I dagarna har det pratats mycket om två allvarliga säkerhetshot, kallade Spectre (CVE-2017-5753, CVE-2017-5715) och Meltdown (CVE-2017-5754). Båda hoten har samma ursprung och drabbar en stor del av alla moderna datorer. Gemensamt för båda är att de kan användas för att i vissa fall läsa data – från av systemet generellt otillåtna platser i minnet.
GleSYS VMware-plattform är inte drabbad av Meltdown och en patch från leverantören finns tillgänglig för kända varianter av Spectre. Vi kommer så snart som möjligt att genomföra uppdateringar av samtliga system. Vi tar säkerhetshot på största allvar och arbetar hårt för att säkerställa att våra kunder även fortsatt skyddas mot befintliga och nya hot.
Samtliga påverkade kunder kommer att informeras om eventuella driftstörningar i samband med säkerhetsuppdateringarna.
Varför har säkerhetsbristen uppstått?
Det här bygger egentligen på en funktion och inte en bugg. Intel har sedan 1995 använt sig av spekulativ exekvering (speculative execution) och idag används det även av AMD och ARM. Funktionen innebär att processorn antar vad nästkommande värde är. Gissar den rätt, har den sparat tid och ligger ett steg före. Gissar den fel, dumpar den datan och börjar om. Fördelen med systemet är att den gissar rätt tillräckligt ofta för att det ska löna sig och leda till en snabbare processor.
Problemet med gissningar är att de är just gissningar och att det kan bli fel, som i fallet med Spectre och Meltdown. Även om ett program inte direkt drabbas av att processorn gör en felaktig gissning (eftersom den datan kastas bort), kan gissningen i sig göra att känslig data laddas in i cacheminnet. Felet är alltså att cache inte töms ordentligt mellan de systemanrop som utförs.
Sammanfattningsvis är säkerhetshoten inget som är specifikt för just GleSYS. I princip alla server- och molnleverantörer är drabbade.
Mer information om Spectre och Meltdown hittar du här.
Status
Vi uppdaterar vårt flöde här nedan så fort vi har mer information.
2018-01-10
I dagarna blev även arbetet med OpenVZ klart, vilket betyder att GleSYS nu kör en nästan helt patchad miljö. Vår VMware-miljö har patchats i alla datacenter förutom Oslo, där vi behöver invänta en patch från vår leverantör.
Vi vill dock understryka att det kan komma att bli mer arbete om i fall att nya uppdateringar släpps av VMware eller OpenvZ. Högst troligt är att det kommer nya sårbarheter som hittas i Spectres kölvatten.
I de fall då du som kund påverkas av ett arbete kommer du att informeras innan vad gäller potentiella omstarter av noder. Vi ber om fortsatt förståelse för att vi måste prioritera våra kunders säkerhet och att den prioriteringen stundtals kan leda till kortvariga driftstopp – om en omstart anses vara nödvändig.
2018-01-05
I samband med upptäckten av säkerhetshoten Spectre (CVE-2017-5753, CVE-2017-5715) och Meltdown (CVE-2017-5754) blev vi medvetna om att vår VMware-plattform i Stockholm, Falkenberg, Amsterdam, London och Oslo eventuellt var sårbara. Det bekräftades senare av VMware att den version av ESXi vi använder, var sårbar för Bounds-Check Bypass (CVE-2017-5753) och Branch Target Injection (CVE-2017-5715). Båda sårbarheterna utnyttjar brister i funktionen spekulativ exekvering, specifikt sidokanalsanalys av minnet. De var däremot inte sårbara för metoderna som beskrivs av Meltdown.
När vi fick uppdateringen av VMware under torsdagen (2018-01-04) påbörjade vi omedelbart arbetet med att uppdatera samtliga plattformar, för att säkerställa att våra kunder inte skulle drabbas. Arbetet pågick oavbrutet till idag fredag (2018-01-05).
Vi kan nu meddela att plattformarna i Stockholm, Falkenberg, Amsterdam och London är uppdaterade. Inga kunder där har berörts av driftstopp i samband med arbetet.
VMware i Oslo kommer att uppdateras så fort vi får en patch som stöder vår mjukvara.
På GleSYS kommer vi att fortsätta följa utvecklingen kring Spectre och Meltdown och du kan löpande läsa om vad som händer här i blogginlägget. Vi arbetar hårt för att du som kund ska känna dig trygg.
Om du har frågor kring den rådande situationen kan du höra av dig till vår support. Vi önskar er alla en trevlig fredag och en skön stundande helg!
