Meltdown ja Spectre -haavoittuvuuksien korjaaminen

Meltdown- ja Spectre ovat hyökkäyksiä, jotka hyväksikäyttävät prosessoreiden tapaa ennakoida käskyjen suoritusta. Hyökkäysten avulla voidaan ohittaa prosessoreiden muistinsuojauksia. Haavoittuvuudet vaikuttavat erityisesti palvelinympäristöihin, joissa on useita käyttäjiä. Niissä käyttäjä voi saada haltuunsa toisten käyttäjien luottamuksellisia tietoja.

https://www.viestintavirasto.fi/kyberturvallisuus/haavoittuvuudet/2018/haavoittuvuus-2018-001.html

Lisätietoja haavoittuvuuksista Viestintäviraston sivuilta.

Haavoittuvuus voidaan korjata vain asentamalla tietoturvapäivitys käyttöjärjestelmän ytimeen (kernel). Neutech valmistelee parhaillaan tietoturvapäivityksiä.

  • Webhotelliasiakkaiden ja ylläpidettyjen palvelinasiakkaiden palvelut päivitetään Neutechin toimesta ylimääräisissä huoltokatkoissa.
  • Asiakkaiden jotka ylläpitävät omia palvelimiaan tulisi asentaa mahdollisimman pian käyttöjärjestelmän tietoturvapäivitykset ja käynnistää palvelimensa uudelleen. Virtuaisointialustoihin tehtävät tietoturvapäivitykset tehdään lisäksi huoltokatkoissa, joista tiedotamme erikseen.

Tähän artikkeliin päivitetään lisätietoa tietoturvapäivitysten etenemisestä sekä asiakkaiden palveluihin kohdistuvien huoltokatkojen ajankohdista.

Päivitys 05.01.2018 kello 17:

  • Web-hotellien uusimman sukupolven palvelimet on päivitetty. Jatkamme päivityksiä vanhemman sukupolven palvelimilla.
  • Xen-pohjaisten virtuaalien Spectre ja Meltdown päivitykset ovat vielä RedHat ja CentOS projektien työnalla. Emme suosittele näille asentamaan CentOS julkaisemaa kernel-päivitystä ennen kuin selvitämme miten se onnistuu luotettavasti. Tämä vaatii hypervisor-puolelta PV-moodin muuttamisen HVM-moodiin. Uusia Xen-pohjaisia virtuaaleja emme ole toimittaneet noin neljään vuoteen joten nämä ovat vanhemman sukupolven toteutuksia jotka odottavat migrointia uudemille käyttöjärjestelmille.
  • oVirt-pohjaisiin virtuaaleihin jotka ovat Neutechin ylläpitämiä on jo päivitetty tai päivitetään tämän yön ylimääräisessä huoltokatkossa kernelit jotka suojaavat Spectre-haavoittuvuudelta
  • Asiakkaat joilla ei ole ylläpitopalvelua Neutechilta tarvitsee asentaa kernel-päivitys omatoimisesti. Tämän voi tehdä oVirt-pohjaisiin virtuaaleihin.
  • Voit selvittää virtualisoinnin tyypin asentamalla virt-what komennon: yum -y install virt-what && virt-what
    • oVirt-virtualisoinnissa komento raportoi ovirt/kvm
    • Xen-virtualisoinnissa xen-domU/xen