zenbleed

jah · 25. Juli 2023

Hi,

Soweit ich sehe, sind die in den aktuellen Root-Servern eingesetzten EPYCs auch anfällig dafür. Gibt es Pläne, die Server zeitnah upzudaten?

Grüße

J

**[netcup] Christina R.** · 25. Juli 2023

Hi jah,

der Fehler ist uns bereits bekannt und wir arbeiten bereits an einem Fix. Updates findest du hier: https://www.netcup-status.de/2…cherheitsluecke-zenbleed/

jah · 26. Juli 2023

ok, danke für die schnelle Reaktion. Der Test-Exploit wirft tatsächlich nichts mehr aus.

Könnt Ihr sagen, wie das gefixt wurde? uC-Update wäre naheliegend, aber bei laufendem System wohl nicht einfach so machbar. Oder wurde erstmal nur das o.g. chicken-bit gesetzt?

m_ueberall · 26. Juli 2023

Zitat von jah

Könnt Ihr sagen, wie das gefixt wurde? uC-Update wäre naheliegend, aber bei laufendem System wohl nicht einfach so machbar. Oder wurde erstmal nur das o.g. chicken-bit gesetzt?

Wenn auf dem Host keine "EPYC Rome"-CPU zum Einsatz kommt, gibt es noch kein Microcode-Update von AMD, siehe hier. Und Netcup wird sicherlich keine eigenen Microcode-Updates einspielen. Allerdings hat Netcup eben auch vorgenannte CPU-Modelle im Einsatz. Details werden sie aber wohl eher nicht preisgeben.

Code

[2023-07-26T09:21:56+0200] root@vserver02<kvm>:~# canonical-livepatch status --verbose | sed -e 's|\(machine.*\) \(.*\)|\1 (protected)|g' | head -7
client-version: 10.6.0
machine-id: (protected)
architecture: x86_64
cpu-model: AMD EPYC 7452 32-Core Processor
last-check: 2023-07-26T09:15:00+02:00
boot-time: 2023-07-19T14:05:09Z
uptime: 161h16m51s
[2023-07-26T09:22:01+0200] root@vserver02<kvm>:~# dmidecode|grep -iE 'Vendor:' -A2
        Vendor: SeaBIOS
        Version: 1.15.0-1~nc11+3
        Release Date: 04/01/2014
[2023-07-26T09:22:03+0200] root@vserver02<kvm>:~#

Alles anzeigen

**[netcup] Christina R.** · 26. Juli 2023

Wir möchten euch noch bezüglich der AMD-Schwachstelle "Zenbleed" updaten: Gestern haben wir einen Software-Hotfix implementiert, um das Problem zu beheben. Dieser Hotfix stellt jedoch lediglich einen vorübergehenden Workaround dar, der leider zu Lasten der Performance geht. Wir arbeiten mit Hochdruck daran, eine Version bereitzustellen, die weniger Einbußen in der Performance aufweist. Sobald dieser Fix fertiggestellt ist, wird er schrittweise implementiert. Um die Auswirkungen für unsere Kunden möglichst gering zu halten, setzen wir hauptsächlich Migrationen auf Systeme ein, die nicht mehr von dieser Schwachstelle betroffen sind.

jah · 27. Juli 2023

Zitat von m_ueberall

Wenn auf dem Host keine "EPYC Rome"-CPU zum Einsatz kommt, gibt es noch kein Microcode-Update von AMD, siehe hier. Und Netcup wird

sicherlich keine eigenen Microcode-Updates einspielen. Allerdings hat Netcup eben auch vorgenannte CPU-Modelle im Einsatz. Details werden sie aber wohl eher nicht preisgeben.

Deinen Post verstehe ich nicht.

Hat netcup überhaupt nicht-Rome EPYCs im Einsatz (als VServer-Hosts)? M.W. gab es vor den aktuellen EPYCs (7702) nur Xeons.
Betroffen sind nach aktuellem Stand nur Zen2-CPUs (müßte also eigentlich eher zen2bleed heißen) und somit auch nur Rome-EPYCs.
Entsprechend brauchen nicht-Zen2-CPUs kein ucode-Update.
Warum sollte netcup keine ucode-Updates einspielen? Die sind offiziell und freigegeben. Bei gängigen Distributionen werden sie durch normale Paket-Updates eingespielt. (Natürlich sollte man vorher in so einer Umgebung entsprechende Tests damit machen, klar.)
Warum sollte netcup keine Details preisgeben? Gibt ja nur zwei Möglichkeiten, das Problem zu beheben. Aus dem zweiten Post von Christina kann man ja schon schließen, daß als erste Maßnahme das "chicken bit" gesetzt wurde und die ucode-Updates später kommen.

Zitat

cpu-model: AMD EPYC 7452 32-Core Processor

Was ist das für ein Server?

m_ueberall · 27. Juli 2023

Zitat von jah

Warum sollte netcup keine Details preisgeben? Gibt ja nur zwei Möglichkeiten, das Problem zu beheben. Aus dem zweiten Post von Christina kann man ja schon schließen, daß als erste Maßnahme das "chicken bit" gesetzt wurde und die ucode-Updates später kommen.

Es gibt grundsätzlich drei Möglichkeiten (die dritte wurde ebenfalls angedeutet im vorgenannten zweiten Post), aber Details (lies: warum/wann welche Möglichkeit gewählt wird) würden Rückschlüsse auf die von Netcup verwendeten Dienstleister (Linux-Distribution, Hardware) erlauben; hierzu wurden auch in der Vergangenheit keinerlei Aussagen mit Verweis auf das "Betriebsgeheimnis" getroffen, wie man in diesem Forum (oder an anderer Stelle, wo beispielsweise der frühere Geschäftsführer aktiv war) nachlesen kann.

Diese gibt kein größerer Anbieter heraus und bis auf die Tatsache, dass Exploits nicht mehr funktionieren, können sie insbesondere Nutzern von VPS (welche nur eine Teilmenge der CPU-Features nutzen können und bei deren Angeboten die Verwendung einer konkreten CPU auch nicht im Vertrag steht) auch dann egal sein, falls hier eine Migration auf neuere/andere Systeme stattfindet.

Zitat von jah

Was ist das für ein Server?

Die Ausgabe stammt von einer RS-KVM-Instanz, die auf einem nclabs-Host läuft.

Tags