Pressemitteilung

Sicherheitslücken Meltdown/Spectre betreffen x86-64 CPU: OVH in vollem Einsatz

2018
Pressemitteilung
Deutschland

corporate

Wie alle anderen Unternehmen im IT-Bereich wurde auch OVH über die Sicherheitslücken von x86-64 Prozessoren benachrichtigt, die von Sicherheitsforschern aufgedeckt wurden. Diese Schwachstellen machen es möglich, sogenannte Seitenkanalangriffe in großem Maßstab auszuführen. Diese Art von Angriff war bisher aufgrund der komplexen Umsetzung eher selten.

 

[Update vom 09. Januar, 22:00 Uhr]

Die Schutzmaßnahmen der OVH Infrastrukturen werden weiter fortgesetzt. Kunden, deren Dienstleistungen neu gestartet werden, wurden per E-Mail darüber informiert. Wir haben den Post eines unserer Sicherheitsarchitekten zu den verschiedenen Spectre und Meltdown Schwachstellen veröffentlicht, um Sie über die technischen Details zu informieren. (Achtung, der Artikel richtet sich an ein fachspezifisches Publikum.) Die beiden Dokumente vom 07. Januar zu Status unserer Dienstleistungen zu Meltdown und Spectre sowie Verfügbarkeit der Patches je Betriebssystem wurden innerhalb der letzten 48 Stunden regelmäßig aktualisiert, um Sie stets auf dem Laufenden zu halten. Darüber hinaus hat ein Sicherheitstechniker von OVH auf GitHub ein Tool veröffentlicht, um die Anfälligkeit Ihrer Linux Distribution für die verschiedenen Angriffsvektoren von Spectre und Meltdown zu testen.

 

[Update vom 07. Januar, 14:00 Uhr]

Die Teams von OVH waren die ganze Woche ununterbrochen im Einsatz. Einige Dienstleistungen sind bereits geschützt und die aktuell verfügbaren Patches wurden durchgeführt. Die Sicherung anderer Systeme ist zurzeit in Bearbeitung oder wird in Kürze gestartet. Die entsprechenden Aktualisierungsarbeiten werden auf travaux.ovh.net angezeigt. Die Situation ist unter Kontrolle. Dennoch ist uns bewusst, dass die aktuelle Situation für viele Nutzer nur schwer einzuschätzen ist. Ihnen ist nicht immer klar, was sie tun müssen, um ihre Dienstleistungen vor Meltdown und Spectre zu schützen. Die Problematik besteht unter anderem in der großen Anzahl verschiedener Software- und Hardwarekonfigurationen. Hinzu kommt, dass Dienstleistungen teilweise oder komplett von OVH verwaltet werden, sodass in manchen Fällen keine Maßnahmen auf Nutzerseite erforderlich sind, in anderen Fällen jedoch selbst Patches durchgeführt werden müssen.
Darüber hinaus schützen die veröffentlichten Patches nur vor einem oder zwei der drei Angriffsvektoren. Aus diesem Grund haben wir eine Übersichtsseite erstellt, die zu allen OVH Dienstleistungen jeweils zwei wichtige Informationen aufführt: - Aktionen seitens OVH, um die Dienstleitung zu schützen - Aktionen, die Ihrerseits für den Schutz der Dienstleitung erforderlich sind (soweit notwendig). Wir werden diese Seite regelmäßig aktualisieren. Außerdem halten wir Sie über die neuesten Entwicklungen auf dem Laufenden. Falls eine Aktion Ihrerseits erforderlich ist, werden wir Sie darüber informieren und Ihnen mitteilen, wann diese Aktion am besten durchgeführt wird. Zum aktuellen Status je Dienstleitung Darüber hinaus haben wir eine zweite Seite für Sie eingerichtet, auf der erklärt wird, wie Sie – falls nötig – den jeweiligen Kernel-Patch für das Betriebssystem Ihrer Server durchführen.
Zum aktuellen Status je Betriebssystem Neben dem regelmäßigen Update dieser Informationen besteht die Herausforderung für uns darin, die Masse an Daten möglichst übersichtlich weiterzugeben, damit Sie die für Sie relevanten Informationen auch finden. Wir danken Ihnen für Ihr Verständnis.   Statement vom 04. Januar 2018 Die Sicherheitslücken wurden in der Nacht vom 03. auf den  04. von Googles Project Zero veröffentlicht und sind seither unter den Namen Meltdown und Spectre bekannt.  Diese umfassen 3 verschiedene Angriffsvektoren:

