Wird im Changelog Bezug auf die CVEs genommen?
Im Security Tracker sind die Kernel noch als vulnerable gelistet, wobei der Kernel generell auch als vulnerable gelistet ist.
Wird im Changelog Bezug auf die CVEs genommen?
Im Security Tracker sind die Kernel noch als vulnerable gelistet, wobei der Kernel generell auch als vulnerable gelistet ist.
@voja
linux (4.9.65-3+deb9u2) stretch-security; urgency=high
* x86: setup PCID, preparation work for KPTI.
- x86/mm/64: Fix reboot interaction with CR4.PCIDE
- x86/mm: Add the 'nopcid' boot option to turn off PCID
- x86/mm: Disable PCID on 32-bit kernels
- x86/mm: Enable CR4.PCIDE on supported systems
* [amd64] Implement Kernel Page Table Isolation (KPTI, aka KAISER)
(CVE-2017-5754)
- kaiser: add "nokaiser" boot option, using ALTERNATIVE
- kaiser: align addition to x86/mm/Makefile
- kaiser: asm/tlbflush.h handle noPGE at lower level
- kaiser: cleanups while trying for gold link
- kaiser: delete KAISER_REAL_SWITCH option
- kaiser: disabled on Xen PV
- kaiser: do not set _PAGE_NX on pgd_none
- kaiser: drop is_atomic arg to kaiser_pagetable_walk()
- kaiser: enhanced by kernel and user PCIDs
- kaiser: ENOMEM if kaiser_pagetable_walk() NULL
- kaiser: fix build and FIXME in alloc_ldt_struct()
- kaiser: fix perf crashes
- kaiser: fix regs to do_nmi() ifndef CONFIG_KAISER
- kaiser: fix unlikely error in alloc_ldt_struct()
- kaiser: KAISER depends on SMP
- kaiser: kaiser_flush_tlb_on_return_to_user() check PCID
- kaiser: kaiser_remove_mapping() move along the pgd
- KAISER: Kernel Address Isolation
- x86_64: KAISER - do not map kernel in user mode
- kaiser: load_new_mm_cr3() let SWITCH_USER_CR3 flush user
- kaiser: merged update
- kaiser: name that 0x1000 KAISER_SHADOW_PGD_OFFSET
- kaiser: paranoid_entry pass cr3 need to paranoid_exit
- kaiser: PCID 0 for kernel and 128 for user
- kaiser: stack map PAGE_SIZE at THREAD_SIZE-PAGE_SIZE
- kaiser: tidied up asm/kaiser.h somewhat
- kaiser: tidied up kaiser_add/remove_mapping slightly
- kaiser: use ALTERNATIVE instead of x86_cr3_pcid_noflush
- kaiser: vmstat show NR_KAISERTABLE as nr_overhead
- kaiser: x86_cr3_pcid_noflush and x86_cr3_pcid_user
- KPTI: Rename to PAGE_TABLE_ISOLATION
- KPTI: Report when enabled
- x86/boot: Add early cmdline parsing for options with arguments
- x86/kaiser: Check boottime cmdline params
- x86/kaiser: Move feature detection up
- x86/kaiser: Reenable PARAVIRT
- x86/kaiser: Rename and simplify X86_FEATURE_KAISER handling
- x86/paravirt: Dont patch flush_tlb_single
* Bump ABI to 5.
-- Yves-Alexis Perez <corsac@debian.org> Thu, 04 Jan 2018 12:12:40 +0100
Display More
Im Security Tracker sind die Kernel noch als vulnerable gelistet, wobei der Kernel generell auch als vulnerable gelistet ist.
Danke, das habe ich gesucht. ?
Statusupdate #1:
Von Meltdown sind Root-Server, VPS, Storage-Server seitens der Wirtssysteme (Nodes) nicht betroffen, da diese Produkte auf KVM basieren. Wir können hier einen auf Performance optimierten Kernel nach wie vor nutzen. Die Gäste müssen allerdings geupdatet werden.
Wir starten ab 10:50 Uhr mit den Sicherheitsupdates hinsichtlich Spectre auf den Wirtssystemen.
Managed vServer werden vor dem Neustart der Nodes auch einen neuen Kernel erhalten. So ersparen wir uns hier einen doppelten Reboot.
Bitte updaten Sie Ihre eigenen Systeme wenn Sie diese selbst managen sobald es für diese Sicherheitsupdates gibt. Damit das Update nicht mit unseren Reboots in einen Konflikt kommt, nach Möglichkeit nach unseren Reboots.
Mit freundlichen Grüßen
Felix Preuß
Von Meltdown sind Root-Server, VPS, Storage-Server seitens der Wirtssysteme (Nodes) nicht betroffen, da diese Produkte auf KVM basieren. Wir können hier einen auf Performance optimierten Kernel nach wie vor nutzen. Die Gäste müssen allerdings geupdatet werden.
Das beißt sich ja etwas mit den Ergebnissen der Google Security Analsysten:
QuoteMeltdown could have devastating consequence for cloud providers as Google researchers were able to demonstrate reading of host memory from a KVM guest OS. For a cloud service provider, this could enable attacks between customers."
