Umgang mit Sicherheitslücken in CPUs (Meltdown & Spectre)

  • Mein vServer wurde vor ca. 30 Minuten neu gestartet. Seitdem reagiert er extrem träge. Wenn ich mit vi eine Textdatei öffnen will, dauert es eine halbe Minute bis das geschieht. Serverprogramme haben Probleme mit Verbindungsabbrüchen aufgrund von timeouts usw. Ich habe noch genügend freien Arbeitsspeicher (3GB) und swappe nicht. Hat sonst noch jemand solche Probleme?

  • Mein vServer wurde vor ca. 30 Minuten neu gestartet. Seitdem reagiert er extrem träge. Wenn ich mit vi eine Textdatei öffnen will, dauert es eine halbe Minute bis das geschieht. Serverprogramme haben Probleme mit Verbindungsabbrüchen aufgrund von timeouts usw. Ich habe noch genügend freien Arbeitsspeicher (3GB) und swappe nicht. Hat sonst noch jemand solche Probleme?

    hast schon versucht ob nach einen manuellen Reboot sich etwas anedert?

  • Seb2704 :


    Das sieht nach einem individuellen Problem aus. Bitte wenden Sie sich einmal an den Support mit Verweis auf diesen Beitrag, damit dieser einmal durchcheckt ob am Wirt alles Okay ist. Sieht etwas nach einem fehlenden RAID-Controller-Cache aus.



    Vielen Dank!

  • Seb2704 :


    Das sieht nach einem individuellen Problem aus. Bitte wenden Sie sich einmal an den Support mit Verweis auf diesen Beitrag, damit dieser einmal durchcheckt ob am Wirt alles Okay ist. Sieht etwas nach einem fehlenden RAID-Controller-Cache aus.



    Vielen Dank!

    Been there, done that. ;(

    Aussage war: "Da lief wohl was schief, wir sind dran".

  • Seb2704

    Ich hatte solche Probleme ebenfalls, bei mir war der iowait Wert extrem hoch (über die Nacht nahezu durchgehend bei 100%). Der Support hat mich heute früh dann aufgefordert das Problem im Rettungsmodus nachzustellen, zu dem Zeitpunkt hatte sich das Problem dann aber schon erledigt.


    Hier die Grusel-Graphik für die, die es Interessiert ^^

    cpu-day.png

    (Die Unterbrechungen im Graphen kommen daher, dass Munin keine Daten auf Platte schreiben konnte.)

  • Krass!


    Bei mir scheint iowait allerdings aktuell nicht das Problem zu sein:

    Code
    top - 15:40:50 up 22 min,  2 users,  load average: 0.01, 0.09, 0.26
    Tasks: 120 total,   1 running, 119 sleeping,   0 stopped,   0 zombie
    %Cpu(s):  0.2 us,  0.3 sy,  0.0 ni, 99.2 id,  0.0 wa,  0.0 hi,  0.2 si,  0.2 st
    KiB Mem :  4042828 total,  3240332 free,   456376 used,   346120 buff/cache
    KiB Swap:  3993596 total,  3993596 free,        0 used.  3338436 avail Mem
  • Statusupdate #6:


    Mittlerweile sind > 30% der Root-Server, VPS, Storage-Server und managed pServer so wie managed vServer neugestartet.


    Die Webhosting-Cloud ist zum großen Teil neu gestartet.


    Es gab einen Fehler aufgrund dessen bei einigen Nodes der ACPI-Shutdown nicht richtig funktioniert hat. Dieses konnten wir nachstellen und fixen. Vielen Dank für Ihren Nachdruck in dieser Sache. Es tut uns Leid, dass wir dieses nicht früher erkannt haben.


    Ersatzteile wurden heute geliefert. Für morgen stehen weitere Lieferungen an.


    Die Benachrichtigungen via E-Mail kurz vor den Reboots werden seit heute morgen verschickt.


    Die Arbeiten gehen während der Nacht weiter. Nach ersten Hochrechnungen wird es noch 48 - 56 Stunden dauern, bis alle Systeme geupdatet und nacheinander neu gestartet wurden. Wir haben vorsorglich jetzt mehr Ersatzteile bestellt als es die üblichen Lagerbestände vorsehen.

  • Ich bin super zufrieden,

    meine vServer wurden ordungsgemäß heruntergefahren und anschließen wieder gestartet.

    Eine Frage hätte ich jedoch noch.... Ich bin nicht in das Thema Meltdown & Spectre bestens informiert aber ich habe jetzt schon auf vielen Internetseiten gesehen, dass die Lücke nicht auf allen Betriebsystemen geschlossen sei, mich würde es interessieren wie es dann Netcup möglich ist die Lücke zu schließen? (bitte nicht falsch verstehen ich finde die Aktion von Netcup super, hab zu den Thema wie gesagt nicht besonders viel wissen, deshalb bitte korrigieren wenn ich falsch liege^^)


    Hier ein paar Beispiele:

    Debian Wheezy: https://security-tracker.debian.org/tracker/CVE-2017-5753 (Variante1)

    Debian Jessie: https://security-tracker.debian.org/tracker/CVE-2017-5715 (Variante2)

    Ubuntu: https://people.canonical.com/%…e/2017/CVE-2017-5754.html (Variante3)


    Bounds Check Bypass

    Spectre

    (CVE-2017-5753)

    Variant 2

    Branch Target Injection

    Spectre

    (CVE-2017-5715)

    Variant 3

    Rogue Data Cache Load

    Meltdown

    (CVE-2017-5754)

  • Guten Tag,



    ich habe dazu ja hier bereits einen Link gepostet: https://forum.netcup.de/sonsti…%A4ngste-thema/#post88912


    Darüber hinaus haben wir einen gewissen Vorteil, dass KVM eingesetzt wird. Wir müssen aber alle damit rechnen, dass es weitere Updates geben wird. Das hatte ich ja auch hier schon geschrieben,


    Ich möchte darum bitten das in diesem Beitrag keine Diskussionen zu Spectre und Meltdown an sich geführt werden. Dazu gibt es bereits sehr viele Diskussionen im Internet. Wir müssen es gemeinsam schaffen, dass der Beitrag übersichtlich bleibt. Er soll alleine dem Umgang von netcup mit Meltdown und Spectre so wie den konkreten Fragen zu den Abläufen dienen. Gut 27.000 Menschen lesen hier bereits mit. Wir müssen es schaffen alle interessierten Kundinnen und Kunden zu erreichen.


    Vielen herzlichen Dank!



    Mit freundlichen Grüßen


    Felix Preuß

  • dass die Lücke nicht auf allen Betriebsystemen geschlossen sei, mich würde es interessieren wie es dann Netcup möglich ist die Lücke zu schließen

    Debian und RHEL haben bereits Updates draußen. Ebenfalls ist im Linux Kernel Upstream einiges gefixed - NC kann sich die Kernel auch selber zusammenstellen und kompilieren, ist also nicht auf die Paketmaintainer der Betriebssysteme angewiesen. Ist also nicht abhängig vom Betriebssystem.