Umgang mit Sicherheitslücken in CPUs (Meltdown & Spectre)

  • mein Server fuhr 15:07 Uhr herunter und war ca. 15:23Uhr wieder da. Alles läuft flüssig und Server fuhr sauber runter.


    Ich weiß, dass es meckern auf hohem Niveau ist, aber wenn ich schon eine Ankündigungsmail bekomme, wäre es gut, wenn ich auch Zeit zum reagieren hätte.

  • Was haben die betreffenden VMs denn für einen CPU-Typ?


    https://twitter.com/berrange/status/950209752486817792

    "ensure KVM guest CPU model you choose has the "pcid" feature, otherwise guests will suffer terrible performance from the Meltdown fixes. This means using a named Haswell, Broadwell or Skylake based model or host passthrough https://t.co/Gzb4EO8wgP"

    Good find!


    Zwei von meinen drei vServern haben PCID. Einer (genau der, der gestern nach dem Update miese Performance hatte), hat kein PCID.


    netcup: Könnt Ihr bitte sicherstellen, dass PCID auf allen Gastinstanzen aktiviert wird?

  • Ich muss jetzt einmal das Ganze hier kritisch bewerten:


    Ich bekam letzten Donnerstag eine Mail von netcup.de, dass wegen einer Sicherheitslücke die Server vermutlich innerhalb der nächsten 72 Stunden neugestartet werden. Bedeutet für mich Donnerstag Mittag, Freitag, Samstag und evtl. Sonntag (weiß nicht wie die Arbeitszeiten sind).


    Mein Team und ich haben alles so schnell wie möglich beendet und die Server heruntergefahren.
    Hier in diesem Thread wird dann erläutert, dass die Server die den AutoStart aktiviert haben, automatisch hochfahren. Das war bei allen unseren Server der Fall.

    Wir haben also gewartet bis die Server wieder online waren und das war auch so nach einem Tag.
    Ich habe das hier im Thread nochmal abgesprochen und der Felix (Geschäftsführer) hat mir das genauer erklärt und ich habe dann das Update als
    durchgelaufen bestätigt gesehen.
    Wir haben also alle Dienste wieder gestartet.
    Nun kommt das Blöde, wie ich finde: Ich bekam eine Mail, dass mein Server wie angekündigt in den nächsten 60 Minuten neugestartet wird. Ich wollte alles herunterfahren und sah, dass alles schon vorbei war. Beim ersten Server ging alles noch gerade so durch. Aber beim zweiten Server hat es einige Daten des MC-Servers zerstört. Diese Daten lassen sich regenerieren, oder vom Backup ziehen, aber ärgerlich ist das schon.


    Mich stört nur, dass die zwei Mails über den Server-Neustart keine Vorlaufzeit von 15 Minuten hatten.


    Also entweder habe ich jetzt die ganzen Mails komplett falsch verstanden oder netcup.de hat es nicht richtig erklärt. Kann man mir das bitte erklären?


    P.S.: An den Geschäftsführer Felix: Ich weiß es ist unhöflich einfach jemanden beim Vornamen anzusprechen. Im Forum tauchte Ihr Nachname nicht auf, weswegen ich Sie jetzt direkt beim Vornamen genannt habe.

  • Good find!


    Zwei von meinen drei vServern haben PCID. Einer (genau der, der gestern nach dem Update miese Performance hatte), hat kein PCID.


    netcup: Könnt Ihr bitte sicherstellen, dass PCID auf allen Gastinstanzen aktiviert wird?

    Bei meinem vServer ist soweit alles glatt gelaufen, allerdings ist die Performance auch deutlich eingebrochen und bereits die Konsole reagiert merklich träger. /proc/cpuinfo liefert bei mir auch kein PCID feature (Intel Westmere E56xx/L56xx/X56xx (Nehalem-C), cpu family 6, model 44). Einen weiteren manuellen Reboot habe ich bereits durchgeführt; ohne Verbesserung.

    Es ist natürlich nicht klar, ob es etwas mit dem PCID feature zu tun hat.

  • Bei meinem vServer ist soweit alles glatt gelaufen, allerdings ist die Performance auch deutlich eingebrochen und bereits die Konsole reagiert merklich träger. /proc/cpuinfo liefert bei mir auch kein PCID feature (Intel Westmere E56xx/L56xx/X56xx (Nehalem-C), cpu family 6, model 44). Einen weiteren manuellen Reboot habe ich bereits durchgeführt; ohne Verbesserung.

    Es ist natürlich nicht klar, ob es etwas mit dem PCID feature zu tun hat.

