Sicherheitslücke in KVM/QEMU - Neustart ist zeitnah erforderlich

  • Sehr geehrte Kundinnen und Kunden,



    aus gegebenen Anlass möchten wir auch hier auf folgende Meldung hinweisen:



    Aktuell gab es eine Sicherheitslücke in der von uns eingesetzten Virtualisierungstechnik KVM. Durch diese Sicherheitslücke konnten einzelne KVM-Instanzen per DoS lahm gelegt werden.



    Wir haben die betroffene Software direkt aktualisiert.


    Folgende Produktsparten waren von dieser Sicherheitslücke betroffen:


    – Root-Server


    – KVM-Server


    Damit auch Ihr Server mit der aktualisierten Software auf dem Wirtssystem startet, müssen Sie diesen einmal komplett ausschalten und anschließend wieder einschalten. Ein reiner Restart ist nicht ausreichend.


    Aus Sicherheitsgründen werden wir alle betroffenen Produkte am 10.02.2016 zwischen 2 und 4 Uhr herunter fahren und wieder einschalten,
    sollte dieser Vorgang nicht zuvor durch den Kunden ausgeführt worden sein.


    Siehe auch: netcup.de Statusübersicht


    Wenn Sie Fragen zu der Thematik haben, können Sie diese hier äußern.


    Mit freundlichen Grüßen


    Felix Preuß

  • Zitat

    Sie können Ihr System selbst vor 2:00 Uhr herunter fahren und anschließend neu starten. In diesem Fall starten wir Ihr System nicht nochmals neu.

    Zitat

    WICHTIG: Ein Restart reicht nicht aus. Das System muss einmal komplett ausgeschaltet werden.


    Ich möchte mein System gerne selber neu starten. Muss ich dafür also ein ACPI Shutdown über das http://www.vservercontrolpanel.de senden?

  • Guten Tag,


    Zitat

    Die aktuelle KVM Version von Netcup hat ein Problem mit FreeBSD – ACPI wird nicht erkannt.

    um eine Abwärtskompatibilität zu gewährleisten (damit z.B. nicht alle Snapshots unbrauchbar werden), setzen wir maximal QEMU in der Version 2.1 ein. Bitte auf FreeBSD basierende Systeme aus dem Grund manuell herunter fahren. Wir können nicht garantieren, dass auch der Bug behoben ist.



    Mit freundlichen Grüßen


    Felix Preuß

  • Vielen Dank für die Info und die schnelle Reaktion auf solche Sicherheitslücken.


    Gehe ich richtig davon aus, dass wenn im VCP die Uptime der Server anfängt neu hochzuzählen alles so geklappt hat wie es ausgeführt werden soll?



    P.S. Manchmal können MySQL Master-Master Setups ganz schön nervig sein bei solchen Geschichten. Da zerschießt es einem Replikation schneller als einem lieb ist :whistling: .

  • Hi,


    wie schaffen Sie es eigentlich im Falle der Wirtssysteme die zumindest gefuehlt sehr hohe Uptime der KVM-Gaeste zu erreichen?


    Gibt es eine Live-Migration der Gastsysteme bei einem Update des Wirts, verwendet dieser spezielle Patchmechanismen oder sind Updates schlicht so selten, dass es nicht auffaellt??


    Gruss,
    Andreas Kemper

  • Guten Abend,


    Zitat


    wie schaffen Sie es eigentlich im Falle der Wirtssysteme die zumindest gefuehlt sehr hohe Uptime der KVM-Gaeste zu erreichen?

    da viele Mitbewerber uns aufmerksam beobachten können wir diese Frage leider nicht beantworten.


    Desweiteren bitten wir zur Wahrung der Übersicht beim Topic zu bleiben.


    Vielen Dank!



    Mit freundlichen Grüßen


    Felix Preuß

  • Eine Frage hätte ich noch, kann aber gerne auch erst morgen beantwortet werden: Gibt es zu dem Leck eine CVE-Nummer oder ähnliches, wo man sich einlesen kann?



    MfG Christian

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

  • Guten Abend,



    folgende CVEs wurden gefixt:


    CVE-2015-7295
    CVE-2015-7504
    CVE-2015-7512
    CVE-2015-8345
    CVE-2015-8504
    CVE-2015-8558
    CVE-2015-8743
    CVE-2016-1568
    CVE-2016-1714
    CVE-2016-1922


    Aufgrund einer bereits eingesetzten Firewall waren viele Angriffsszenarien nicht möglich. Nach unserer Einschätzung war es allerdings möglich per DoS einen anderen Gast zum Absturz zu bringen, wenn dieser entsprechende Netzwerktreiber verwendet hat.



    Mit freundlichen Grüßen


    Felix Preuß

  • Wie kann ich nach einem ACPI-Shutdown den Server wieder hochfahren?


    Nach erfolgtem Shutdown verschwinden die ganzen Buttons im VCP unter "Steuerung" und stattdessen taucht ein "Start" Button auf! :)



    MfG Christian

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

  • Habe nun den Fehler gefunden:
    Der Server hat die Default-Route verloren (ip -6 route add default via fe80::1 dev eth0)


    Wie konnte das passieren? Bisher war das noch nie der Fall.
    Auf das Ticket kam nur die Antwort


    Zitat

    Sie besitzen bei uns einen virtuellen Server. Wir stellen Ihnen die Laufzeitumgebung bereit. Zu individueller Software und zur Einrichtung können wir keinen Support geben. Nach Einrichtung haben wir keinen Zugriff mehr auf Ihr System. Die Einrichtung und Konfiguration Ihrer Dienste und Pflege obliegt Ihrer Verantwortung.

  • Vor dem Fix lief aber alles :(


    Dann eröffne dazu bitte einen neuen Thread im Forum, hier kann man das nicht sinnvoll behandeln!


    Durch den Neustart wurde vielleicht ein neuer Kernel Deines Systems gebootet oder eine geänderte Konfiguration ist erst jetzt aktiv. Probleme wie aus Deiner Beschreibung gab es schon einige Male (» Suchfunktion), das sollte sich durchaus lösen lassen. (spontane Stichworte, die mir einfallen: Wechselwirkung durch aktives DHCP; Probleme durch aktiviertes RA; …)



    MfG Christian

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)