Wichtig – Wupper-LAN Admin-Blog

15. Mai 201915. Mai 2019

Sicherheitsupdates und Aktualisierung des Basis-Systems

Aufgrund einiger aktueller Sicherheitslücken, insbesondere die kürzlich bekannt gewordene „ZombieLoad“-Lücke, ist ein kurzfristiges Systemupdate notwendig. Da hierfür auch der CPU-Microcode (also die „Firmware“ der CPU) aktualisiert werden muss, ist ein Neustart des Servers zusätzlich zu den üblichen Upgrades zwingend nötig. Die Softwarepakete werden bereits im Hintergrund aktualisiert, der Neustart wird in den späten Abendstunden durchgeführt, um möglichst wenig Auswirkungen zu haben.

Folgende Updates wurden für Webservice-relevante Anwendungen eingespielt:

Die installierten PHP-Versionen wurden auf die neuesten Bugfix-Releases aktualisiert – 7.2.18 und 7.3.5.
SQLite wurde von 3.27.2 auf 3.28.0 aktualisiert. Dieses Upgrade betrifft auch die entsprechenden PHP-Erweiterungen.
Weitere Programme wie ImageMagick und ffmpeg haben Bugfixes erhalten.

Mit dem Neustart des Servers wird der Linux-Kernel von 4.17 auf die Version 5.1 aktualisiert. Das sollte keine direkten Auswirkungen auf Benutzer-Software haben. Trotz des vermeintlich großen Versionssprungs sind die Änderungen relativ gering.

7. August 2018

Kurzfristiges Kernel-Sicherheitsupdate

Im Linux-Kernel wurde eine neue Sicherheitslücke entdeckt und gestern veröffentlicht. Über diese Lücke kann das System von einem entfernten Angreifer über das Internet lahmgelegt werden, indem mittels manipulierter Netzwerkpakete die CPU des Systems ausgelastet wird. Die Lücke ermöglicht zwar keinen Einbruch, ist aber dennoch für den Betrieb des Servers relevant.

Sobald ein Patch für die Lücke verfügbar ist, werde ich den System-Kernel aktualisieren und den Server danach – möglichst in den Abendstunden – neu booten. Der Reboot wird wenige Minuten in Anspruch nehmen, während dieser Zeit sind die auf dem Server befindlichen Dienste (Websites, Postfächer etc.) nicht verfügbar.

12. Januar 201814. Januar 2018

Sicherheitsupdate wegen Meltdown/Spectre

[Update]

Das Update wurde installiert und alle bisher verfügbaren Sicherheitsfeatures im Linux-Kernel aktiviert. Für das Update war ein Neustart mit einer Downtime von etwa einer Minute notwendig.

Wie aus den Medien mittlerweile bekannt, existiert eine hardwareseitige Schwachstelle in allen modernen Intel-Prozessoren sowie auch in einigen CPUs anderer Hersteller, die es ermöglichen, Speicherinhalte auszulesen, die üblicherweise besonders geschützt sind. Dadurch könnten Angreifer an kritische Informationen wie System-Passwörter, SSL-Schlüssel oder auch Arbeitsdaten von Anwendungen gelangen. Auch wenn über die Attacken keine Veränderung der Speicherinhalte möglich sind, können die darüber ausgelesenen Daten benutzt werden, um in das System einzubrechen oder private Daten zu stehlen bzw. verschlüsselte Verbindungen aufzubrechen und mitzulesen. Weitere technische Informationen zu den Schwachstellen sind hier zu finden:

Es sind mittlerweile erste softwareseitige Patches erhältlich, die das Ausnutzen der Schwachstellen verhindern oder zumindestens stark erschweren. Um den Server möglichst wenig Anfällig für solche – mittlerweile auch bereits kursierenden – Attacken zu machen, spiele ich am Wochenende verfügbare Aktualisierungen ein:

Kernel-Update von derzeit 4.10.0 auf die aktuelle Version 4.14.13
Aktivierung von „Page Table Isolation“ im aktualisierten Kernel
Aktualisierung der CPU-Microcodes für die verbaute Skylake-H/S-CPU auf Revision 0xc2

Die Aktualisierung erfordert mindestens einen Reboot, um den aktualisierten Kernel sowie die neuen CPU-Microcodes zu laden und die korrekte Aktualisierung zu überprüfen. Es kann daher zu kurzen (wenige Minuten) dauernden Ausfällen des Servers kommen.

Bei Fragen zum Update oder den Sicherheitslücken stehe ich gerne zur Verfügung.

21. September 201726. März 2018

Update auf PHP 7.2 in KW 15/2018

Update: Die Umstellung auf PHP 7.2.3 (oder die dann aktuellste Version) findet in der Woche vom 09.-15.04.2018 statt. Die neue Version ist bereits installiert. Einzelne Seiten können auf Anfrage zum Testen auf die neue Version umgestellt werden.

Da der aktive Support für die PHP-Version 7.0 bereits im Dezember 2017 ausläuft, wird die PHP-Version auf dem Server im 1. Quartal auf die zu diesem Zeitpunkt aktuellste Version der 7.2er-Reihe aktualisiert.

Ich bitte daher alle Kunden, zu prüfen, ob die jeweils eingesetzten PHP-Skripte – insbesondere CMS wie TYPO3 – mit der neuen PHP-Version kompatibel sind, und vorab die nötigen Aktualisierungen einzuspielen oder vorzubereiten.

Eine Liste der Änderungen und Neuerungen sowie potentieller Inkompatibilitäten gibt es auf der PHP-Website für die jeweiligen Zwischenversionen: