zenbleed
- jah
- Thread is marked as Resolved.
-
-
Hi jah,
der Fehler ist uns bereits bekannt und wir arbeiten bereits an einem Fix. Updates findest du hier: https://www.netcup-status.de/2…cherheitsluecke-zenbleed/ -
ok, danke für die schnelle Reaktion. Der Test-Exploit wirft tatsächlich nichts mehr aus.
Könnt Ihr sagen, wie das gefixt wurde? uC-Update wäre naheliegend, aber bei laufendem System wohl nicht einfach so machbar. Oder wurde erstmal nur das o.g. chicken-bit gesetzt?
-
Könnt Ihr sagen, wie das gefixt wurde? uC-Update wäre naheliegend, aber bei laufendem System wohl nicht einfach so machbar. Oder wurde erstmal nur das o.g. chicken-bit gesetzt?
Wenn auf dem Host keine "EPYC Rome"-CPU zum Einsatz kommt, gibt es noch kein Microcode-Update von AMD, siehe hier. Und Netcup wird sicherlich keine eigenen Microcode-Updates einspielen. Allerdings hat Netcup eben auch vorgenannte CPU-Modelle im Einsatz. Details werden sie aber wohl eher nicht preisgeben.
Code
Display More[2023-07-26T09:21:56+0200] root@vserver02<kvm>:~# canonical-livepatch status --verbose | sed -e 's|\(machine.*\) \(.*\)|\1 (protected)|g' | head -7 client-version: 10.6.0 machine-id: (protected) architecture: x86_64 cpu-model: AMD EPYC 7452 32-Core Processor last-check: 2023-07-26T09:15:00+02:00 boot-time: 2023-07-19T14:05:09Z uptime: 161h16m51s [2023-07-26T09:22:01+0200] root@vserver02<kvm>:~# dmidecode|grep -iE 'Vendor:' -A2 Vendor: SeaBIOS Version: 1.15.0-1~nc11+3 Release Date: 04/01/2014 [2023-07-26T09:22:03+0200] root@vserver02<kvm>:~#
-
Wir möchten euch noch bezüglich der AMD-Schwachstelle "Zenbleed" updaten: Gestern haben wir einen Software-Hotfix implementiert, um das Problem zu beheben. Dieser Hotfix stellt jedoch lediglich einen vorübergehenden Workaround dar, der leider zu Lasten der Performance geht. Wir arbeiten mit Hochdruck daran, eine Version bereitzustellen, die weniger Einbußen in der Performance aufweist. Sobald dieser Fix fertiggestellt ist, wird er schrittweise implementiert. Um die Auswirkungen für unsere Kunden möglichst gering zu halten, setzen wir hauptsächlich Migrationen auf Systeme ein, die nicht mehr von dieser Schwachstelle betroffen sind.
-
Wenn auf dem Host keine "EPYC Rome"-CPU zum Einsatz kommt, gibt es noch kein Microcode-Update von AMD, siehe hier. Und Netcup wird
sicherlich keine eigenen Microcode-Updates einspielen. Allerdings hat Netcup eben auch vorgenannte CPU-Modelle im Einsatz. Details werden sie aber wohl eher nicht preisgeben.
Deinen Post verstehe ich nicht.
- Hat netcup überhaupt nicht-Rome EPYCs im Einsatz (als VServer-Hosts)? M.W. gab es vor den aktuellen EPYCs (7702) nur Xeons.
- Betroffen sind nach aktuellem Stand nur Zen2-CPUs (müßte also eigentlich eher zen2bleed heißen) und somit auch nur Rome-EPYCs.
- Entsprechend brauchen nicht-Zen2-CPUs kein ucode-Update.
- Warum sollte netcup keine ucode-Updates einspielen? Die sind offiziell und freigegeben. Bei gängigen Distributionen werden sie durch normale Paket-Updates eingespielt. (Natürlich sollte man vorher in so einer Umgebung entsprechende Tests damit machen, klar.)
- Warum sollte netcup keine Details preisgeben? Gibt ja nur zwei Möglichkeiten, das Problem zu beheben. Aus dem zweiten Post von Christina kann man ja schon schließen, daß als erste Maßnahme das "chicken bit" gesetzt wurde und die ucode-Updates später kommen.
Quotecpu-model: AMD EPYC 7452 32-Core Processor
Was ist das für ein Server?
-
- Warum sollte netcup keine Details preisgeben? Gibt ja nur zwei Möglichkeiten, das Problem zu beheben. Aus dem zweiten Post von Christina kann man ja schon schließen, daß als erste Maßnahme das "chicken bit" gesetzt wurde und die ucode-Updates später kommen.
Es gibt grundsätzlich drei Möglichkeiten (die dritte wurde ebenfalls angedeutet im vorgenannten zweiten Post), aber Details (lies: warum/wann welche Möglichkeit gewählt wird) würden Rückschlüsse auf die von Netcup verwendeten Dienstleister (Linux-Distribution, Hardware) erlauben; hierzu wurden auch in der Vergangenheit keinerlei Aussagen mit Verweis auf das "Betriebsgeheimnis" getroffen, wie man in diesem Forum (oder an anderer Stelle, wo beispielsweise der frühere Geschäftsführer aktiv war) nachlesen kann.
Diese gibt kein größerer Anbieter heraus und bis auf die Tatsache, dass Exploits nicht mehr funktionieren, können sie insbesondere Nutzern von VPS (welche nur eine Teilmenge der CPU-Features nutzen können und bei deren Angeboten die Verwendung einer konkreten CPU auch nicht im Vertrag steht) auch dann egal sein, falls hier eine Migration auf neuere/andere Systeme stattfindet.
Was ist das für ein Server?
Die Ausgabe stammt von einer RS-KVM-Instanz, die auf einem nclabs-Host läuft.