Meltdown en Spectre update

Business

In deze blogpost treft u informatie omtrent acties die u zelf kunt ondernemen en de acties die CloudVPS reeds heeft ondernomen om de risico's van de Meltdown en Spectre aanvallen te reduceren of te mitigeren. Ten grondslag aan deze kwetsbaarheden liggen bugs in de fysieke hardware die het mogelijk maken om data te lezen dat zich in bepaalde geheugensectoren van de computer bevindt.

Ondanks dat de aanvallen het gevolg zijn van hardwarematige kwetsbaarheden kan mitigatie op dit moment plaatsvinden door middel van microcode, kernel en hypervisor updates. Vanwege de grote diversiteit aan updates en mogelijke gevolgen daarvan op de werking, stabiliteit en prestaties van uw systeem hebben wij in de onderstaande inventarisatie per platform en besturingssysteem aangegeven welke kwetsbaarheden en updates relevant zijn voor u. Niet ieder besturingssysteem of platform is echter kwetsbaar voor alle drie de verschillende typen aanvallen. Er is daarom voor iedere situatie gespecificeerd welke van de drie aanvallen van toepassing zijn en welke aanvallen, na het updaten, niet meer mogelijk zouden moeten zijn.

Het is belangrijk om u te realiseren dat er tot op heden nog geen publieke aanvallen zijn gedetecteerd met zogenaamde “weaponized exploits” die gebruik maken van deze kwetsbaarheden. Aangezien CloudVPS echter voortdurend werkt aan het verbeteren van de veiligheid van haar digitale omgevingen trachten wij de kwetsbaarheden te verhelpen voordat deze actief misbruikt worden.

De drie onderstaande aanvallen zijn te onderscheid

  • Spectre 1 -  CVE-2017-5753
  • Spectre 2 - CVE-2017-5715
  • Meltdown - CVE-2017-5754

CloudVPS platformen

Bij CloudVPS zijn meerdere virtualisatieplatformen in gebruik die op verschillende technieken zijn gebaseerd. Deze platformen werken op basis van Hyper-V, OpenStack en Xen.

Hyper-V

Onze engineers zijn bezig met het updaten van het Hyper-V platform. Aangezien de fysieke hardware systemen opnieuw zullen moeten worden opgestart is het mogelijk dat uw VPS zal worden gemigreerd naar een nieuwe host om zo de beschikbaarheid  te borgen. U wordt hier, indien dit van toepassing is, middels een individueel bericht van genotificeerd. Nog niet voor het gehele platform zijn er echter al definitieve updates vanuit Microsoft beschikbaar gekomen. Wij werken daarom nauw samen met onze leveranciers om deze alsnog zo snel mogelijk te verkrijgen, te testen en uit te rollen.

OpenStack

Zowel het huidige als nieuwe platform zijn niet kwetsbaar voor Meltdown maar wel voor Spectre 1 en Spectre 2. Er zijn vanuit onze leveranciers en partners echter op dit moment nog geen definitieve en stabiele updates beschikbaar voor de beide OpenStack platformen. Om de platformen up-to-date te brengen werken wij daarom nauw samen met onze leveranciers en partners om de updates zo snel mogelijk te verkrijgen, te testen en uit te rollen.

Xen

Het Xen platformen is kwetsbaar voor zowel Meltdown als Spectre 1 en Spectre 2. De ontwikkelaars van Xen hebben aangegeven dat er op korte termijn geen updates of andere mitigerende maatregelen beschikbaar zullen komen voor Spectre 1 en Spectre 2. Mogelijk zullen er in de toekomst alsnog updates of andere oplossingen beschikbaar komen die deze kwetsbaarheden wel mitigeren. Voor Meltdown komen wel updates beschikbaar aan de hand waarvan wij het Xen platform, waar mogelijk, zullen voorzien van updates.

Besturingssystemen

Van de verschillende Linux en Windows besturingssystemen die door CloudVPS worden aangeboden zijn nog niet alle updates beschikbaar. Hieronder leest u welke kwetsbaarheden in welke besturingssystemen zijn verholpen en welke kwetsbaarheden op een later tijdstip alsnog zullen worden verholpen. Het is aan te bevelen om uw systeem up-to-update te houden en deze te voorzien van de meest recente microcode en kernel updates.

CentOS 6 / 7

Voor de beide besturingssystemen zijn kernel updates beschikbaar gesteld die de kwetsbaarheden gerelateerd aan Meltdown, Spectre 1 en Spectre 2 mitigeren. Microcode updates zijn echter, nadat deze beschikbaar zijn gesteld, weer teruggetrokken uit de standaard update-kanalen van het CentOS project. Vermoedelijk worden deze op een later tijdstip opnieuw beschikbaar gesteld zodra eventuele problemen die geassocieerd kunnen worden met de updates zijn verholpen.

Ubuntu 14.04 / 16.04

Voor beide Ubuntu versies zijn updates beschikbaar gesteld die de kwetsbaarheid achter Meltdown verhelpen. Deze updates verhelpen echter niet de kwetsbaarheden achter Spectre 1 en Spectre 2. In de toekomst zal Canonical, de maker van Ubuntu, deze alsnog beschikbaar stellen.

Debian 7 / 8 / 9

Voor deze drie Debian versies versies zijn updates beschikbaar gesteld die de kwetsbaarheid achter Meltdown verhelpen. Deze updates verhelpen echter, net als bij Ubuntu, niet de kwetsbaarheden achter Spectre 1 en Spectre 2. In de toekomst zullen updates voor Spectre alsnog beschikbaar komen.

Windows Server 2008 R2 / 2012 R2 / 2016

Updates voor deze besturingssystemen verhelpen zowel Meltdown als Spectre 1 en Spectre 2. Voor een volledige mitigatie van Spectre 2 is het, volgens Microsoft, echter ook noodzakelijk om de relevante microcode updates uit te rollen. Deze updates worden door CloudVPS uitgerold middels BIOS updates of via separate microcode updates.

Windows 2008 / 2012

Voor deze Microsoft besturingssystemen zijn geen updates beschikbaar gesteld en is geen datum afgegeven waarop deze alsnog uit zullen komen. Daarom werken wij proactief samen met onze leveranciers om deze alsnog zo snel mogelijk te verkrijgen, te testen en uit te rollen.