Version 2.8, 14.06.2018

Die Sicherheitslücken Meltdown (CVE-2017-5754) und Spectre (CVE-2017-5753, CVE-2017-5715) wurden am 3. Januar 2018 offiziell veröffentlicht. Dabei sind laut Berichten Prozessoren von Intel, AMD und ARM betroffen, welche die folgenden Auswirkungen haben können und vom Project Zero beschrieben wurden:

• Variante 1: bounds check bypass (CVE-2017-5753), (Spectre)
• Variante 2: branch target injection (CVE-2017-5715), (Spectre)
• Variante 3: rogue data cache load (CVE-2017-5754), (Meltdown)

Die Sicherheitslücken ermöglichen Programmen, die mit normalen eingeschränkten Rechten im sogenannten User Space laufen, einen Zugriff auf geschützte Bereiche des Arbeitsspeichers (Kernel Memory) zu erhalten.

Betroffene Prozessoren

Stand 11. Januar 2018

Betroffene Produkte

Diese Produkte sind nach aktuellem Stand von der Variante 1 betroffen:

• Linux Virtual Server Pro
• Windows Virtual Server Pro
• Virtual Server 2.0 Linux
• Virtual Server 2.0 Windows
• Linux Dedicated Server Pro
• Windows Dedicated Server Pro
• NAS-Cloud
• Cloud Services

Produkte in Abklärung

Diese Produkte werden noch abgeklärt und wenn nötig der oberen Liste hinzugefügt

• Keine weiteren Produkte

Updates / Upgrades

Hardware, BIOS und Firmware

Zum Schliessen der Sicherheitslücke sind unter Umständen Microcode Updates erforderlich, welche ein Update des BIOS erfordern würden. Wir arbeiten entsprechend mit den Herstellern zusammen.
Entsprechende Updates auf den Hostsystemen werden von uns so schnell wie möglich ausgerollt. Über entsprechende Unterbrüche werden wir die betroffenen Kunden via Newsletter informieren. Wenn möglich werden die se ohne Auswirkungen für den Kunden erfolgen.

Betriebssystem und Software
Informationen über den Update-Status der Betriebssysteme erhalten Sie auf den entsprechend Webseiten. Die wichtigsten Links haben wir Ihnen hier zusammengestellt:

• Debian (CVE-2017-5753 / CVE-2017-5715 / CVE-2017-5754)
• Ubuntu
• CentOS
• Fedora
• OpenSUSE
• Windows
• Synology DSM

Webbrowser
Die Sicherheitslücke Meltdown und Spectre können auch über den Webbrowser ausgenutzt werden. Wir empfehlen daher den Browser immer auf dem aktuellsten Stand zu halten.

• Mozilla Firefox
• Opera
• Windows IE & Edge
• Google Chrome

Die Hostsysteme werden durch uns so schnell wie möglich mit den entsprechenden Updates versorgt. Unterbrüche durch Reboots werden nach Möglichkeit ohne Unterbrüche für die Kunden ausgeführt. Wenn dies nicht möglich ist, werden die betroffenen Kunden mittels Newsletter informiert.
Da Ihr System trotzdem angreifbar bleibt, sollten Sie umgehend das eingesetzte Betriebssystem auf dem aktuellsten Stand halten.

Aktueller Stand der Produkte

Die von Softronics eingesetzten CPUs sind gemäss Herstellerangaben vom 11.01.2018 nicht vom Meltdown betroffen. Die Hostserver und unsere Infrastruktur werden wir so schnell wie möglich mit den vorhandenen Sicherheitslösungen testen. Wenn die Tests erfolgreich abgeschlossen sind, wird der Rollout(Wie viele wissen was ein Rollout ist?) entsprechend zügig durchgeführt. In der Regel versuchen wir dies ohne Beeinträchtigung für unsere Kunden zu machen. Sollte dies nicht möglich sein, werden wir die betroffenen Kunden per Newsletter über die Unterbrüche informieren.

1OS aktuell halten und Patchen liegt in der Verantwortung des Kunden

Verantwortung Kunde

Da die installierten Betriebssysteme auf unseren Virtual- und auf den Dedicated-Servern auch angreifbar sind, empfehlen wir Ihnen dringend die Updates, so bald diese stabil zur Verfügung stehen, einzuspielen. Für die NAS-Cloud stehen aktuell (19.01.2018) noch keine Microcodes oder Patches zur Verfügung.
Weiter empfehlen wir Ihnen auch die Anwendungen auf dem aktuellen Stand zu halten.
Gerne unterstützen wir Sie bei den nötigen Arbeiten. Nehmen Sie dazu bitte Kontakt mit unserem Support auf.

1Kunde kann BIOS-Updates durchführen
2Kunde kann OS-Updates durchführen
3Kunde kann Software und Applikationen updaten

Weitere Informationen

• Mitentdecker warnt vor erstem Schadcode (heise.de, 11.01.2018)
• Google patcht eigene Server ohne Leistungsverlust (GameStar.de, 15.01.2018)
• Return trampolin, Retpoline (Google.com)
• Intel warnt vor eigenen Patches (CHIP.de, 23.01.2018)
• Managing Speculation on AMD Processors Whitepaper (amd.com, 24.01.2018)
• Übersicht Intel Prozessor Updates (Intel.com, 08.02.2018)
• Intel veröffentlicht für Kaby-, Coffee -Lake und Skylake Microcodes (Intel.com, 21.02.2018)
• Microsoft März-Patchday bringt weitere Fixes für Meltdwon & Spectre (Microsoft, 13.03.2018)
• Microsoft April 2018 Update bringt Hilfe für AMD-Prozessoren (Microsoft 16.04.2018)
• Microsoft Juni 2018 Unterstützung für Speculative Store Bypass Disable (Microsoft 12.06.2018)

Änderungshistorie

• Version 2.8, 14.06.2018. Microsoft Juni Update
• Version 2.7, 16.04.2018. Microsoft April Update
• Version 2.6, 11.04.2018, AMD Spectre Mitigation Update
• Version 2.5, 14.03.2018, Microsoft März-Patchday
• Version 2.4, 21.02.2018, Microdes für Intel Skylab und Serverprozessoren
• Version 2.3, 12.02.2018, Übersicht Intel Prozessor Updates
• Version 2.2, 25.01.2018, Managing Speculation on AMD Processors Whitepaper hinzugefügt
• Version 2.1, 23.01.2018; Information zu aktuellen Intel Patches hinzugefügt
• Version 2.0, 19.01.2018; Status der Produkte hinzugefügt
• Version 1.5, 18.01.2018; Link auf Retpoline hinzugefügt
• Version 1.4, 17.01.2018; Cloud Services zu betroffene Systeme hinzugefügt
• Version 1.3, 16.01.2018: Informationen zu NAS-Cloud und Debian ergänzt
• Version 1.2, 15.01.2018; Informationen zu Webbrowser
• Version 1.1, 15.01.2018; NAS-Cloud zu betroffene Systeme hinzugefügt
• Version 1.0, 10.01.2018: Initiale Version mit dem aktuellen Stand