Sicherheitsupdate wegen Meltdown/Spectre

[Update]

Das Update wurde installiert und alle bisher verfügbaren Sicherheitsfeatures im Linux-Kernel aktiviert. Für das Update war ein Neustart mit einer Downtime von etwa einer Minute notwendig.

Wie aus den Medien mittlerweile bekannt, existiert eine hardwareseitige Schwachstelle in allen modernen Intel-Prozessoren sowie auch in einigen CPUs anderer Hersteller, die es ermöglichen, Speicherinhalte auszulesen, die üblicherweise besonders geschützt sind. Dadurch könnten Angreifer an kritische Informationen wie System-Passwörter, SSL-Schlüssel oder auch Arbeitsdaten von Anwendungen gelangen. Auch wenn über die Attacken keine Veränderung der Speicherinhalte möglich sind, können die darüber ausgelesenen Daten benutzt werden, um in das System einzubrechen oder private Daten zu stehlen bzw. verschlüsselte Verbindungen aufzubrechen und mitzulesen. Weitere technische Informationen zu den Schwachstellen sind hier zu finden:

Es sind mittlerweile erste softwareseitige Patches erhältlich, die das Ausnutzen der Schwachstellen verhindern oder zumindestens stark erschweren. Um den Server möglichst wenig Anfällig für solche – mittlerweile auch bereits kursierenden – Attacken zu machen, spiele ich am Wochenende verfügbare Aktualisierungen ein:

  • Kernel-Update von derzeit 4.10.0 auf die aktuelle Version 4.14.13
  • Aktivierung von „Page Table Isolation“ im aktualisierten Kernel
  • Aktualisierung der CPU-Microcodes für die verbaute Skylake-H/S-CPU auf Revision 0xc2

Die Aktualisierung erfordert mindestens einen Reboot, um den aktualisierten Kernel sowie die neuen CPU-Microcodes zu laden und die korrekte Aktualisierung zu überprüfen. Es kann daher zu kurzen (wenige Minuten) dauernden Ausfällen des Servers kommen.

Bei Fragen zum Update oder den Sicherheitslücken stehe ich gerne zur Verfügung.