Informationen über die Sicherheitslücken Meltdown und Spectre
Version 2.8, 14.06.2018
Die Sicherheitslücken Meltdown (CVE-2017-5754) und Spectre (CVE-2017-5753, CVE-2017-5715) wurden am 3. Januar 2018 offiziell veröffentlicht. Dabei sind laut Berichten Prozessoren von Intel, AMD und ARM betroffen, welche die folgenden Auswirkungen haben können und vom Project Zero beschrieben wurden:
- Variante 1: bounds check bypass (CVE-2017-5753), (Spectre)
- Variante 2: branch target injection (CVE-2017-5715), (Spectre)
- Variante 3: rogue data cache load (CVE-2017-5754), (Meltdown)
Die Sicherheitslücken ermöglichen Programmen, die mit normalen eingeschränkten Rechten im sogenannten User Space laufen, einen Zugriff auf geschützte Bereiche des Arbeitsspeichers (Kernel Memory) zu erhalten.
Betroffene Prozessoren
| Hersteller | Betroffene CPU's | Variante 1 (Spectre) | Variante 2 (Spectre) | Variante 3 (Meltdown) |
|---|---|---|---|---|
| AMD | Bislang keine Details bekannt. | Ja | Gem. AMD near-zero-risk | Nein |
| ARM | Cortex | Ja | Ja | Ja |
| Intel | CPUs mit Out-Of-Order Execution (CPUs seit 1995, ausgenommen Itanium und Atom vor 2013) | Ja | Ja | Ja |
Stand 11. Januar 2018
Betroffene Produkte
Diese Produkte sind nach aktuellem Stand von der Variante 1 betroffen:
- Linux Virtual Server Pro
- Windows Virtual Server Pro
- Virtual Server 2.0 Linux
- Virtual Server 2.0 Windows
- Linux Dedicated Server Pro
- Windows Dedicated Server Pro
- NAS-Cloud
- Cloud Services
Produkte in Abklärung
Diese Produkte werden noch abgeklärt und wenn nötig der oberen Liste hinzugefügt
- Keine weiteren Produkte
Updates / Upgrades
Hardware, BIOS und Firmware
Zum Schliessen der Sicherheitslücke sind unter Umständen Microcode Updates erforderlich, welche ein Update des BIOS erfordern würden. Wir arbeiten entsprechend mit den Herstellern zusammen.
Entsprechende Updates auf den Hostsystemen werden von uns so schnell wie möglich ausgerollt. Über entsprechende Unterbrüche werden wir die betroffenen Kunden via Newsletter informieren. Wenn möglich werden die se ohne Auswirkungen für den Kunden erfolgen.
Betriebssystem und Software
Informationen über den Update-Status der Betriebssysteme erhalten Sie auf den entsprechend Webseiten. Die wichtigsten Links haben wir Ihnen hier zusammengestellt:
Webbrowser
Die Sicherheitslücke Meltdown und Spectre können auch über den Webbrowser ausgenutzt werden. Wir empfehlen daher den Browser immer auf dem aktuellsten Stand zu halten.
Die Hostsysteme werden durch uns so schnell wie möglich mit den entsprechenden Updates versorgt. Unterbrüche durch Reboots werden nach Möglichkeit ohne Unterbrüche für die Kunden ausgeführt. Wenn dies nicht möglich ist, werden die betroffenen Kunden mittels Newsletter informiert.
Da Ihr System trotzdem angreifbar bleibt, sollten Sie umgehend das eingesetzte Betriebssystem auf dem aktuellsten Stand halten.
Aktueller Stand der Produkte
Die von Softronics eingesetzten CPUs sind gemäss Herstellerangaben vom 11.01.2018 nicht vom Meltdown betroffen. Die Hostserver und unsere Infrastruktur werden wir so schnell wie möglich mit den vorhandenen Sicherheitslösungen testen. Wenn die Tests erfolgreich abgeschlossen sind, wird der Rollout(Wie viele wissen was ein Rollout ist?) entsprechend zügig durchgeführt. In der Regel versuchen wir dies ohne Beeinträchtigung für unsere Kunden zu machen. Sollte dies nicht möglich sein, werden wir die betroffenen Kunden per Newsletter über die Unterbrüche informieren.
