Login

Meltdown und Spectre: SpaceHost-Server gepatcht

Am 04. Januar 2018 sind zwei schwerwiegende Sicherheitslücken in Computer-Prozessoren bekannt geworden. Die als “Meltdown” und “Spectre” bezeichneten Lücken machen es für Angreifer möglich, Daten anderer Prozesse auszulesen. Konkret werden dabei zwei grundlegende Prinzipien attackiert, die in nahezu jedem modernen Prozessor integriert sind, die spekulative Befehlsausführung (= speculative execution) und die Umsortierung von Befehlen (= out-of-order execution).

Während sich mit Meltdown primär Prozessoren des Marktführers Intel angreifen lassen, sind von Spectre fast alle modernen Chip-Architekturen betroffen, die z.B. auch in Smartphones eingesetzt werden.

Meltdown + Spectre Logos

Dies bedeutet, dass nicht nur diverse Server im Internet, sondern auch Heim-PCs, Notebooks, Macs und viele andere Endgeräte angreifbar sind.

Beispielhafte Meldungen:
Macs und iOS-Geräte betroffen
Intel und ARM führen betroffene Prozessoren auf, Nvidia analysiert noch
Meldung des Bundesamts für Informationssicherheit

Wir setzen in unserer Server-Infrastruktur Intel-Prozessoren ein und sind deshalb, wie viele Webhoster weltweit, von diesen Lücken betroffen. Aufgrund der Schwere der Lücken haben wir vergangenen Nacht sämtliche Shared-Webhosting-, virtuelle und Managed-Server mit den aktuell verfügbaren Patches (Stand 11.01.2018) versorgt.

Accounts von SpaceHost-Kunden sind damit bereits immun gegen die bisher bekannten Angriffsvektoren von Meltdown und Spectre.

Schützen Sie sich privat

Wie eingangs erwähnt, sind nicht nur Server-Systeme betroffen, denn auch Windows– und Apple-Computer sowie Android– und iOS-Geräte können durch die beiden Schwachstellen angegriffen werden. Selbst über einen Browser mit aktiviertem JavaScript soll die Lücke ausgenutzt werden können.

Eine FAQ zu beiden Schwachstellen mit Erklärungen inklusive Verlinkung zu Meldungen der jeweiligen CPU- und Browserhersteller, Anbieter von Virtualisierungssoftware etc. in englischer Sprache findet sich auf der Webseite https://meltdownattack.com/

Browser-Updates

Firefox wehrt in der aktuellen Version 57.0.4 zwei bekannte Meltdown-Angriffe ab. Die Version steht auf der offiziellen Firefox-Seite zum Download bereit.

Google Chrome wird mit der voraussichtlich am 23. Januar erscheinenden Version 64 eine eingebaute Schutzfunktion (“SSCA” = Speculative Side-Channel Attack) mitbringen. Es besteht aber schon jetzt die Möglichkeit, sich zumindest etwas zu schützen, wenn eine bereits implementierte Funktion aktiviert wird. Dazu gehen Sie bitte wie folgt vor.
– Öffnen Sie in Google-Chrome die URL: chrome://flags/#enable-site-per-process
– Aktivieren Sie die Option “Strict site isolation”
– Starten Sie Chrome neu, damit die Option aktiv wird.

Für Apple Safari wurde ein Update angekündigt, das in den kommenden Tagen erscheinen wird. Erste Gegenmaßnahmen wurden bereits in der aktuellen macOS 10.13.2 und iOS-Version 11.2 eingebaut.

Updates, Updates, Updates

Android-Geräte sind grundsätzlich betroffen. Laut Google gibt es schon erste Patches mit “Schadensminderungen” (= Mitigations), um Smartphones und Tablets zu schützen. Außerdem sollen zukünftige Android-Updates weitere Korrekturen mitbringen. Allerdings müssen die jeweiligen Hersteller wie z.B. Samsung diese Patches selbst erst integrieren und an Kunden ausliefern, sofern es bei älteren Modellen überhaupt noch System-Software-Updates gibt 🙁

Microsoft hat ein Sicherheitsupdate für Windows 10 veröffentlicht, das im Regelfall automatisch heruntergeladen werden sollte, um die Sicherheitslücken zu entschärfen. Bezüglich älterer Windows-Versionen liegen uns leider keine Informationen über Patches vor.

Auch viele Cloud-Anbieter wie z.B. Microsoft und Amazon nehmen aktuell Wartungsarbeiten in Ihrer Infrastruktur vor, die noch mindestens bis Mitte/Ende kommender Woche andauern werden.

Ein Artikel bringt es auf den Punkt “Alle unsere moderne Technik ist kaputt” und zitiert am Ende Google-Mitarbeiter, die weitere Änderungen und Anpassungen in Aussicht stellen, denn “Spectre” bzw. ähnliche Probleme sind schwer zu fixen.

Bleiben Sie bitte aktuell und spielen Sie auf allen Ihren Geräten die von den Herstellern angebotenen Patches ein. Wer seinen Server prüfen möchte, findet ein Testskript auf Github.

2 Kommentare;

  1. Ralf Erding - 13. Januar 2018 von 13:47

    Zitat: “Accounts von SpaceHost-Kunden sind damit bereits immun gegen die bisher bekannten Angriffsvektoren von Meltdown und Spectre.”

    Was für ein Blödsinn hier steht. Wenn man ein Bericht darüber schreibt sollte man sich auch anständig informieren. Ich bezweifel stark, dass Sie bereits patches gegen Spectre integrieren konnten. Da sind Sie eindeutig vielen anderen Providern weit voraus. Ich überlege sogar, Sie deswegen abmahnen zu lassen.

    Gegen Spectre wird es vermutlich so schnell kein Allheilmittel geben. Erst mit neuen Prozessoren kann das Problem komplett beseitigt werden.

    Antworten
    • SpaceHost - Technik - 13. Januar 2018 von 21:03

      Hallo Ralf,
      wie erwähnt und zitiert, sind die zum Zeitpunkt des Erstellens dieses Artikels die bekannten Spectre-Angriffe durch z.B. Kernel-Updates mitigiert worden. Da wir CentOs einsetzen und diese zeitnah Patches direkt von RHEL übernehmen, sind die Szenarien im Detail in CVE-2017-5753 (variant #1/Spectre), CVE-2017-5715 (variant #2/Spectre) und CVE-2017-5754 (variant #3/Meltdown) beschrieben. Es gibt dafür übrigens auch ein Skript, das man auf seinem eigenen Server ausführen kann und das die Verwundbarkeit für die 3 CVE testet: https://github.com/speed47/spectre-meltdown-checker

      In der Tat wird Spectre wohl erst mit einer neuen Prozessor-Architektur endgültig verschwinden. Wir werden Patches für zukünftig bekannt werdende Angriffe natürlich ebenfalls zeitnah einspielen.

      Antworten

Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *
Bitte beachte, dass sich Dein Kommentar auf den Artikel beziehen sollte. Wenn Du ein persönliches Kundenanliegen besprechen möchtest, wende Dich bitte an unseren Kundenservice auf Facebook, Twitter oder über unsere Support-Seite.