2018
März
06
2018

Update zu "Meltdown" und "Spectre"

Kürzlich entdeckten mehrere Forscher, unter anderem der Technischen Universität Graz und des Google Project Zero, unabhängig voneinander zwei gravierende Sicherheitslücken. Diese wurden unter den Namen Meltdown und Spectre bekannt. Wir bei cloudscale.ch nehmen diese Bedrohungen sehr ernst und tun unser Bestes, um die Sicherheit unserer Cloud-Infrastruktur zu gewährleisten.

Bereits im Januar haben wir die bis dahin ergriffenen Massnahmen im Zusammenhang mit diesen Sicherheitslücken zusammengefasst. In diesem Beitrag möchten wir Sie darüber informieren, dass wir am 10.01.2018 bzw. am 26.02.2018 alle verfügbaren Updates für Meltdown und Spectre auf unseren Compute Nodes installiert haben – und welche Massnahmen Sie nun noch treffen müssen.

Detaillierte Informationen zu Meltdown (CVE-2017-5754)

Kurz nach Veröffentlichung der Meltdown-Sicherheitslücke waren bereits Patches dafür verfügbar. Wir haben das Linux Kernel-Update, welches die Meltdown-Sicherheitslücke schliesst, am 10.01.2018 auf all unseren Compute Nodes installiert. Um sich vor Angriffen von innerhalb Ihres Servers zu schützen, müssen auch Sie die entsprechenden Sicherheitsupdates Ihrer Linux-Distribution auf Ihren Cloud-Servern installieren.

Detaillierte Informationen zu Spectre (CVE-2017-5715, CVE-2017-5753)

Die Spectre-Sicherheitslücke existiert in zwei verschiedenen Varianten:

Spectre Variante 1 kann mit einem Software-Update vollständig geschlossen werden. Allerdings mussten dafür zuerst alle kritischen Teile im Code identifiziert werden.

Spectre Variante 2 zu schliessen ist aufwändiger: Der ursprünglich vorgeschlagene Ansatz setzte ein CPU Microcode-Update voraus. Da dieses Update zu Instabilitäten der Systeme geführt hat, wurde es später von Intel zurückgezogen. Dank umfangreicher Tests in unserem Lab wurde das fehlerhafte Microcode-Update nie auf unsere Compute Nodes ausgerollt.

Ein alternativer Ansatz zur Behebung von Spectre Variante 2 wurde dann von Google-Ingenieuren und der Linux Kernel-Community entwickelt. Dieser Ansatz verwendet eine Technik namens retpoline (return trampoline) und bietet zwei Hauptvorteile: Es wird kein CPU Microcode-Update benötigt und die daraus resultierenden Leistungseinbussen fallen wesentlich geringer aus.

Am 26.02.2018 haben wir das Linux Kernel-Update installiert, welches mit der retpoline-Technik erstellt wurde. Mit diesem Update wurden alle bekannten Varianten der Spectre-Sicherheitslücke auf all unseren Compute Nodes geschlossen. Wir gehen davon aus, dass zusätzliche Updates notwendig sein werden, falls weitere kritische Teile im Linux Kernel identifiziert werden. Wir werden solche Updates installieren, sobald sie verfügbar sind.

Sicherheitshinweise für unsere Kunden

Bitte beachten Sie, dass Sie die entsprechenden Sicherheitsupdates auch auf Ihren Cloud-Servern installieren müssen, um die beiden Sicherheitslücken zu schliessen. Andernfalls bleiben Ihre Cloud-Server weiterhin anfällig für Angriffe von innerhalb Ihres Servers. Wir empfehlen, das von Stéphane Lesimple veröffentlichte Skript zu verwenden, um zu überprüfen, ob Ihre Server noch verwundbar sind oder nicht.

Die Veröffentlichung von CPU Microcode-Updates werden wir weiterhin verfolgen, allerdings mit einer tieferen Priorität, da für die meisten Linux-Distributionen alternative Ansätze zur Behebung der Variante 2 der Spectre-Schwachstelle zur Verfügung stehen.

Wir empfehlen allen unseren Kunden, wenn immer möglich die von ihrer Linux-Distribution bereitgestellten retpoline-fähigen Kernel zu installieren. Wir werden Sie informieren, wenn weitere Massnahmen erforderlich sind.

Bitte zögern Sie nicht, uns bei Fragen zu kontaktieren.

Freundliche Grüsse
Ihr cloudscale.ch-Team

Zurück zur Übersicht