| Produkt | Auswirkungen | BIOS aktuell | OS aktuell |
|---|---|---|---|
| Host Server "Linux Virtual Server Pro" | Variante 1 | Ja | In Abklärung |
| Host Server "Windows Virtual Server Pro" | Variante 1 | Ja | In Abklärung |
| Host Server "Virtual Server 2.0 Linux" | Variante 1 | Ja | Tests laufen |
| Host Virtual Server 2.0 Windows | Variante 1 | Ja | Tests laufen |
| Linux Dedicated Server Pro | Variante 1 | Offen | Verantwortung Kunde1 |
| Windows Dedicated Server Pro | Variante 1 | Offen | Verantwortung Kunde1 |
| NAS Cloud | Variante 2 | Offen | Verantwortung Kunde1 |
1OS aktuell halten und Patchen liegt in der Verantwortung des Kunden
Verantwortung Kunde
Da die installierten Betriebssysteme auf unseren Virtual- und auf den Dedicated-Servern auch angreifbar sind, empfehlen wir Ihnen dringend die Updates, so bald diese stabil zur Verfügung stehen, einzuspielen. Für die NAS-Cloud stehen aktuell (19.01.2018) noch keine Microcodes oder Patches zur Verfügung.
Weiter empfehlen wir Ihnen auch die Anwendungen auf dem aktuellen Stand zu halten.
Gerne unterstützen wir Sie bei den nötigen Arbeiten. Nehmen Sie dazu bitte Kontakt mit unserem Support auf.
| Produkt | Auswirkungen | BIOS Update1 | OS Update2 | Software Update3 |
|---|---|---|---|---|
| Linux Virtual Server Pro | Variante 1 | Nein | Ja | Ja |
| Windows Virtual Server Pro | Variante 1 | Nein | Ja | Ja |
| Virtual Server 2.0 Linux | Variante 1 | Nein | Ja | Ja |
| Virtual Server 2.0 Windows | Variante 1 | Nein | Ja | Ja |
| Linux Dedicated Server Pro | Variante 1 | Offen | Ja | Ja |
| Windows Dedicated Server Pro | Variante 1 | Offen | Ja | Ja |
| NAS Cloud | Variante 2 | Ja | Ja | Ja |
1Kunde kann BIOS-Updates durchführen
2Kunde kann OS-Updates durchführen
3Kunde kann Software und Applikationen updaten
Weitere Informationen
- Mitentdecker warnt vor erstem Schadcode (heise.de, 11.01.2018)
- Google patcht eigene Server ohne Leistungsverlust (GameStar.de, 15.01.2018)
- Return trampolin, Retpoline (Google.com)
- Intel warnt vor eigenen Patches (CHIP.de, 23.01.2018)
- Managing Speculation on AMD Processors Whitepaper (amd.com, 24.01.2018)
- Übersicht Intel Prozessor Updates (Intel.com, 08.02.2018)
- Intel veröffentlicht für Kaby-, Coffee -Lake und Skylake Microcodes (Intel.com, 21.02.2018)
- Microsoft März-Patchday bringt weitere Fixes für Meltdwon & Spectre (Microsoft, 13.03.2018)
- Microsoft April 2018 Update bringt Hilfe für AMD-Prozessoren (Microsoft 16.04.2018)
- Microsoft Juni 2018 Unterstützung für Speculative Store Bypass Disable (Microsoft 12.06.2018)
Änderungshistorie
- Version 2.8, 14.06.2018. Microsoft Juni Update
- Version 2.7, 16.04.2018. Microsoft April Update
- Version 2.6, 11.04.2018, AMD Spectre Mitigation Update
- Version 2.5, 14.03.2018, Microsoft März-Patchday
- Version 2.4, 21.02.2018, Microdes für Intel Skylab und Serverprozessoren
- Version 2.3, 12.02.2018, Übersicht Intel Prozessor Updates
- Version 2.2, 25.01.2018, Managing Speculation on AMD Processors Whitepaper hinzugefügt
- Version 2.1, 23.01.2018; Information zu aktuellen Intel Patches hinzugefügt
- Version 2.0, 19.01.2018; Status der Produkte hinzugefügt
- Version 1.5, 18.01.2018; Link auf Retpoline hinzugefügt
- Version 1.4, 17.01.2018; Cloud Services zu betroffene Systeme hinzugefügt
- Version 1.3, 16.01.2018: Informationen zu NAS-Cloud und Debian ergänzt
- Version 1.2, 15.01.2018; Informationen zu Webbrowser
- Version 1.1, 15.01.2018; NAS-Cloud zu betroffene Systeme hinzugefügt
- Version 1.0, 10.01.2018: Initiale Version mit dem aktuellen Stand