Hetzner - DokuWiki

CPU vulnerabilities based on Spectre and Meltdown
(Cloud / Virtuelle Server (VQ/VX/CX))
(Cloud / Virtuelle Server (CX))
Zeile 289: Zeile 289:
  
 
===Cloud / Virtuelle Server (CX)===
 
===Cloud / Virtuelle Server (CX)===
Die Host-Systeme werden kontinuierlich mit den entsprechenden Updates versorgt.
+
Die Host-Systeme werden kontinuierlich mit den entsprechenden Updates versorgt, sobald diese verfügbar sind. Die Updates werden in der Regel ohne Downtime für Kundensysteme installiert. Sollten Reboots nötig sein, so werden diese vorab auf Hetzner Status angekündigt.
Die Updates werden bei Servern mit Ceph-Speicher in der Regel ohne Downtime für Kundensysteme installiert. Sollten Reboots nötig sein, so werden diese vorab auf Hetzner Status angekündigt.
+
  
Da die installierten Betriebssysteme dennoch angreifbar sein könnten, sollten Sie die Updates, welche die Probleme beseitigen, so schnell wie möglich eigenständig installieren. Weitere Informationen zu den bevorstehenden Updates finden Sie in den Links unter Software / Operating System.
+
Da die installierten Betriebssysteme dennoch angreifbar sein könnten, sollten Betriebsystemupdates so schnell wie möglich eigenständig installieren. Weitere Informationen zu den Updates finden Sie in den Links unter Software / Operating System.
  
Auf CX Servern stehen die erweiterten CPU Flags (spec_ctrl bzw. ibrs) auch innerhalb der virtuellen Server zur Verfügung. Um diese zu aktivieren, ist es notwendig, daß der virtuelle Server aus- und wieder eingeschaltet wird.
+
Die erweiterten CPU Flags (spec_ctrl, ibrs, ssbd, md-clear) werden sukzessive  zur Verfügung gestellt. Um diese zu aktivieren, ist es notwendig, daß der virtuelle Server aus- und wieder eingeschaltet wird.

Version vom 16. Mai 2019, 12:11 Uhr

Inhaltsverzeichnis

Informationen über die Sicherheitslücken:

Am 03.01.2018 wurden diverse Sicherheitsprobleme in der Mikroarchitektur moderner Prozessoren veröffentlicht, welche folgende Auswirkungen haben können:

Diese Sicherheitslücken wurden u. a. unter folgenden Namen veröffentlicht:

Weitere Informationen dazu finden Sie unter:

Spectre-NG

Am 21.05.2018 wurden 2 weitere Sicherheitsprobleme veröffentlicht:

Weitere Informationen dazu finden Sie unter:

Foreshadow

Am 14.08.2018 wurden Informationen zu weiteren Sicherheitslücken dieser Serie veröffentlicht:

Weitere Informationen dazu finden Sie unter:

Microarchitectural Data Sampling (MDS) / ZombieLoad

Am 14.05.2019 wurden Informationen zu weiteren Sicherheitslücken veröffentlicht, welche über Seitenkanal-Angriffe Daten aus Zwischenspeichern von ungeschützen Systemen entwenden können.

  • Microarchitectural Store Buffer Data Sampling (MSBDS) (CVE-2018-12126)
  • Microarchitectural Load Port Data Samping (MLPDS) (CVE-2018-12127)
  • Microarchitectural Fill Buffer Data Sampling (MFBDS) (CVE-2018-12130)
  • Microarchitectural Data Sampling Uncacheable Memory (MDSUM) (CVE-2019-11091)

Diese Sicherheitslücken wurden u. a. unter folgendem Namen veröffentlicht:

Weitere Informationen dazu finden Sie unter:

Zusätzlich zu der Installation des neusten Linux Kernels und der neusten Microkode Updates, ist es notwending Intel® Hyper-Threading Technology abzuschalten, um diese Sicherheitslücken vollständig zu schließen. Diesbezüglich wurden im Ubuntu Blog folgende Informationen und Hinweise veröffentlicht:

Updated versions of the intel-microcode, qemu and linux kernel packages are being published as part of the standard Ubuntu security maintenance of Ubuntu releases 16.04 LTS, 18.04 LTS, 18.10, 19.04 and as part of the extended security maintenance for Ubuntu 14.04 ESM users. As these vulnerabilities affect such a large range of Intel processors (across laptop, desktop and server machines), a large percentage of Ubuntu users are expected to be impacted – users are encouraged to install these updated packages as soon as they become available.

The use of Symmetric Multi-Threading (SMT) – also known as Hyper-Threading – further complicates these issues since these buffers are shared between sibling Hyper-Threads. Therefore, the above changes are not sufficient to mitigate these vulnerabilities when SMT is enabled. As such, the use of SMT is not recommended when untrusted code or applications are being executed.

