PHP-Friends - a part of dataforest GmbH · @phpfriends
4th Jan 2018 from TwitLonger
Dringende Wartungsarbeiten zur Einspielung von Sicherheitsupdates
Wie Sie vermutlich bereits aus den Medien erfahren haben, wurden gestern massive Sicherheitslücken (Meltdown / Spectre) in Intel-Prozessoren bekannt. Spätestens seit heute Morgen berichten aufgrund der großen Tragweite nicht mehr nur IT-spezifische Medien über das Problem. Sogar die Tagesschau hat einen Artikel dazu veröffentlicht. Neuere Informationen legen nahe, dass nicht ausschließlich CPUs von Intel betroffen sind, und zumindest einzelne Angriffsszenarien auch bei CPUs anderer Hersteller möglich sind. Da wir nur Intel-CPUs einsetzen, sind andere Szenarien für uns nicht relevant.
Wir schätzen dieses Sicherheitsproblem als sehr kritisch ein. Zwar gibt es aktuell keine Berichte, nach denen vollvirtualisierte Umgebungen unter den bei uns vorherrschenden Bedingungen angreifbar sind, also das Auslesen fremder Speicherbereiche möglich wäre. Dennoch möchten wir in Sicherheitsfragen kein Risiko eingehen. Aus diesem Grund werden wir die entsprechenden Updates umgehend einspielen, sobald sie für die jeweiligen Systeme verfügbar sind und erfolgreich von uns getestet wurden. Die Sicherheitsupdates erfordern einen Reboot sämtlicher Server, die wir betreiben. Wir bitten um Verständnis dafür, dass wir hier keine exakten Termine benennen können, da wir die Arbeiten so bald wie möglich ausführen möchten, um die Sicherheit Ihrer und unserer Systeme nicht zu gefährden.
Kunden mit einem SSD-Server können mit einer Downtime von fünf bis zehn Minuten rechnen. HDD-Systeme benötigen für den Neustart naturgemäß etwas länger, sodass wir hier von etwa 15 Minuten ausgehen. Auch unsere eigene Infrastrukur (Webseite, Verwaltungsoberflächen, …) wird für wenige Minuten nicht verfügbar sein. Unsere Webhosting-Server werden ebenfalls neugestartet und daher maximal 15 Minuten nicht erreichbar sein. Wir rechnen je nach System mit einer Verfügbarkeit entsprechender Updates innerhalb der nächsten Stunden bis Tage.
Wir möchten darauf hinweisen, dass Sie den Kernel bzw. das Betriebssystem Ihres Servers ebenfalls aktualisieren müssen, sobald für dieses ein entsprechendes Update verfügbar ist, um sich vor den Sicherheitslücken zu schützen. Sofern Sie dies erledigen, bevor wir alle (v)Server neustarten, müssen Sie anschließend keinen eigenen Reboot auslösen. Für den Fall, dass Sie Ihren Server erst nach den von uns durchgeführten Reboots aktualisieren, müssen Sie noch einen Reboot durchführen, damit das Update aktiv wird.
Kunden mit einem managed Server müssen nichts weiter unternehmen, da wir diese eigenhändig updaten und die Funktionalität aller Dienste nach dem Reboot sicherstellen. Selbiges gilt für unsere Webhosting-Kunden.
Wichtig: Bitte stellen Sie sicher, dass Ihr vServer "rebootresistent" konfiguriert ist, also sämtliche von Ihnen benötigte Software beim Booten startet und beim Herunterfahren sauber gestoppt wird.
Windows-Nutzer möchten wir darauf hinweisen, dass Ihr Server auf den Shutdown-Befehl vom Hostsystem reagieren muss, da es ansonsten zu einem harten Ausschalten des Systems kommt, was zu Datenverlust führen kann. Dieses Verhalten muss ggf. erst konfiguriert werden: http://devel.itsolution2.de/wordpress/2011/08/02/kvm-und-virsh-shutdown/ (ab "Änderungen bei Windows")
Ebenfalls an Windows-Nutzer richtet sich der Hinweis, dass Windows beim Herunterfahren offene Updates finalisiert. Falls Sie ausstehende Updates haben, führen Sie notwendige Reboots bitte vor unseren Arbeiten aus, da der Zeitrahmen für den Shutdown sonst nicht ausreicht und Ihr System hart ausgeschaltet wird.
Abschließend möchten wir noch auf die Medienberichte eingehen, nach denen mit massiven Performance-Verlusten durch die notwendigen Patches zu rechnen ist. Unsere Hostsysteme verfügen über durchschnittlich mindestens 50% freie CPU-Ressourcen, sodass wir mögliche Einbußen abfedern können. Diese schätzen wir zudem eher gering ein, da wir moderne Prozessoren einsetzen, die laut aktuellen Erkenntnissen durch die Updates nicht relevant langsamer werden sollen.
Sobald wir mit allen Reboots durch sind, werden wir dies über unsere Social-Media-Kanäle bekanntgeben. Weitere Informationen zu dem Problem finden Sie beispielsweise in folgenden Artikeln:
https://www.heise.de/security/meldung/Gravierende-Prozessor-Sicherheitsluecke-Nicht-nur-Intel-CPUs-betroffen-erste-Details-und-Updates-3932573.html
http://www.tagesschau.de/ausland/intel-sicherheitsluecke-101.html
Sollten Sie noch Fragen haben, steht Ihnen unser Support gerne zur Verfügung.
Unsere vServer-Kunden wurden bereits im Vorfeld per E-Mail informiert.