(Quelle: https://www.itproportal.com/fe…ws-the-industry-responds/)
Oder sehe ich hier etwas falsch?
Statusupdate #1:
Wir starten ab 10:50 Uhr mit den Sicherheitsupdates hinsichtlich Spectre auf den Wirtssystemen.
Über welchen Zeitraum werden die Sicherheitsupdates sein? Oder ist dies noch unklar?
Und werden die Server währenddessen auch direkt Neugestartet oder erst später?
@bthomba: Wir spielen zusätzlich Microupdates in die Prozessoren ein. Damit sind wir nach aktuellem Kenntnisstand save gegen Meltdown.
Quote
Über welchen Zeitraum werden die Sicherheitsupdates sein? Oder ist dies noch unklar?
Wir können nicht vorhersagen wie lange dieses dauert (siehe vorangegangene Posts mit Erklärung).
QuoteUnd werden die Server währenddessen auch direkt Neugestartet oder erst später?
Da die Sicherheitsupdates erst nach einem Neustart aktiv werden, werden die Nodes, wie zuvor beschrieben, auch neu gestartet.
Mit freundlichen Grüßen
Felix Preuß
Statusupdate #2:
Wir haben ein Benchmark einmal vor dem Sicherheitsupdate ausgeführt und ein weiteres Mal nach dem Sicherheitsupdate. Dafür wurde ein RS8000 genutzt.
Das Ergebnis:
Ich denke die Sorge, dass durch das Sicherheitsupdate vieles langsamer wird, ist damit unberechtigt.
Weiteres Statusupdates werden folgen.
Hallo,
mein Server war gerade für ca 1 bis 2 Minuten weg. (Nicht offline sondern nur Verbindung abgebrochen aber nicht die ssh Verbindung)
War das schon der angekündigte Restart oder hat das etwas damit zu tun? Oder kommt der Restart noch?
Schau auf die Uptime im SCP oder innerhalb des Gastsystems, dann weißt Du es…
Hallo,
mein Server war gerade für ca 1 bis 2 Minuten weg. (Nicht offline sondern nur Verbindung abgebrochen aber nicht die ssh Verbindung)
War das schon der angekündigte Restart oder hat das etwas damit zu tun? Oder kommt der Restart noch?
Schau auf die Uptime im SCP oder innerhalb des Gastsystems, dann weißt Du es…
Das scheint kein Indikator zu sein. Ich hatte jetzt nacheinander bei drei Systemen einen Verbindungsabbruch (Netzwerk nicht erreichbar) von wenigen Sekunden bis hin zu Minuten mit nicht-Anzeigbarkeit im SCP. Siehe https://forum.netcup.de/netcup…-was-passiert-hier-grade/ und einer davon hat ne Uptime von 172d im SCP. Die VMs wurden auch nicht neugestartet, sondern waren einfach nicht erreichbar...
Hallo,
mein Server war gerade für ca 1 bis 2 Minuten weg. (Nicht offline sondern nur Verbindung abgebrochen aber nicht die ssh Verbindung)
War das schon der angekündigte Restart oder hat das etwas damit zu tun? Oder kommt der Restart noch?
Um 13:39 hatte ich laut externem Monitoring auch einen kurzen Unterbruch (2 Minuten), die Server wurden aber nicht neu gestartet (uptime immer noch 25 Tage).
Hi,
ich habe jetzt die Posts hier 2-3 Mal durchgelesen. Verstehe ich es richtig, dass wenn die Server durchgestartet wurden, das Update durch ist?
Oder anders gefragt: Ist es sicher, die Systeme nun alle wieder auf den Produktiv-Stand zu bringen, oder wird es bis Sonntag noch Updates kommen?
Grüße
EONABloodrayne
Oder anders gefragt: Ist es sicher, die Systeme nun alle wieder auf den Produktiv-Stand zu bringen, oder wird es bis Sonntag noch Updates kommen?
Du musst warten bis der "Zwangsneustart" kommt. Mit einem Neustart auf deiner Seite ist es nicht getan.
Du musst warten bis der "Zwangsneustart" kommt. Mit einem Neustart auf deiner Seite ist es nicht getan.
Es gab ja bereits einen Neustart. Tut mir Leid, dass ich das vergessen habe zu erwähnen.
Am Tag der E-Mail habe ich alle meine Server sauber heruntergefahren.
Ob ein Gast neugestartet wurde, können Sie an der Uptime im SCP sehen. Wenn der Server nur kurz nicht erreichbar war, die Uptime noch entsprechend hoch ist, ist es eventuell auf einen anderen Node gewechselt worden. Sollte das häufiger passieren, liegt ein anderes Problem vor. Bitte wenden Sie sich dann an unseren Support.
Vielen Dank!
Wie gesagt waren die Server seit gestern offline. Da die Uptime nun knapp 1 Stunde ist, gehe ich davon aus, dass das Update durch ist.
Ich gehe davon aus, dass die 72 Stunden auf die komplette Server-Landschaft gilt und wir irgendwann dazwischen durchgestartet wurden.
Dann werde ich die Dienste wieder starten.
Vielen Dank für eure Hilfe
PS: Falls ich was falsch verstanden habe, korrigiert mich bitte.