Momentan ist die Lage wohl noch recht unübersichtlich und noch nicht in Gänze klar, welche älteren Kernel alle backported gefixt werden.
Prinzipiell stehen unsere Maschinen auch nicht im Problem-Fokus. Da wir die einzigen sind, die Prozesse auf unseren Maschinen ausführen (anders als bei den ganzen Cloud-Anbietern). Jedoch können Schwachstellen in Prozessen auch bei uns im Zweifel einen sehr viel größeren Impact haben. Daher sollten auch wir zeitnah patchen.
Mehr Details:
Im Spectre-Paper steht:
Attacks using JavaScript. In addition to violating process
isolation boundaries using native code, Spectre attacks
can also be used to violate browser sandboxing, by
mounting them via portable JavaScript code. We wrote a JavaScript program that successfully reads data from the address space of the browser process running it.
Nur mal zur Klarstellung (stecke da nicht so tief drin): Wir reden hier über die Server-Infrastruktur, nicht über die ganzen Router da draußen, oder?
Meine Vermutung ist, dass die allermeisten Router nicht betroffen sind: # cat /proc/cpuinfo
system type : Qualcomm Atheros QCA9533 ver 2 rev 0
machine : TP-LINK TL-WR841N/ND v11
processor : 0
cpu model : MIPS 24Kc V7.4
Google empfiehlt Strict site isolation zu aktivieren. Damit ist das Problem aber noch nicht ausgeräumt, aber angeblich wird das Ausnutzen der Lücke erschwert.
____________________________________Typ_____________________________________
Sonstiges
_________________________________Kategorie__________________________________
Webhosting und Managed Server
vServer
Allgemein
_________________________________Zeitpunkt__________________________________
Start: 4. Januar 2018 15:00:00 CET
Ende: Unbekannt
________________________________Beschreibung________________________________
Kürzlich wurden diverse Schwachstellen in Prozessoren entdeckt,
die in unseren Produkten verbaut sind. Diese Schwachstellen ermöglichen
es, ggf. auf sensible Daten zuzugreifen. Nach momentaner Kenntnislage
scheinen vor allem Intel-Prozessoren von der Schwachstelle betroffen
zu sein. Eine Entwarnung für Prozessoren anderer Hersteller kann zum
jetzigen Zeitpunkt jedoch noch nicht gegeben werden.
Wir arbeiten bereits eng mit den Herstellern zusammen, um Ihnen
schnellstmöglich die notwendigen Microcode-Updates bereitzustellen.
Sobald diese verfügbar sind oder neue Informationen zu betroffenen
Systemen vorliegen, werden wir die neuen Informationen hier
veröffentlichen.
Zusätzlich sind auch Updates der Betriebssysteme notwendig.
Nähere Informationen zu den Schwachstellen, eine Übersicht der
betroffenen Produkte sowie Links zu weiteren Informationen aller
angebotenen
Betriebssysteme finden Sie unter:
https://wiki.hetzner.de/index.php/Spectre_and_Meltdown
Bei Fragen stehen wir Ihnen gerne zur Verfügung. Bitte senden Sie
uns dazu eine Supportanfrage aus Ihrer Administrationsoberfläche Robot.
_________________________________Betroffen__________________________________
Alle Rootserver, Managed Server, Webhosting und vServer (VQ/VX/CX) Kunden
Ihre E-Mail-Adresse wurde auf Grund der Anmeldung für den Versand von
Statusmeldungen in der Verwaltungsoberfläche "Robot" berücksichtigt.
Falls Sie in Zukunft auf die Statusmeldungen verzichten möchten, können
Sie diese unter https://robot.your-server.de/ abbestellen.
Mit freundlichen Grüßen
Hetzner Online GmbH
Industriestr. 25
91710 Gunzenhausen
Tel: +49 9831 505-0
Fax: +49 9831 505-3
info@hetzner.de
www.hetzner.de
Registergericht Ansbach, HRB 6089
Geschäftsführer: Martin Hetzner
NOTE
The original coordinated disclosure date was planned for January 9 and we have been driving toward that date to release fixes. Due to the early disclosure, we are trying to accelerate the release, but we don’t yet have an earlier ETA when the updates will be released. We will release Ubuntu Security Notices when the updates are available.
Wird eigentlich schon irgendwo halbwegs laienhaft erklärt, wie diese Sicherheitslücke(n) ausgenutzt werden kann? Also welche Logik steckt hinter dem Exploit.
It was discovered that a new class of side channel attacks impact most processors, including processors from Intel, AMD, and ARM. The attack allows malicious userspace processes to read kernel memory and malicious code in guests to read hypervisor memory. To address the issue, updates to the Ubuntu kernel and processor microcode will be needed. These updates will be announced in future Ubuntu Security Notices once they are available.
Solution: Replace CPU hardware
The underlying vulnerability is primarily caused by CPU implementation optimization choices. Fully removing the vulnerability requires replacing vulnerable CPU hardware.
Das wird insbesondere für Intel ziemlich bitter werden…
2/ @Ubuntu users of the 64-bit x86 architecture (aka, amd64) can expect updated kernels by the original January 9, 2018 coordinated release date, and sooner if possible.
3/ Updates will be available for:
Ubuntu 17.10 (Artful) – Linux 4.13 HWE
Ubuntu 16.04 LTS (Xenial) – Linux 4.4 (and 4.4 HWE)
Ubuntu 14.04 LTS (Trusty) – Linux 3.13
Ubuntu 12.04 ESM** (Precise) – Linux 3.2
Wir sollten daher die Kernel-Versionen auf unseren Maschinen prüfen.
Das ist quasi der Super - GAU.
Mit allen Kerneln > 4.9.0-0.bpo.3-amd64 funtioniert der Tunneldigger nicht mehr.
Um das zu beheben muss der Tunneldigger auf den Gateways aktualisiert werden und ALLE knoten brauchen eine neue Firmware die den neuen Tunneldigger enthält.
Falls wir aber wirklich auf 4.4 zurück gehen, sollten wir aber das BATMAN Kernelmodul in einer aktuellen version selbst bauen.
Außerdem möchte ich noch auf dieses Problem verweisen:
Wir sollten auf jeden Falls, falls wir auf 4.4 zurück gehen sollten das VOR dem 9.1. auf 1-2 GWs testen, sodass wir mit dem Release des Patches direkt überall ausrollen können.
