Kwetsbaarheden in processoren

General

Het zal u ongetwijfeld niet zijn ontgaan dat er de afgelopen twee dagen met grote regelmaat nieuws is over de zogenaamde "Meltdown" en "Spectre" kwetsbaarheden. Deze kwetsbaarheden zijn het gevolg van een aantal bugs die zich bevinden in alle moderne processoren van de grootste processorfabrikanten waaronder Intel, AMD en ARM. Succesvolle exploitatie van deze kwetsbaarheden maakt het voor een aanvaller mogelijk om data te lezen dat zich in het geheugen van een computer bevindt. 

Data opgeslagen in het geheugen

Aangezien in het geheugen van een computer vaak gevoelige data staat zoals encryptiesleutels of wachtwoorden, vormen deze kwetsbaarheden een groot risico voor cloudplatformen. Deze maken namelijk gebruik van virtualisatie om de beschikbare fysieke hardware te verdelen over meerdere virtuele machines. De gebruikers van virtuele machines op deze omgevingen zouden dergelijke kwetsbaarheden kunnen inzetten om data van andere virtuele machines uit te lezen als deze op dezelfde fysieke hardware actief zijn. Als de virtualisatiesoftware hier niet adequaat tegen beschermd is, is het mogelijk dat data uit het geheugen van een computer "lekt".

Maatregelen die CloudVPS neemt

Omdat wij bij CloudVPS, vanuit onze Security & Compliance doelstellingen, er te allen tijde naar streven om de beveiliging van onze platformen en daarmee de data van onze klanten zo goed mogelijk te borgen, hebben wij naar aanleiding van deze kwetsbaarheden direct actie ondernomen.

Er is contact opgenomen met onze softwareleveranciers die de virtualisatiesoftware voor de Xen-, Hyper-V- en OpenStack-platformen ontwikkelen om de impact in kaart te brengen. Daarnaast zijn wij gestart om, in samenwerking met onze leveranciers, in kaart te brengen op welke termijn updates, die de kwetsbaarheden effectief mitigeren, mogelijk beschikbaar komen en zouden kunnen worden uitgerold op de platformen. Wij verwachten onze klanten daarom de komende dagen meer en gedetailleerdere informatie te kunnen verschaffen over de gevolgen die mogelijke updates voor de beschikbaarheid van uw virtuele servers hebben. Via onze CloudVPS blog voorzien we u daarnaast van de laatste statusupdates.