googleprojectzero.blogspot.de/2018/01/reading-privileged-memory-with-side.html

bounds check bypass (CVE-2017-5753)
branch target injection (CVE-2017-5715)
rogue data cache load (CVE-2017-5754)

Wer kann das Posting in das Sicherheitsforum verschieben?

Ich habe zu dem Thema gerade noch eine Audio-MP3 5811_sans.org_Reading privileged memory with a side-channel.mp3 in die KaaLUG-Cloud hochgeladen.

Hallo Hanjo,

vielen Dank dafür. Das ist die offizielle Variante des in "Fehler-Abstraktionen" noch als Gerücht in Link 2 gehandelten Themas...

Ich habe heute auch eine E-mail unseres Providers bekommen - sie werden ihre Systeme patchen und dabei alle vServer neu starten.
Da unser Server verschlüsselt ist, heißt das wir werden einen Verfügbarkeitsausfall haben. Wie lange hängt davon ab wann der Reboot unseres Hosts passiert und wie bald danach ich das mitbekomme.

Liebe Grüße,
KlaRen

Gerade wurde dazu auf Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein! das Update angekündigt. Debian 9 Stretch kann bereits aktualisiert werden, das Update für Oldstable Jessie folgt später.

Dazu folgendes gefunden auf PDF

Hallo All,

Reboot ist erfolgt, System ist gepatched.
Ausfall war 1,25 Stunden. Das meiste war Wartezeit.
Danke Hanjo für den Hinweis. Das Server Monitoring hat auch gemeldet.. Alles wieder gut.
Gab beim Neustart einen Apache2 Fehlstart.. aber das ließ sich manuell beheben.
Ansonsten sieht erst Mal alles gut aus.

Liebe Grüße,
KlaRen

Hallo KlaRen,

vielen Dank für die schnelle Reaktion bzw. Info.

Ich beschäftige mich natürlich nicht nur privat mit den Datengau der o.g. CVEs. In dem Zusammenhang bin ich an Performance-Erfahrungen von betroffenen gepatchten Systemen interessiert. Wenn ich das bisher mit deinem Server richtig verfolgt habe, ist deine Büchse ja Blech und keine VM? Richtig?

In die KaaLUG-Cloud habe ich zum Thema noch "meltdown.pdf" hochgeladen und wer sich für den technischen Background und eine Einschätzung interessiert, dem empfehle ich noch meltdownattack.com

Bei der Gelegenheit möchte ich ein mir oft begegnetes und häufig genutztes Feature ansprechen und für den Einsatz und die Nutzung von Keepass werben. Spätestens sollte jetzt jedem Browsernutzer klar sein, dass die Nutzung der Passswortspeicherfunktion aller Browser keine gute Idee ist und der Speicherort mit einer versendeten Postkarte vergleichbar ist. Siehe beispielsweise github.com/RealJTG/Meltdown

Liebe Grüße
Hanjo

Hallo Hanjo,

ich habe einige Aussagen dazu gehört. Das genaueste war, das der Kernel->Userland bzw. Userland->Kernel overhead durch den Patch von 100nS auf 250-300nS erhöht wird, da die MMU jedes Mal neu geladen werden muss. Das bedeutet vorallem Systemcall-lastige Aktivitäten werden um 150-200% erhöhte Latenz haben. Inwieweit das als fühl- und messbare Verlangsamung durchschlägt muss sich zeigen.

Unser Server, läuft in einer virtuellen Maschiene, leider keine dedizierte Hardware - wäre nicht finanzierbar. Aber dedizierte "vCPUs" - also man hat unsere Maschiene an zwei Cores des Systems genagelt.
Wir reizen mit unseren paar Services die Performance der Cores eh nicht aus, weshalb auch eine 20-30% Leistungsreduktion nicht ernsthaft ins Gewicht fallen wird.

Mein Interesse an dem Thema ist auch nicht rein privat. Ich denke das meine Firma da gewiss auch mit dem Thema umgehen muss. Da wirds dann schon eher spannend, da die Dimensionierung möglichst nah an der wirklichen Kapazität gehalten wird. Wenn da 20-30% wegbrechen, heißt das eventuell für die Kunden 20-30% mehr Hardware. Und damit verbunden immer die Frage: Wer zahlts?

Aber ich habe da auch schon die ersten Stimmen in die Richtung aus Fefe's Blog vernommen - der sich schon wunderte, warum das nicht schon früher eingesetzt hat. blog.fefe.de/?ts=a4afaacc
Ich denke das muss erstmal die Chefetagen erreichen, dass hier mehr Hardware für die gleiche Leistung gebraucht wird. Dann werden die Aufschreie kommen..

Liebe Grüße,
KlaRen

Hallo KlaRen,

zur Performance nach dem Patch
www.epicgames.com/fortnite/forums/news/announcements/132642-epic-services-stability-update

Gruß
Hanjo

So 4 1/2 Tage nach Debian 9 Stretch kann jetzt auch Oldstable Jessie aktualisiert werden.

Ah, endlich! Ich wundere mich nur über neue Abhängigkeiten.

Den Medienberichten nach ist das Thema damit aber noch nicht durch, sondern erst der Anfang. Zumal es sich ja jetzt zeigt, dass das Problem wirklich nur die Spitze des Eisbergs ist.

IMHO ein lesenswertes/hörenswertes Interview zum Spectre und Meltdown Thema, welches auch für nicht "Kracks" verständlich sein wird. Eine Einschätzung bzw. Ausblick über die künftigen Spectre und Meltdown Exploit- und CPU-Designentwicklungen von Daniel fand ich auch interessant.

video.golem.de/security/20454/daniel-gruss-ueber-meltdown-und-spectre-interview.html

Die neusten Flicken sind im Anmarsch .

Die ersten Exploits trudeln ein. Da bewahrheitet sich der alte chinesische Fluch: "Du mögest in spannenden Zeiten leben."

Und Linus spricht aus was andere denken.
Wenn sich die Sicherheitslücken allein durch Software nicht wirklich schließen lassen, liegt der Gedanke nahe, bis zum nächsten Hardwarekauf neben dem üblichen Sicherheits 1*1 auf ein RollingRelease-System umzusteigen, und so durch die ständigen Updates wenigstens potenzielle Angriffsziele "zu verwackeln".

" told you so "