  • CVE-2017-5715 (Branch Target Injection – Spectre)
  • CVE-2017-5753 (Bounds Check Bypass – Spectre)
  • CVE-2017-5754 (Rogue Data Cache Load – Meltdown)

Aktuell liegen OVH keine Informationen dazu vor, dass diese Sicherheitslücken auch außerhalb von Forschungslaboren ausgenutzt wurden. Für die Umsetzung sind zurzeit noch äußerst komplexe technische Prozesse notwendig, jedoch werden mit Sicherheit einfachere Vorgehensweisen auftreten. Intel, der weltweit führende Hersteller von Mikroprozessoren, hat die Existenz dieser Sicherheitslücken auf seinen CPUs bestätigt.
Gemeinsam mit seinen Partnern und vor allem den Betriebssystemherstellern sucht das Unternehmen nach Lösungen, um seine Chips vor derartigen Angriffen zu schützen. Die entsprechenden Patches sind auf verschiedenen Ebenen umzusetzen:

  • Betriebssystem und Virtual Machine Manager
  • Mikroprozessor (via BIOS/UEFI)

Bei OVH ist ein dediziertes Team von Sicherheitsexperten bereits in vollem Einsatz. Wir stehen in direktem Kontakt mit den Hauptverantwortlichen für die Umsetzung der Patches, d. h. den größten Entwicklern von Open-Source-Betriebssystemen (allen voran GNU/Linux) und proprietären Betriebssystemen (Microsoft, VMware) sowie den Herstellern von Motherboards. Die meisten dieser Unternehmen wurden vor einigen Wochen über die Sicherheitslücken informiert und arbeiteten seitdem an den notwendigen Patches. Aus diesem Grund werden bereits erste Patches angekündigt und von verschiedenen Softwareherstellern und Communitys veröffentlicht. Unsere Teams testen diese Patches nun nach und nach auf ihre Stabilität, damit sie möglichst schnell weitergegeben werden können. Denn das Risiko der Instabilität ist relativ hoch, da die Patches große Änderungen am Kernel-Design vornehmen.
Es ist noch zu früh, um die Auswirkungen der verfügbaren Patches auf die Serverleistung mit Sicherheit zu bestimmen. Unsere internen Tests weisen jedoch darauf hin, dass die Auswirkungen auf die Performance je nach Arbeitsumgebung (Workload) und ausgeführter Dienstleistung stark variieren. Außerdem werden die ersten verfügbaren Updates wahrscheinlich sukzessive verbessert, um die negativen Auswirkungen der Änderungen am Kernel-Design zu verringern. Aufgrund der ungewöhnlich kurzen Entwicklungszeit der Patches können wohl kaum alle Konfigurationen auf dem Markt getestet werden. Daher ist es nur logisch, dass weitere Updates folgen, um eventuell auftretende Bugs zu beheben. Bisher wissen wir, dass offizielle Patches nur für aktuell unterstützte Kernel- und Betriebssystemversionen verfügbar sein werden (abhängig vom Herausgeber). Darüber hinaus testen wir ausführlich alle Möglichkeiten, wie diese Sicherheitslücken ausgenutzt werden könnten.
So können wir die Risiken genauer bestimmen und unseren Kunden entsprechende Empfehlungen weitergeben. Zusätzlich achten unsere Teams auf Korrekturmaßnahmen, um eventuelle Schwachstellen anderer Prozessoren als Intel CPUs abzusichern. Und schließlich betrachten wir verschiedene Optionen, um die offiziellen Patches so schnell wie möglich zu verbreiten und gleichzeitig die Auswirkungen auf die Verfügbarkeit Ihrer Dienstleistungen zu minimieren. Aller Voraussicht nach müssen einige Infrastrukturen neu gestartet werden, um die Updates der betroffenen Server durchzuführen. Wir werden Sie mit regelmäßigen Updates über den Aktionsplan sowie Aktualisierungsarbeiten auf dem Laufenden halten und Sie benachrichtigen, wenn eine Aktion Ihrerseits erforderlich ist, um Ihre physischen oder virtuellen Maschinen zu patchen.""