DE
Support Login

Neuigkeiten

Informationen über die Sicherheitslücken Meltdown und Spectre

Version 2.8, 14.06.2018


Die Sicherheitslücken Meltdown (CVE-2017-5754) und Spectre (CVE-2017-5753, CVE-2017-5715) wurden am 3. Januar 2018 offiziell veröffentlicht. Dabei sind laut Berichten Prozessoren von Intel, AMD und ARM betroffen, welche die folgenden Auswirkungen haben können und vom Project Zero beschrieben wurden:

  • Variante 1: bounds check bypass (CVE-2017-5753), (Spectre)
  • Variante 2: branch target injection (CVE-2017-5715), (Spectre)
  • Variante 3: rogue data cache load (CVE-2017-5754), (Meltdown)

Die Sicherheitslücken ermöglichen Programmen, die mit normalen eingeschränkten Rechten im sogenannten User Space laufen, einen Zugriff auf geschützte Bereiche des Arbeitsspeichers (Kernel Memory) zu erhalten.



Betroffene Prozessoren

Hersteller Betroffene CPU's Variante 1 (Spectre) Variante 2 (Spectre) Variante 3 (Meltdown)
AMDBislang keine Details
bekannt.
JaGem. AMD near-zero-riskNein
ARMCortexJaJaJa
IntelCPUs mit Out-Of-Order Execution (CPUs seit 1995, ausgenommen Itanium und Atom vor 2013)JaJaJa
Stand 11. Januar 2018

Betroffene Produkte

Diese Produkte sind nach aktuellem Stand von der Variante 1 betroffen:

  • Linux Virtual Server Pro
  • Windows Virtual Server Pro
  • Virtual Server 2.0 Linux
  • Virtual Server 2.0 Windows
  • Linux Dedicated Server Pro
  • Windows Dedicated Server Pro
  • Linux Webhosting
  • Webhosting 2.0
  • NAS-Cloud
  • Cloud Services

Produkte in Abklärung

Diese Produkte werden noch abgeklärt und wenn nötig der oberen Liste hinzugefügt

  • Keine weiteren Produkte

Updates / Upgrades

Hardware, BIOS und Firmware


Zum Schliessen der Sicherheitslücke sind unter Umständen Microcode Updates erforderlich, welche ein Update des BIOS erfordern würden. Wir arbeiten entsprechend mit den Herstellern zusammen.
Entsprechende Updates auf den Hostsystemen werden von uns so schnell wie möglich ausgerollt. Über entsprechende Unterbrüche werden wir die betroffenen Kunden via Newsletter informieren. Wenn möglich werden die se ohne Auswirkungen für den Kunden erfolgen.

Betriebssystem und Software
Informationen über den Update-Status der Betriebssysteme erhalten Sie auf den entsprechend Webseiten. Die wichtigsten Links haben wir Ihnen hier zusammengestellt:


Webbrowser
Die Sicherheitslücke Meltdown und Spectre können auch über den Webbrowser ausgenutzt werden. Wir empfehlen daher den Browser immer auf dem aktuellsten Stand zu halten.

Die Hostsysteme werden durch uns so schnell wie möglich mit den entsprechenden Updates versorgt. Unterbrüche durch Reboots werden nach Möglichkeit ohne Unterbrüche für die Kunden ausgeführt. Wenn dies nicht möglich ist, werden die betroffenen Kunden mittels Newsletter informiert.
Da Ihr System trotzdem angreifbar bleibt, sollten Sie umgehend das eingesetzte Betriebssystem auf dem aktuellsten Stand halten.



Aktueller Stand der Produkte

Die von Softronics eingesetzten CPUs sind gemäss Herstellerangaben vom 11.01.2018 nicht vom Meltdown betroffen. Die Hostserver und unsere Infrastruktur werden wir so schnell wie möglich mit den vorhandenen Sicherheitslösungen testen. Wenn die Tests erfolgreich abgeschlossen sind, wird der Rollout(Wie viele wissen was ein Rollout ist?) entsprechend zügig durchgeführt. In der Regel versuchen wir dies ohne Beeinträchtigung für unsere Kunden zu machen. Sollte dies nicht möglich sein, werden wir die betroffenen Kunden per Newsletter über die Unterbrüche informieren.

Produkt Auswirkungen BIOS aktuell OS aktuell
Host Server "Linux Virtual Server Pro"Variante 1JaIn Abklärung
Host Server "Windows Virtual Server Pro"Variante 1JaIn Abklärung
Host Server "Virtual Server 2.0 Linux"Variante 1JaTests laufen
Host Virtual Server 2.0 WindowsVariante 1JaTests laufen
Linux Dedicated Server ProVariante 1OffenVerantwortung Kunde1
Windows Dedicated Server ProVariante 1OffenVerantwortung Kunde1
Linux WebhostingVariante 1JaIn Abklärung
NAS CloudVariante 2OffenVerantwortung Kunde1

1OS aktuell halten und Patchen liegt in der Verantwortung des Kunden

Verantwortung Kunde

Da die installierten Betriebssysteme auf unseren Virtual- und auf den Dedicated-Servern auch angreifbar sind, empfehlen wir Ihnen dringend die Updates, so bald diese stabil zur Verfügung stehen, einzuspielen. Für die NAS-Cloud stehen aktuell (19.01.2018) noch keine Microcodes oder Patches zur Verfügung.
Weiter empfehlen wir Ihnen auch die Anwendungen auf dem aktuellen Stand zu halten.
Gerne unterstützen wir Sie bei den nötigen Arbeiten. Nehmen Sie dazu bitte Kontakt mit unserem Support auf.

Produkt Auswirkungen BIOS Update1 OS Update2 Software Update3
Linux Virtual Server ProVariante 1NeinJaJa
Windows Virtual Server ProVariante 1NeinJaJa
Virtual Server 2.0 LinuxVariante 1NeinJaJa
Virtual Server 2.0 WindowsVariante 1NeinJaJa
Linux Dedicated Server ProVariante 1OffenJaJa
Windows Dedicated Server ProVariante 1OffenJaJa
Linux WebhostingVariante 1NeinNeinJa
NAS CloudVariante 2JaJaJa
1Kunde kann BIOS-Updates durchführen
2Kunde kann OS-Updates durchführen
3Kunde kann Software und Applikationen updaten

Weitere Informationen

Änderungshistorie

  • Version 2.8, 14.06.2018. Microsoft Juni Update
  • Version 2.7, 16.04.2018. Microsoft April Update
  • Version 2.6, 11.04.2018, AMD Spectre Mitigation Update
  • Version 2.5, 14.03.2018, Microsoft März-Patchday
  • Version 2.4, 21.02.2018, Microdes für Intel Skylab und Serverprozessoren
  • Version 2.3, 12.02.2018, Übersicht Intel Prozessor Updates
  • Version 2.2, 25.01.2018, Managing Speculation on AMD Processors Whitepaper hinzugefügt
  • Version 2.1, 23.01.2018; Information zu aktuellen Intel Patches hinzugefügt
  • Version 2.0, 19.01.2018; Status der Produkte hinzugefügt
  • Version 1.5, 18.01.2018; Link auf Retpoline hinzugefügt
  • Version 1.4, 17.01.2018; Cloud Services zu betroffene Systeme hinzugefügt
  • Version 1.3, 16.01.2018: Informationen zu NAS-Cloud und Debian ergänzt
  • Version 1.2, 15.01.2018; Informationen zu Webbrowser
  • Version 1.1, 15.01.2018; NAS-Cloud zu betroffene Systeme hinzugefügt
  • Version 1.0, 10.01.2018: Initiale Version mit dem aktuellen Stand