[Afgerond] Spoedonderhoud (Meltdown and Spectre)

Zoals u wellicht inmiddels weet zijn er recent een aantal kritieke CPU kwetsbaarheden ontdekt met de namen Meltdown en Spectre. Mocht u dit nog niet gedaan hebben dan raden we u aan de website https://meltdownattack.com te bezoeken voor een overzicht van deze problemen. Samenvattend komt het er op neer dat deze zwakheden door aanvallers kunnen worden gebruikt om geheugen te lezen waar ze geen toegang toe hebben (zelfs van een andere VPS op hetzelfde host systeem). Gevoelige informatie zoals privé sleutels en wachtwoorden is hierdoor in gevaar.

Meltdown aanval

Bijzonder kritisch is de Meltdown variant waar alle CPU's gemaakt door Intel kwetsbaar voor zijn. Er is een oplossing ontwikkeld die om dit probleem heen werkt door de user en kernel page tables te splitsen met een techniek genaamd page table isolation (PTI). We hebben kernel updates uitgerold met deze techniek naar alle Tilaa infrastructuur en hebben wijzigingen aan ons platform gedaan om de PCID CPU functionaliteit aan een VPS te ontsluiten waarmee de performance impact veroorzaakt door PTI wordt beperkt. Ondanks dat kan er een gereduceerde performance worden verwacht.

Spectre aanval

De twee Spectre varianten lijken lastiger succesvol uit te baten, maar zijn helaas ook lastiger op te lossen. De volledige impact van de Spectre kwetsbaarheden is nog steeds niet volledig bekend en er wordt nog druk gewerkt aan oplossingen door ontwikkelaars wereldwijd, inclusief Intel en de Linux gemeenschap. De oplossingen die beschikbaar zijn voor de bekende aanvallen zijn getest en uitgerold, maar we verwachten dat er meer updates beschikbaar zullen komen in de aankomende maanden en zullen deze evalueren en uitrollen zo snel we kunnen.

Performance impact

Het is lastig om in te schatten wat de performance impact van de software patches is aangezien dit afhangt van het besturingssysteem en de specifieke werkbelasting die op de VPS draait, maar in het ergste geval kunt u een performance verlies van 10% tot 30% verwachten.

Helaas kunnen we daar niet veel aan doen behalve hopen dat toekomstige patches wat van de verloren performance kunnen terugwinnen. U zult mogelijk (tijdelijk) de CPU's van uw VPS moeten upgraden om de performance weer op het voorgaande niveau terug te krijgen.

Platform reboot

Wegens het hoge risico van misbruik van deze beveiligingsbugs moeten we deze lekken zo snel mogelijk dichten. Helaas gaat dit gepaard met downtime, aangezien hier reboots voor nodig zijn van de host servers (om een kernel met PTI en nieuwe CPU microcode te laden) en van de VPS'en (om PCID te activeren). U kunt per VPS ongeveer een uur downtime verwachten.

De reboots zullen plaatsvinden in de loop van volgende week (15 t/m 19 januari) gedurende kantooruren vanaf maandagochtend (9:00 tot 18:00). Ons volledige team is beschikbaar gedurende de week om te helpen bij problemen.

Wegens de enorme complexiteit van dit grote onderhoud is het helaas onmogelijk voor ons om exact aan te geven wanneer elke host server zal worden gereboot. We zullen onderhoudsmeldingen uitsturen voor elke host server reboot zodat u geïnformeerd bent over wanneer het onderhoud voor elke specifieke VPS begint. We zullen ons best doen om te voorkomen dat nodes van een high availability cluster tegelijk zullen worden gereboot.

We begrijpen dat het rebooten van uw VPS gedurende kantooruren ongelegen komt en we doen onze uiterste best om ervoor te zorgen dat u zo min mogelijk ongemak zult ervaren gedurende dit proces.

Vragen?

We vertrouwen erop dat we u voldoende hebben geïnformeerd. Neem gerust contact op indien u vragen heeft. U kunt ons telefonisch, per e-mail en via onze social mediakanalen bereiken. We danken u voor uw geduld en begrip.

Onderhoud afgerond

Alle hosts zijn gereboot en het onderhoud is hiermee afgerond. De performance impact lijkt mee te vallen en de updates zijn stabiel.

Hebt u meer vragen? Een aanvraag indienen

0 Opmerkingen

Artikel is gesloten voor opmerkingen.