Wir werden alle sterben™


#1

Momentan ist die Lage wohl noch recht unübersichtlich und noch nicht in Gänze klar, welche älteren Kernel alle backported gefixt werden.

Prinzipiell stehen unsere Maschinen auch nicht im Problem-Fokus. Da wir die einzigen sind, die Prozesse auf unseren Maschinen ausführen (anders als bei den ganzen Cloud-Anbietern). Jedoch können Schwachstellen in Prozessen auch bei uns im Zweifel einen sehr viel größeren Impact haben. Daher sollten auch wir zeitnah patchen.

Mehr Details:


Im Spectre-Paper steht:

Attacks using JavaScript. In addition to violating process
isolation boundaries using native code, Spectre attacks
can also be used to violate browser sandboxing, by
mounting them via portable JavaScript code. We wrote a
JavaScript program that successfully reads data from the
address space of the browser process running it.

WIR WERDEN ALLE STERBEN™


#2

Nur mal zur Klarstellung (stecke da nicht so tief drin): Wir reden hier über die Server-Infrastruktur, nicht über die ganzen Router da draußen, oder?

Meine Vermutung ist, dass die allermeisten Router nicht betroffen sind:
# cat /proc/cpuinfo
system type : Qualcomm Atheros QCA9533 ver 2 rev 0
machine : TP-LINK TL-WR841N/ND v11
processor : 0
cpu model : MIPS 24Kc V7.4

Korrekt?


#3

Hi,

es geht hier um Server.

Wir haben herausgefunden, dass Hardware Virtualisierung (KVM) nicht betroffen sind :wink:


#4

Hier eine Übersicht zum Patch-Status: https://github.com/hannob/meltdownspectre-patches/blob/master/README.md


#5

Wobei das auch noch nicht feststeht, siehe

QEMU - nothing yet, discussion: https://lists.nongnu.org/archive/html/qemu-devel/2018-01/msg00613.html


#6

Das halte ich für ein Gerücht.


#7

Google empfiehlt Strict site isolation zu aktivieren. Damit ist das Problem aber noch nicht ausgeräumt, aber angeblich wird das Ausnutzen der Lücke erschwert.


#8

Hetzner hat sich nun auch mal zu Wort gemeldet:

____________________________________Typ_____________________________________

Sonstiges

_________________________________Kategorie__________________________________

Webhosting und Managed Server
vServer
Allgemein

_________________________________Zeitpunkt__________________________________

Start:          4. Januar 2018 15:00:00 CET
Ende:           Unbekannt

________________________________Beschreibung________________________________

Kürzlich wurden diverse Schwachstellen in Prozessoren entdeckt, 
die in unseren Produkten verbaut sind. Diese Schwachstellen ermöglichen 
es, ggf. auf sensible Daten zuzugreifen. Nach momentaner Kenntnislage 
scheinen vor allem Intel-Prozessoren von der Schwachstelle betroffen 
zu sein. Eine Entwarnung für Prozessoren anderer Hersteller kann zum 
jetzigen Zeitpunkt jedoch noch nicht gegeben werden. 

Wir arbeiten bereits eng mit den Herstellern zusammen, um Ihnen 
schnellstmöglich die notwendigen Microcode-Updates bereitzustellen. 
Sobald diese verfügbar sind oder neue Informationen zu betroffenen 
Systemen vorliegen, werden wir die neuen Informationen hier 
veröffentlichen.

Zusätzlich sind auch Updates der Betriebssysteme notwendig.

Nähere Informationen zu den Schwachstellen, eine Übersicht der 
betroffenen Produkte sowie Links zu weiteren Informationen aller 
angebotenen 
Betriebssysteme finden Sie unter:

https://wiki.hetzner.de/index.php/Spectre_and_Meltdown

Bei Fragen stehen wir Ihnen gerne zur Verfügung. Bitte senden Sie 
uns dazu eine Supportanfrage aus Ihrer Administrationsoberfläche Robot.

_________________________________Betroffen__________________________________

Alle Rootserver, Managed Server, Webhosting und vServer (VQ/VX/CX) Kunden


Ihre E-Mail-Adresse wurde auf Grund der Anmeldung für den Versand von 
Statusmeldungen in der Verwaltungsoberfläche "Robot" berücksichtigt.

Falls Sie in Zukunft auf die Statusmeldungen verzichten möchten, können 
Sie diese unter https://robot.your-server.de/ abbestellen.


Mit freundlichen Grüßen

Hetzner Online GmbH
Industriestr. 25
91710 Gunzenhausen
Tel: +49 9831 505-0
Fax: +49 9831 505-3
info@hetzner.de
www.hetzner.de

Registergericht Ansbach, HRB 6089
Geschäftsführer: Martin Hetzner

Hier findet sich u. a. eine Auflistung der betroffenen Hetzner-Servergenerationen: https://wiki.hetzner.de/index.php/Spectre_and_Meltdown


Im Ubuntu-Wiki lässt sich lesen:

NOTE
The original coordinated disclosure date was planned for January 9 and we have been driving toward that date to release fixes. Due to the early disclosure, we are trying to accelerate the release, but we don’t yet have an earlier ETA when the updates will be released. We will release Ubuntu Security Notices when the updates are available.


