisher getroffene Massnahmen

Um sicherzustellen, dass diese Sicherheitslücken bei cloudscale.ch nicht ausgenützt werden können, haben wir bereits ein Linux Kernel-Update installiert, welches die gravierendste Sicherheitslücke (Meltdown) schliesst. Weitere Sicherheitsupdates werden wir in unserem Lab testen, sobald sie verfügbar sind. Falls dabei keine Probleme auftreten, werden wir die Updates auf unserer Infrastruktur installieren. Wir werden Sie über geplante Wartungsarbeiten laufend informieren und sind bestrebt, die Auswirkungen auf den produktiven Betrieb möglichst gering zu halten.

Bitte beachten Sie, dass Sie die relevanten Sicherheitsupdates auch auf Ihren Cloud-Servern installieren müssen, um diese Sicherheitslücken zu schliessen.

Detaillierte Informationen zu Meltdown (CVE-2017-5754)

Wir haben das Linux Kernel-Update, welches die Meltdown-Sicherheitslücke schliesst, bereits am 10.01.2018 auf all unseren Compute Nodes installiert. Sie müssen die entsprechenden Sicherheitsupdates Ihrer Linux-Distribution auch auf Ihren Cloud-Servern installieren, um sich vor Angriffen von innerhalb Ihres Servers zu schützen.

Detaillierte Informationen zu Spectre (CVE-2017-5715, CVE-2017-5753)

Die Bestrebungen, die Spectre Sicherheitslücke im Linux Kernel zu schliessen, sind derzeit noch im Gange. Im Moment gibt es weder im Linux Kernel upstream noch in der von uns auf unseren Compute Nodes eingesetzten Linux Distribution eine definitive Lösung. Verschiedene Lösungsvorschläge werden zur Zeit in der Linux Kernel-Community diskutiert und wir erwarten in Kürze erste Sicherheitsupdates. Um die Sicherheitslücke auf unseren Compute Nodes zu schliessen, wird zusätzlich zum Kernel eine Aktualisierung des CPU Microcodes notwendig sein. Darüber hinaus braucht es Änderungen an der Virtualisierungsschicht, um den Typ der virtuellen CPUs Ihrer Cloud-Server anzupassen.

Sobald die relevanten Aktualisierungen verfügbar sind, muss auf unseren Compute Nodes ein weiteres Linux Kernel-Update installiert werden. Anschliessend müssen all Ihre Cloud-Server heruntergefahren und neu gestartet werden. Nachdem der Typ der virtuellen CPU aktualisiert wurde, werden wir unsere Kunden erneut informieren. Erst ab diesem Zeitpunkt kann die Spectre-Sicherheitslücke im Kernel Ihrer Cloud-Server geschlossen werden.

Bei weiteren Fragen stehen wir Ihnen gerne zur Verfügung.

Freundliche Grüsse
Ihr cloudscale.ch-Team

Zurück zur Übersicht