Umgang mit Sicherheitslücken ZombieLoad / MDS

  • Sehr geehrte Kundinnen und Kunden,



    derzeit sichern wir unsere Cloud gegen ZombieLoad /MDS ab. Das bedeutet, dass wir sämtliche Systeme einmal neu starten müssen. Wir informieren Sie dazu aktuell per E-Mail. In dieser E-Mail kündigen wir möglichst genau den Zeitpunkt des Reboots an. Haben Sie die E-Mail bzgl. des Reboots noch nicht erhalten, wird dieses die nächsten 14 Tage erfolgen.



    Dieser Beitrag dient für Ihre Fragen und zum Austausch zu dem wichtigen Thema.


    Falls Sie noch nicht wissen was ZombieLoad / MDS ist, empfehlen wir Ihnen folgenden Artikel:


    https://www.heise.de/newsticker/meldung/Neue-Sicherheitsluecken-in-Intel-Prozessoren-ZombieLoad-4421217.html



    Mit freundlichen Grüßen


    Felix Preuß

  • Bzw. können wir den Zeitpunkt selbst triggern?

    Soweit ich die Situation beurteilen kann muss hierfür der ganze Node neugestartet werden und nicht nur die virtuelle Maschine in der deine Umgebung läuft. Daher lässt sich der Zeitpunkt schwer verschieben.

    Aber Ausnahmen soll es ja geben ;)

  • Da die Nodes an sich neugstartet werden müssen sind die Termine der Reboots in normalen kostengünstigen Tarifen nicht planbar. Wir müssen mehrere tausend physikalische Server neu starten. Sie können hier aber sich selbst ein HA-Cluster auf unserer Infrastruktur einrichten. Wir starten keine zwei Generations-Gleiche Tarife eines Kunden parallel neu. Dafür haben wir einen Algorithmus geschaffen.


    Mit freundlichen Grüßen


    Felix Preuß

  • Sind ab jetzt neu gekaufte vServer auch von dem Reboot betroffen? bzw kann man beim neukauf noch auf einem alten landen?


    Mit großer Wahrscheinlichkeit landen Sie bei einer neuen Bestellung auf einem Node, der bereits die neusten Updates hat. Einzig wenn Plätze auf alten Nodes frei werden, kann es dort zu einer Neubefüllung kommen wenn Sie bereits auf allen verfügbaren neuen Nodes Systeme haben.


    Gerne können Sie den Support gezielt danach befragen, wenn Sie viele Systeme (> 50) bei uns haben.



    Mit freundlichen Grüßen


    Felix Preuß

  • Gibt's eventuell ne Möglichkeit, in die Kohorte derjenigen zu gelangen, deren VMs-Hosts als erste geupdatet/rebootet werden (vulgo: Beta-Tester)?

    Ein paar Reboots mehr oder weniger stören mich nicht sonderlich, aber mein Versionsnummerntourette wird ganz unruhig beim Gedanken, dass es noch fast nen Monat dauern wird bis der Node, auf dem meine VM liegt, endlich seine Microcode-Updates kriegt, und die entsprechenden Feature Flags auch an die VMs durchreicht… 🤤

  • In der Informations-Mail steht: "Wenn Sie einen managed Server, managed vServer oder ein Webhosting bei uns nutzen, brauchen Sie nichts weiter zu unternehmen. Wir kümmern uns darum das nach dem Neustart, alle Dienste wie vereinbart arbeiten."


    Fällt ein VPS G8 unter diese Definition? Falls ja: wie wird gesteuert, dass der Server rechtzeitig herunterfährt? Falls nicht: ist es sinnvoll, den Server zeitgesteuert kurz vor Beginn des genannten Zeitraums mit "systemctl poweroff" schlafen zu legen?

  • In der Informations-Mail steht: "Wenn Sie einen managed Server, managed vServer oder ein Webhosting bei uns nutzen, brauchen Sie nichts weiter zu unternehmen. Wir kümmern uns darum das nach dem Neustart, alle Dienste wie vereinbart arbeiten."


    Fällt ein VPS G8 unter diese Definition? Falls ja: wie wird gesteuert, dass der Server rechtzeitig herunterfährt? Falls nicht: ist es sinnvoll, den Server zeitgesteuert kurz vor Beginn des genannten Zeitraums mit "systemctl poweroff" schlafen zu legen?

    Ein VPS ist kein managed Server, du bist selbst dafür zuständig.

    Das letzte Mal wurden die Server via acpi heruntergefahren und wenn sie es nach einer gewissen (großzügigen) Zeit nicht gemacht haben, wurden diese hart ausgeschaltet.

  • Gibt's eventuell ne Möglichkeit, in die Kohorte derjenigen zu gelangen, deren VMs-Hosts als erste geupdatet/rebootet werden (vulgo: Beta-Tester)?


    Der Beta-Test ist schon abgeschlossen.


    Abhängig von Ihrem Tarif können wir schauen, ob wir Sie auf Hardware verschieben können die früher neugestartet wird oder sogar bereits schon neu gestartet wurde.


    Wichtig dafür ist, dass Sie alle Snapshots gelöscht haben, da diese nicht automatisch auf der anderen Hardware funktionieren.


    Da dieser Eingriff recht zeitaufwendig und unser Personal derzeit stark ausgelastet ist, müssten wir dafür einmalig 100 Euro Bearbeitungsgebühr berechnen. Es ist eine Art Schutzgebühr, damit sich nur Kunden melden denen dieses wirklich sehr wichtig ist.


    Bei Interesse wenden Sie sich bitte an unseren Support mit Verweis auf diesen Beitrag.



    Mit freundlichen Grüßen


    Felix Preuß

  • Da die Nodes an sich neugstartet werden müssen sind die Termine der Reboots in normalen kostengünstigen Tarifen nicht planbar. Wir müssen mehrere tausend physikalische Server neu starten. Sie können hier aber sich selbst ein HA-Cluster auf unserer Infrastruktur einrichten. Wir starten keine zwei Generations-Gleiche Tarife eines Kunden parallel neu. Dafür haben wir einen Algorithmus geschaffen.


    Mit freundlichen Grüßen


    Felix Preuß

    Hallo Felix,


    habe auch gerade einige Mails bezüglich der Neustarts erhalten. Ich finde es super von euch, so frühzeitig zu Informieren.

    Jedoch wird mein Cluster fast zeitgleich neu gestartet. Es besteht aus zwei: Root-Server M SSD v6 12M.


    VG

    Thomas

  • Sind inzwischen alle Mails dazu verschickt oder kommen noch welche ?

    Oder anders gefragt: Wenn ich für einen Server noch nichts bekommen habe, ist er nicht betroffen ?

    Hat Felix schon im 1. Beitrag geschrieben:

    Haben Sie die E-Mail bzgl. des Reboots noch nicht erhalten, wird dieses die nächsten 14 Tage erfolgen.