Update: Ernstige Intel CPU bug

 

Update 12 januari 2018 17:30
Op een paar uitzonderingen na zijn al onze klantsystemen intussen geüpdatet. Volgende week gaan we verder met updaten van onze interne systemen. Tijdens het updaten kan er een kleine onderbreking van onze dienstverlening ontstaan. Vandaar dat de updates zullen plaatsvinden buiten de reguliere uren. Wij houden je hiervan op de hoogte.

Update 9 januari 2018 18:18
Al onze VPS klanten hebben e-mail ontvangen met de volgende tekst en uitleg:

Bedankt dat u voor een Greenhost VPS hebt gekozen.

Naar aanleiding van onze e-mail van vorige week over de Intel bugs Meltdown en Spectre, willen we u graag verder informeren over Debian en Ubuntu stock kernels.
Vanwege de laatste Meltdown patches en de manier waarop ons VPS platform gehost wordt na het Meltdown incident, worden stock kernels niet langer ondersteunt op ons platform.
Hierdoor is het belangrijk om je VPS te rebooten, dit kunt u zelf verzorgen tot en met donderdag. Dit kan gedaan worden door op ‘uitschakelen’ en ‘inschakelen’ te klikken via ons service center. (een normale reboot is niet voldoende)
Op vrijdag forceren we een reboot voor de machines waarbij dit nog op dat moment niet gebeurd is.

Voor onze klanten die Docker gebruiken in samenwerking met de aufs storage driver, deze wordt uitgefaseerd deze week. Hier komt de overlayfs driver voor in de plaats, welke tevens wordt aanbevolen door Docker.

Als u vragen of opmerkingen heeft, aarzel dan niet om contact met ons op te nemen.

Update 5 januari 2018 17:00
Wij hebben diverse aanpassingen gemaakt om overweg te kunnen de CPU bugs die momenteel de wereld teisteren. De bugs, die Meltdown en Spectre genoemd zijn, zijn niet zonder meer op te lossen. Uiteindelijk kan (waarschijnlijk) alleen een vervanging van CPU’s soelaas bieden. Intel (en andere fabrikanten) hebben nog geen CPUs op de markt gebracht die hiertegen beveiligd zijn. Wat hebben we dan wel kunnen doen? 

Meltdown: De bug die onder deze noemer valt is redelijk goed op te lossen. We hebben onze Linux kernels bijgewerkt naar de laatste versie. Omdat wij Xen virtualisatie als platform gebruiken, is de verwachte impact op de server prestaties voor de normale gebruiker sowieso beperkt. Om een hogere veiligheid te kunnen aanbieden, hebben we besloten om een ander type virtualisatie binnen de Xen hypervisor te gaan gebruiken. Wij zijn nu bezig met deze migratie.

Na deze migratie zijn (in theorie) alle systemen, op alle niveaus, adequaat beveiligd tegen Meltdown.

Spectre: Deze bug is een stuk hardnekkiger: Onze CPU’s zijn uitgevoerd met een extra veiligheidslaag (SMEP) die misbruik van deze bug moeilijk, maar niet onmogelijk maakt. Op dit moment zijn diverse leveranciers aan het bekijken of dit probleem in software is op te lossen of niet.

De risico’s: Er is (vooralsnog) geen methode bekend waarbij kwaadaardige software kan worden uitgevoerd door middel van misbruik van deze bugs. Wel zou het mogelijk zijn om gegevens van naastliggende systemen (meestal van een andere klant) buit te maken. Op het moment van schrijven is niet duidelijk hoe complex het misbruiken van deze bug zou zijn is en met welke snelheid dat zou werken. Met de kennis van nu lijkt het in ieder geval niet eenvoudig. Voor een betere oplossing zullen we de ontwikkelingen op dit vlak moeten afwachten.

Update: 4 januari 2018 19:10
Shared hosting is ondertussen bijgewerkt. Wellicht dat we voor de verbetering van de snelheid nog eenmaal de shared hosting server moeten herstarten.
Wat betreft de VPS’s: voor de noodzakelijke update gaan wij de VPS kernel updaten naar 4.14.11 of later. Hiervoor moeten de VPS’s eenmalig worden gereboot. Morgen zal het grootste deel van de VPS worden geüpdatet. Verder wijzen de eerste tests uit dat de snelheidsbeperking van de update voor zowel de Shared hosting als de VPS meevallen.

Update: 4 januari 2018 17:45
Op dit moment leggen we de laatste hand aan het patchen van onze hostingplatform. Dit houdt in dat de bugs die we kunnen oplossen zoveel mogelijk zijn opgelost. Voor onze Cloud zijn we op zoek gegaan naar een andere manier van virtualiseren om het probleem zoveel mogelijk te isoleren. Dit is nu in een testfase en VPS’ zullen de komende dag(en) herstart moeten worden.

Update: 4 januari 2018 14:55
Ons team is bezig geweest om manieren te vinden om onze hostingnodes nog beter te beveiligen. Ondertussen hebben verschillende leveranciers updates geleverd, waar mogelijk, over hoe we de bugs kunnen tegengaan, maar nog lang niet alle benodigd informatie is binnen. Wij zijn dan ook verder aan het onderzoeken hoe we het beste ons platform kunnen beveiligen, waar dit mogelijk is.

Update: 3 januari 2018 18:47
Gisteren is een nieuwe Intel-bug bekend geworden die alle computers met moderne Intel processors raakt. Zie onder andere het artikel op Tweakers voor meer informatie. Dit betekent dat er vanaf morgen (4 januari) een noodonderhoudsvenster op de Greenhost servers wordt gepland, wat kan leiden tot een onderbreking in de bereikbaarheid van uw website of Virtual Private Server(s) buiten de normale onderhoudsvensters om.

Zoals de meeste hosting providers, gebruikt Greenhost ook Intel processoren voor haar hosting en cloud infrastructuur. Dit betekent dat onze servers ook vatbaar zijn voor deze beveiligingsproblemen. De huidige Intel CPU bug is dusdanig ernstig van aard dat deze niet kan worden geïsoleerd met de gebruikelijke methoden. Dit betekent dat wij zo snel mogelijk moeten ingrijpen om het platform tegen externe aanvallen te beschermen. Dit probleem is niet alleen gelimiteerd tot de Greenhost infrastructuur; Verschillende andere (grote) cloud providers hebben tevens herstart van hun platforms ingepland in de komende weken om dit probleem op te lossen.

De exacte ernst van de bug is nog niet openbaar gemaakt, maar het ziet er naar uit dat verschillende besturingssystemen het zien als een zeer serieus probleem dat niet zomaar opgelost kan worden met een kleine update. Onze klanten kunnen ervan uitgaan dat we nieuws hierover nauw in de gaten gaan houden. Waar mogelijk hebben we al een updates uitgevoerd binnen de infrastructuur, terwijl we wachten op meer informatie van onze leveranciers.

Zodra we de updates van onze leveranciers ontvangen, zullen we onze hosting en cloud infrastructuur updaten. Dit zou een tijdelijk beperkte bereikbaarheid van onze diensten kunnen betekenen. Uiteraard proberen we dit tot een minimum te beperken.

Vanwege de aard van de update kan een verlies van prestaties optreden. Helaas kunnen we op dit moment niet inschatten hoe groot de impact is en zullen we moeten evalueren of extra resources nodig zijn na de update.

Als u meer te weten wilt komen over de technische details van deze bug, verwijzen we u graag naar de artikelen op Tweakers en The Register (Engels).

We zullen u op de hoogte houden via de Greenhost Website en Twitter.

 

Het Greenhost team

Type : Storingsmelding
Gemeld op 2018-01-03