    War bei mir gestern auch so. Neustart gegen 15 Uhr. Bis abends (ca. 18-20 Uhr) hatte sich die Situation dann schon wieder spürbar gebessert. Ich tippe ja auf ein leicht überfordertes Hostsystem, wenn alle Gastsysteme gleichzeitig starten. Kannst du mal nach dem iowait schauen (per top die Angabe "wa" über der Tabelle)?

  • War bei mir gestern auch so. Neustart gegen 15 Uhr. Bis abends (ca. 18-20 Uhr) hatte sich die Situation dann schon wieder spürbar gebessert. Ich tippe ja auf ein leicht überfordertes Hostsystem, wenn alle Gastsysteme gleichzeitig starten. Kannst du mal nach dem iowait schauen (per top die Angabe "wa" über der Tabelle)?

    Mein Restart war schon gestern Nachmittag. In der Tat liegt es am iowait. Vermutlich muss der Node sich noch etwas länger beruhigen.

  • Mein VServer wurde heute mittag neu gestartet. Ich komme aber leider nicht mehr auf die VNC Console. Da steht nur "No Tunnel Created". Der Button "Verbindung herstellen" zeigt keinen Erfolg.


    Ist das bekannt?

  • Mein Server ist nach dem Neustart nun über 3 Stunden down!!!!!!!!!!!!!!!!!!!


    Ich komm per VNC drauf, aber von außen ist er nicht mehr erreichbar. Webserver & SSH neugestartet, ohne Fehler...dennoch ich komme von außen nicht auf den Server!


    Weiß jemand was da sein kann? Irgendwelche Netzwerkeinstellungen zerhauen?

    • Offizieller Beitrag

    Mein Server ist nach dem Neustart nun über 3 Stunden down!!!!!!!!!!!!!!!!!!!


    Ich komm per VNC drauf, aber von außen ist er nicht mehr erreichbar. Webserver & SSH neugestartet, ohne Fehler...dennoch ich komme von außen nicht auf den Server!


    Weiß jemand was da sein kann? Irgendwelche Netzwerkeinstellungen zerhauen?


    Rettungssystem probiert?

  • Ich komme über VNC drauf. SSH läuft, Webserver läuft. Von außen komm ich aber nicht mehr per SSH drauf, auch nicht über Webbrowser. Anpingen lässt sich der Server aber. Was kann der Grund sein? Netzwerkprobleme?

  • Mein VServer wurde heute mittag neu gestartet. Ich komme aber leider nicht mehr auf die VNC Console. Da steht nur "No Tunnel Created". Der Button "Verbindung herstellen" zeigt keinen Erfolg.


    Ist das bekannt?

    das scheint kein Einzelfall zu sein, ich habe das gleiche Problem und habe es dem Support aber schon gemeldet.


    EDIT: der Fehler ist wohl in den letzten Minuten behoben worden, VNC funktioniert jetzt wieder



    vielen Dank an das ganze Netcup Team für die Arbeit zur Problemlösung der Aktuellen Sicherheitslücken.

    Netcup ist und bleibt für mich der beste Anbieter :)

  • Da bin ich erstmal beruhigt dass das nicht an mir liegt, aber das ist leider kein Trost aktuell für mich:(

    Das ist ein Produktivserver und so ein Ausfall vor allem über Stunden darf einfach nicht sein :( Bitte netcup macht da was! Danke!

  • EDIT: der Fehler ist wohl in den letzten Minuten behoben worden, VNC funktioniert jetzt wieder



    vielen Dank an das ganze Netcup Team für die Arbeit zur Problemlösung der Aktuellen Sicherheitslücken.

    Netcup ist und bleibt für mich der beste Anbieter :)


    Das kann ich bestätigen. VNC Console funktioniert wieder! :)

  • Da bin ich erstmal beruhigt dass das nicht an mir liegt, aber das ist leider kein Trost aktuell für mich:(

    Das ist ein Produktivserver und so ein Ausfall vor allem über Stunden darf einfach nicht sein :( Bitte netcup macht da was! Danke!

    siehst du per VNC eine IP deines Servers, wenn nicht hinterlege diese fest

    • Offizieller Beitrag

    Ich komme über VNC drauf. SSH läuft, Webserver läuft. Von außen komm ich aber nicht mehr per SSH drauf, auch nicht über Webbrowser. Anpingen lässt sich der Server aber. Was kann der Grund sein? Netzwerkprobleme?

    Wenn der Server anpingbar ist, ist die Netzwerkanbindung ja gegeben. Vermutlich liegt es hier eher an einer fehlerhaft konfigurierten Firewall, oder es gibt Probleme mit den in der VM installierten Systemdiensten.

  • Moin,

    wie ist denn der aktuelle Status? Wann ist die Aktion circa durch? Mein System hat noch keinen Reboot bekommen und ich wüsste gern wann ich aufhören kann angst zu haben, dass alles nicht mehr sauber läuft :D