Prozessorbugs Meltdown und Spectre
Letzte Woche überschlugen sich die Meldungen zu "Spectre" und "Meltdown".
Insbesondere letztere Sicherheitslücke gilt weiterhin als große Bedrohung,
da Patches allein das eigentliche Problem in der Architektur einer ganzen Reihe von
Intel-Chipserien nur mehr oder weniger notdürftig bekämpfen. Die Patches stehen dazu
noch im Verdacht, Performanceeinbußen bei den gepatchten Prozessoren hervorzurufen.
Nach langen und gründlichen Tests, in denen wir unsere Server eingehend auf eine mögliche
Kompromittierung via "Meltdown" geprüft haben, können wir nun für unsere Server selbst
Entwarnung geben. "Meltdown" kann den Servern in unserer Cloud selbst nichts anhaben,
solange wichtige Sicherheitsregeln eingehalten werden.
CPU-NET setzt auf eine echte Cloud mit konsequenter Hardware-Virtualisierung unter Einsatz von KVM.
Die sog. Kernel-based Virtual Machine nistet unmittelbar auf dem Prozessorkern. Sie erlaubt es
möglichen Angreifern als Hardware virtualisiertes System erst gar nicht, auf die betroffenen Cores
des Herstellers Intel) zuzugreifen, da die Virtualisierungsschicht die physischen Komponenten unserer
Hardware von den Zugriffen von außen sauber trennt. Somit genießen unsere Kunden grundsätzlich einen
respektablen Schutz. Prozessoren anderer Hersteller als Intel sind Stand heute eh nicht betroffen.
Einer der Vorteile unserer Cloud ist ihre große Flexibilität. Unsere Kunden können basierend auf der
Plattform virtuelle Maschinen vielfältigster Art aufbauen und sog. paravirtualisierte Systeme schaffen.
Innerhalb dieser Installationen kommen oft Hardware sharende Technologien wie Container (Docker und Co.)
zum Einsatz.
Ganz generell empfehlen wir daher all unseren Kunden für ihre eigenen Installationen dringend die
nötigen Patches einzuspielen!
Meltdown CVE-2017-5754
Unter Linux gibt es für Intel-Prozessoren ab Kernel 4.14.12 eine vollständige Implementierung der sog.
PTI (Kernel Page-Table-Isolation). Daher raten wir unbedingt an, auf Kernel-Version 4.14.12 oder höher upzugraden.
Ältere Longterm/LTS Kernel 4.9.76 und 4.4.111 wurden ebenfalls mit PTI aufgerüstet. Wir empfehlen ein Update auf
die entsprechende Version.
Microsoft bietet für verschiedene OS-Versionen Updates an*:
Server 2016 - KB4056890
Server 2012 R2 - KB4056898
Server 2008 R2 - KB4056897
Bei allen 3 Windows OS-Versionen ist das Update über die Windows-Update-Funktion verfügbar.
Wenn Sie die betreffenden Updates ausgeführt haben, herrscht die größtmögliche Sicherheit, die zum jetzigen
Zeitpunkt zu erhalten ist. Wir informieren Sie selbstredend über alle neuen Entwicklungen. Sie können also
entspannt sein, wenn Sie Ihre Systeme zügig patchen.
Gerne wenden Sie sich bei Fragen an unseren Support (Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!), der Ihnen gerne weiterhilft.