News

Wer von den aktuellen Sicherheitslücken betroffen ist

Die aktuellsten CPU-Lücken betreffen alle Prozessor-Modelle von Intel der letzten Jahre. Prozessoren anderer Hersteller wie AMD und ARM sind nach derzeitigem Kenntnisstand nicht betroffen. Die Schwachstellen im Chip-Design ermöglichen es, dass ein Prozess über sogenannte Seitenkanalangriffe auf Daten zugreifen kann, die von einem anderen Prozess auf dem gleichen CPU-Kern verarbeitet werden. Ursache sind verschiedene Pufferbereiche innerhalb der CPU, in denen Datenfragmente liegen bleiben, welche dann von einem anderen Prozess ausgelesen werden können. Aktiviertes Hyper-Threading erleichtert ein Ausnutzen dieser Schwachstellen zusätzlich.

Dies ist insbesondere dann relevant, wenn Programmcode ausgeführt wird, der – aus Sicht eines konkreten Prozesses oder Benutzers – nicht vertrauenswürdig ist. Seien dies aktive Inhalte auf Websites, die man besucht, oder Software in einem "benachbarten" virtuellen Server in der Cloud: potenziell kann Schadcode auf Teile der eigenen Daten zugreifen, die kurz zuvor auf dem gleichen physischen Prozessorkern verarbeitet wurden.

Wie cloudscale.ch gegen diese Lücken vorgeht

Bei einem Public-Cloud-Anbieter läuft naturgemäss "nicht vertrauenswürdiger Code" auf den Compute-Nodes. Auch bei cloudscale.ch kommen Intel-CPUs aus den betroffenen Modellreihen zum Einsatz. Entsprechend ernst nehmen wir das Thema und arbeiten daran, die bekanntgewordenen Angriffswege vollständig zu beseitigen. In einem ersten Schritt haben wir unter anderem alle verfügbaren Sicherheitsupdates in unserem Lab installiert. Dazu gehören Microcode-Updates, die Intel für die betroffenen Prozessoren bereitgestellt hat, genauso wie das Deaktivieren von Hyper-Threading, ein aktualisierter Linux-Kernel sowie Patches für den Virtualisierungs- und Storage-Layer. Wie bei jedem Update laufen aktuell Tests um sicherzustellen, dass die Sicherheitsupdates keine unerwünschten Auswirkungen auf die gewohnte Stabilität unserer Infrastruktur haben.

Sobald wir in den Tests das einwandfreie Funktionieren der gepatchten Versionen bestätigen können, werden wir die produktiven Systeme im gleichen Verfahren aktualisieren. Um trotz laufendem Betrieb möglichst rasch alle betroffenen Systeme absichern zu können, setzen wir ein ausserordentliches Wartungsfenster an, das ab sofort bis zum nächsten Dienstag, 21.05.2019 um 24:00 Uhr dauert. Wir setzen alles daran, Ihre virtuellen Server möglichst wenig zu beeinträchtigen: bevor wir mit den Arbeiten an einem Compute-Node beginnen, verschieben wir die virtuellen Server mittels Live-Migration auf einen anderen, bereits aktualisierten Node. Dennoch ist es möglich, dass Sie vorübergehend eine verringerte Leistung Ihrer Server und/oder kurze Unterbrüche bei den Netzwerkverbindungen feststellen. Für allfällige Unannehmlichkeiten bitten wir Sie bereits jetzt um Verständnis.

Was Sie zur Absicherung Ihrer Server unternehmen sollten

Die Massnahmen, die wir auf unserer Seite treffen können, schützen Ihre virtuellen Server davor, dass aus anderen virtuellen Servern auf Daten zugegriffen werden kann. Um Ihre Daten auch vor Zugriffen aus anderen Prozessen innerhalb des gleichen virtuellen Servers zu schützen, installieren Sie bitte die Sicherheits-Updates, die von den jeweiligen Linux-Distributionen und anderen Software-Herstellern publiziert werden.

Um die Sicherheitslücken zu schliessen empfiehlt Intel, jeweils die betroffenen Pufferbereiche in den CPUs zu löschen, wenn zwischen der Ausführung von Prozessen mit unterschiedlichen Berechtigungen gewechselt wird. Mit den Microcode-Updates von Intel für die betroffenen CPUs stehen dafür angepasste Routinen zur Verfügung. Wenn Sie nach unserem Wartungsfenster, d.h. ab Mittwoch, 22.05.2019, Ihre virtuellen Server einmal komplett aus- und wieder einschalten (ein Reboot genügt nicht), ist innerhalb Ihrer Server das neue CPU-Flag "md_clear" sichtbar. Entsprechend aktualisierte Versionen Ihres Betriebssystems sowie anderer Software können daran erkennen, dass und wie sie die CPU-Puffer löschen sollen, um Ihre Daten bestmöglich vor anderen, möglicherweise weniger vertrauenswürdigen Prozessen innerhalb des gleichen virtuellen Servers zu schützen.

Obwohl die neuen Angriffsszenarien nach aktuellem Kenntnisstand relativ schwierig auszunutzen sind und ein potenzieller Zugriff auf Daten nicht gezielt möglich ist, setzen wir alles daran, diese Lücken schnell und vollständig zu schliessen. Für einen bestmöglichen Schutz empfehlen wir Ihnen, auch innerhalb Ihres Servers zeitnah alle verfügbaren Sicherheitsupdates einzuspielen. Sollten Sie Fragen im Zusammenhang mit unseren aktuellen Massnahmen haben, stehen wir Ihnen natürlich gerne zur Verfügung.

Für sichere Server,
Ihr cloudscale.ch-Team