Betroffene Produkte

Aktuelle Generation

AX-Line

  • nur von Variante 1, 2 & 4 betroffen:
    • AX60-SSD
    • AX100
    • AX160-NVMe
    • AX160-SSD

EX-Line

  • EX42
  • EX42-NVMe
  • EX51-SSD-GPU
  • EX52
  • EX52-NVMe
  • EX62
  • EX62-NVMe

PX-Line

  • PX61
  • PX61-SSD
  • PX61-NVMe
  • PX62
  • PX62-NVMe
  • PX92

DX-Line

  • DX152 (R640)
  • DX180 (R6415) - nur von Variante 1, 2 & 4 betroffen
  • DX292 (R640)

SX-Line

  • SX62
  • SX132
  • SX292

Managed Server

  • MX92
  • MX92-SSD
  • MX122-SSD
  • MX152-SSD

Vorhergehende Generationen

  • AX10 (Cortex A15 + A7)
  • AX20 (Cortex A15 + A7)
  • AX30 (Cortex A15 + A7)
  • AX50-SSD - nur von Variante 1, 2 & 4 betroffen
  • DX141 (Dell R530)
  • DX150 (Dell R720)
  • DX151 (Dell R730)
  • DX290 (Dell R720)
  • DX291 (Dell R730)
  • EQ4
  • EQ6
  • EQ8
  • EQ9
  • EQ10
  • EX4
  • EX4S
  • EX5
  • EX6
  • EX6S
  • EX8
  • EX8S
  • EX10
  • EX40
  • EX40-SSD
  • EX40-Hybrid
  • EX41
  • EX41-SSD
  • EX41S
  • EX41S-SSD
  • EX51
  • EX51-SSD
  • EX60
  • EX61
  • EX61-NVMe
  • MQ7
  • MQ9
  • MQ10
  • MX90
  • MX90-SSD
  • MX120
  • MX120-SSD
  • MX121
  • MX150-SSD
  • MX151
  • MX151-SSD
  • PX60
  • PX60-SSD
  • PX70
  • PX70-SSD
  • PX80
  • PX90
  • PX90-SSD
  • PX91
  • PX91-SSD
  • PX120
  • PX120-SSD
  • PX121
  • PX121-SSD
  • SX60
  • SX61
  • SX130
  • SX131
  • SX290
  • SX291
  • XS13
  • XS29

Updates / Upgrades

Hardware / BIOS / Firmware

Wir arbeiten bereits mit den entsprechenden Herstellern zusammen, um schnellstmöglich die Firmware-Updates bereitzustellen, welche die nötigen Mikrocode-Updates enthalten.

Die Liste der zur Verfügung stehenden Firmware-Updates ist unter folgendem Link erreichbar:

Firmware Updates

Die Mikrocode-Updates sollten in naher Zukunft auch über die verschiedenen Betriebssysteme zur Verfügung stehen.

Software / Operating System

Informationen über den Update-Status der von uns offiziell unterstützten Betriebssysteme finden Sie in den jeweiligen Bug-Trackern:

Debian

Announcement:

Ubuntu

Announcement:

RedHat / CentOS

Announcement: https://access.redhat.com/security/vulnerabilities/mds

Archlinux

Microsoft Windows

Announcement: https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/adv190013

weitere Betriebssysteme

Informationen über den Update-Status von uns nicht offiziell unterstützten Betriebssystemen:

OpenSUSE

Announcement: ...


VMware

Announcement: ...

Webhosting/Managed Server

Die Host-Systeme werden so schnell wie möglich von uns mit den Updates versorgt und die nötigen Reboots werden auf Hetzner Status angekündigt.

Da wir Ihre Server für Sie verwalten, ist es aktuell nicht notwendig, dass Sie eigenständig Vorsichtsmaßnahmen durchführen.

Cloud / Virtuelle Server (CX)

Die Host-Systeme werden kontinuierlich mit den entsprechenden Updates versorgt, sobald diese verfügbar sind. Die Updates werden in der Regel ohne Downtime für Kundensysteme installiert. Sollten Reboots nötig sein, so werden diese vorab auf Hetzner Status angekündigt.

Da die installierten Betriebssysteme dennoch angreifbar sein könnten, sollten Betriebsystemupdates so schnell wie möglich eigenständig installieren. Weitere Informationen zu den Updates finden Sie in den Links unter Software / Operating System.

Die erweiterten CPU Flags (spec_ctrl, ibrs, ssbd, md-clear) werden sukzessive zur Verfügung gestellt. Um diese zu aktivieren, ist es notwendig, daß der virtuelle Server aus- und wieder eingeschaltet wird.



© 2019. Hetzner Online GmbH. Alle Rechte vorbehalten.