#9

Wird eigentlich schon irgendwo halbwegs laienhaft erklärt, wie diese Sicherheitslücke(n) ausgenutzt werden kann? Also welche Logik steckt hinter dem Exploit.


#10

Es handelt sich ja um zwei (bzw. drei) Lücken bzw. Angriffsszenarien: Spectre und Meltdown.

Meltdown scheint, nach derzeitigem Kenntnisstand, nur Intel CPUs (grob ab ~1995/Pentium II (Atoms vor 2013 afaik auch nicht betroffen)) zu betreffen.

Spectre scheint, bis auf einige wenige Einschränkungen, neben Intel CPUs auch AMD und ARM CPUs zu betreffen.

Soweit ich es verstanden habe, ist der Meltdown Angriff einfacher und hat noch mehr Impact als der Spectre Angriff.

Auf der ML von MUESLI (Muenster Stammtisch für GNU/Linux) habe ich bisher eine recht kompakte Zusammenfassung gelesen.

Ansonsten gab dieser Artikel einen ganz guten Überblick: https://www.wired.com/story/critical-intel-flaw-breaks-basic-security-for-most-computers/ Allerdings ist dieser von gestern Abend / heute Nacht. Ich weiß also nicht, ob seit dem bereits neue Erkenntnisse öffentlich geworden sind.

Edit: Der Wikipedia-Artikel beschreibt es auch recht übersichtlich:


#11

Ubuntu dazu:

It was discovered that a new class of side channel attacks impact most processors, including processors from Intel, AMD, and ARM. The attack allows malicious userspace processes to read kernel memory and malicious code in guests to read hypervisor memory. To address the issue, updates to the Ubuntu kernel and processor microcode will be needed. These updates will be announced in future Ubuntu Security Notices once they are available.

https://wiki.ubuntu.com/SecurityTeam/KnowledgeBase/SpectreAndMeltdown

Sowie CERT Money Quote (https://www.kb.cert.org/vuls/id/584653)

Solution: Replace CPU hardware
The underlying vulnerability is primarily caused by CPU implementation optimization choices. Fully removing the vulnerability requires replacing vulnerable CPU hardware.

Das wird insbesondere für Intel ziemlich bitter werden…


#12

Der Artikel im Blog von Project Zero widmet sich auch in einem eigenen Absatz “Reading host memory from a KVM guest”:


#13

In diesem Twitter-Thread stehen wohl die wichtigsten Infos für unsere GWs:

2/ @Ubuntu users of the 64-bit x86 architecture (aka, amd64) can expect updated kernels by the original January 9, 2018 coordinated release date, and sooner if possible.

3/ Updates will be available for:

  • Ubuntu 17.10 (Artful) – Linux 4.13 HWE
  • Ubuntu 16.04 LTS (Xenial) – Linux 4.4 (and 4.4 HWE)
  • Ubuntu 14.04 LTS (Trusty) – Linux 3.13
  • Ubuntu 12.04 ESM** (Precise) – Linux 3.2

Wir sollten daher die Kernel-Versionen auf unseren Maschinen prüfen.


#14

Das ist quasi der Super - GAU.
Mit allen Kerneln > 4.9.0-0.bpo.3-amd64 funtioniert der Tunneldigger nicht mehr.
Um das zu beheben muss der Tunneldigger auf den Gateways aktualisiert werden und ALLE knoten brauchen eine neue Firmware die den neuen Tunneldigger enthält.

Quelle:


#15

Was ist mit

?

Da gabs doch irgendwelche Probleme mit bird, oder? (bin mir da nicht mehr sicher)


Heute ist der Super-GAU-Tag. Immer wenn man denkt, schlimmer kann es nicht mehr werden, wird es noch schlimmer. :open_mouth:


#16

Keine ahnung… aber der Bug im Kernel der den Bug im Tunneldigger hat funktionieren lassen wird auch im aktuellen Ubuntu Kernel gefix sein…

Wir haben noch ca 1,5 Stunden im Heute… Vlt schaffen wer noch ne Kernschmelze :see_no_evil:


#17

Falls wir aber wirklich auf 4.4 zurück gehen, sollten wir aber das BATMAN Kernelmodul in einer aktuellen version selbst bauen.

Außerdem möchte ich noch auf dieses Problem verweisen:

Wir sollten auf jeden Falls, falls wir auf 4.4 zurück gehen sollten das VOR dem 9.1. auf 1-2 GWs testen, sodass wir mit dem Release des Patches direkt überall ausrollen können.


Wie weit liegt dieser denn in der Zukunft?


#18

ab wann es kapod ist?
Ab dem Debian BPO.4


#19

Ne, ab wann es wieder funktionieren wird?


#20

Halt, Stopp! Ich habe sch***e geschrieben. Auf den GWs haben wir ja Debian und nicht Ubuntu. Da wird es nen fix für den 4.9er geben: https://security-tracker.debian.org/tracker/DSA-4078-1