Wat zijn de MDS CPU-bugs en wat doet Combell eraan?

Ga meteen naar de laatste update

Je herinnert je misschien nog dat begin vorig jaar er een heel aantal veiligheidsproblemen zijn gevonden in de processoren van Intel. Helaas hebben gisteravond (dinsdag 14 mei) Nederlandse onderzoekers bekendgemaakt dat ze nieuwe kwetsbaarheden gevonden hebben, opnieuw in de processoren van Intel (genaamd Ridl, Fallout en ZombieLoad). Door deze kwetsbaarheden is het mogelijk om kleine hoeveelheden data te verkrijgen die door de processor verwerkt worden, terwijl deze normaal afgeschermd zouden moeten zijn.

zombieload-ridl-fallout-cpu-bug-mds

 

Wat is juist het probleem?

De zogenaamde Microarchitectural Data Sampling oftewel MDS-attacks gebruiken een kwetsbaarheid in het systeem van 'speculative execution'. Hierbij probeert de CPU te voorspellen welke instructies apps of besturingssystemen in de nabije toekomst gaan uitvoeren. Voor betere performance worden die processen dan al verwijderd, uitgevoerd of geladen. En net bij dat laden kan gevoelige informatie (zoals bv. wachtwoorden) worden opgehaald die daarna misbruikt zou kunnen worden.

Voor verdere diepgaande technische informatie kan je terecht op https://mdsattacks.com of https://cpu.fail.

 

Wat doet Combell om het probleem op te lossen?

Gelukkig zijn er al heel veel softwareupdates beschikbaar sinds het nieuws bekend is geworden, maar toch blijft het nog wachten op updates en patches voor specifieke onderdelen van onze infrastructuur. Het is nodig om elke laag van onze infrastructuur te updaten, anders heeft het weinig zin en blijven er risico’s. In ons labo zijn we de updates die we al hebben sinds deze ochtend volop aan het testen om de impact op onze systemen goed te begrijpen.

Alle infrastructuur die moet gepatcht worden is al in kaart gebracht zodat we snel aan de slag kunnen van zodra we over alle updates beschikken. We vermoeden dat dit de komende dagen het geval zal zijn.

Van zodra we alle updates hebben, starten we met het uitrollen van de patches op de onderliggende structuur. Voor klanten op de Combell Cloud kan dit zonder onderbreking. Indien er updates moeten gebeuren binnen de server zelf zullen we deze binnen de afgesproken maintenance window uitrollen, na uitvoerige tests.

Volg zeker onze blog (we posten hier updates van zodra we ze hebben) en onze statuspagina.

Update 16/05/2019

  • Afgelopen nacht hebben we op al onze managed Linux servers voor Solutions-klanten de Debian patches uitgerold om dit probleem te verhelpen.
  • Aankomende nacht zullen er ook updates worden geïnstalleerd op de nodes van de onze hostingcluster. We verwachten minimale onderbrekingen op websites aankomende nacht van maximum 5 minuten.
  • Gelijktijdig worden er ook nog voorbereidingen getroffen om andere platformen (zoals VPS, OpenStack, ...) te updaten. Hierover geven we later meer informatie als alle updates beschikbaar zijn.