xen https://blog.werk21.de/de de Subnetz, Zusatz-IPs oder Failover-IPs mit netplan / systemd bei Hetzner konfigurieren (Ubuntu 18.04 / Xen) https://blog.werk21.de/de/2018/07/06/subnetz-zusatz-ips-oder-failover-ips-netplan-systemd-hetzner-konfigurieren-ubuntu-1804 <span>Subnetz, Zusatz-IPs oder Failover-IPs mit netplan / systemd bei Hetzner konfigurieren (Ubuntu 18.04 / Xen)</span> <span><span lang="" about="/de/user/15" typeof="schema:Person" property="schema:name" datatype="">kelly</span></span> <span>Fr., 06.07.2018 - 08:31 Uhr</span> <div class="field field--name-body field--type-text-with-summary field--label-hidden field--item"><h2>Host-Konfiguration</h2> <p>Der Server unter Ubuntu 18.04 wird vom Hetzner-Script installimage mit netplan installiert (vorher mit systemd-network).</p> <h3>Netzwerk-Konfiguration</h3> <p>Für Zusatz-IPs, Subnetze oder Fail-Over-IP-Adressen ist keine Konfiguration des Hosts-System nötig, wenn diese Adressen von den Xen-Gästen verwendet werden sollen.</p> <h3>Routed Network</h3> <p>Bei Hetzner muss xen als routed network betrieben werden. Die entsprechenden Konfigurations-Dateien <strong>/etc/xen/xl.conf </strong>sind dahingehend anzupassen:</p> <div class="geshifilter"><pre class="php geshifilter-php" style="font-family:monospace;">vif<span style="color: #339933;">.</span><span style="color: #b1b100;">default</span><span style="color: #339933;">.</span>script<span style="color: #339933;">=</span><span style="color: #0000ff;">&quot;vif-route&quot;</span> vif<span style="color: #339933;">.</span><span style="color: #b1b100;">default</span><span style="color: #339933;">.</span>gatewaydev<span style="color: #339933;">=</span><span style="color: #0000ff;">&quot;eth0&quot;</span></pre></div> <p>Statt eth0 muss die Bezeichnung der Netzwerkkarte verwendet werden.</p> <p>Anschließend muss das Routing im System in der Datei <strong>/etc/sysctl.d/99-hetzner.conf </strong>aktiviert werden:</p> <div class="geshifilter"><pre class="php geshifilter-php" style="font-family:monospace;">net<span style="color: #339933;">.</span>ipv4<span style="color: #339933;">.</span>ip_forward<span style="color: #339933;">=</span><span style="color: #cc66cc;">1</span></pre></div> <p>Anschließend laden der Konfigurationen:</p> <div class="geshifilter"><pre class="php geshifilter-php" style="font-family:monospace;">sysctl <span style="color: #339933;">-</span>p <span style="color: #339933;">/</span>etc<span style="color: #339933;">/</span>sysctl<span style="color: #339933;">.</span>conf</pre></div> <h2>Konfiguration virtueller Maschinen</h2> <p>Nach der Einrichtung mit xen-tools existiert keine funktionierende Netzwerk-Konfiguration. Über die xen-Konsole muss das Netzwerk eingerichtet werden.</p> <h3>Netzwerk</h3> <p>Netzwerk-Einstellungen in <strong>/etc/systemd/network/10-eth0.network</strong>:</p> <div class="geshifilter"><pre class="php geshifilter-php" style="font-family:monospace;"><span style="color: #009900;">&#91;</span>Match<span style="color: #009900;">&#93;</span> Name<span style="color: #339933;">=</span>eth0 &nbsp; <span style="color: #009900;">&#91;</span>Address<span style="color: #009900;">&#93;</span> Address<span style="color: #339933;">=</span>aaa<span style="color: #339933;">.</span>bbb<span style="color: #339933;">.</span>ccc<span style="color: #339933;">.</span>ddd Peer<span style="color: #339933;">=</span>AAA<span style="color: #339933;">.</span>BBB<span style="color: #339933;">.</span>CCC<span style="color: #339933;">.</span>DDD<span style="color: #339933;">/</span><span style="color: #cc66cc;">32</span> &nbsp; <span style="color: #009900;">&#91;</span>Route<span style="color: #009900;">&#93;</span> Gateway<span style="color: #339933;">=</span>AAA<span style="color: #339933;">.</span>BBB<span style="color: #339933;">.</span>CCC<span style="color: #339933;">.</span>DDD</pre></div> <ul> <li>aaa.bbb.ccc.ddd IP-Adresse der VM</li> <li>AAA.BBB.CCC.DDD IP-Adresse des Host-Systems</li> </ul> <p>Durch die Verwendung von Peer (was PointToPoint) entspricht, können alle IP-Adressen eines Subnetzes verwendet werden, da kein Routing im Subnetz benötigt wird.</p> <h4>Konfiguration laden</h4> <div class="geshifilter"><pre class="php geshifilter-php" style="font-family:monospace;">systemctl enable systemd<span style="color: #339933;">-</span>networkd service systemd<span style="color: #339933;">-</span>networkd start ip route add <span style="color: #b1b100;">default</span> via AAA<span style="color: #339933;">.</span>BBB<span style="color: #339933;">.</span>CCC<span style="color: #339933;">.</span>DDD </pre></div> <ul> <li>AAA.BBB.CCC.DDD IP-Adresse des Host-Systems</li> </ul> <h3>Nameserver ohne systemd</h3> <div class="geshifilter"><pre class="php geshifilter-php" style="font-family:monospace;">systemctl disable systemd<span style="color: #339933;">-</span>resolved<span style="color: #339933;">.</span>service systemctl stop systemd<span style="color: #339933;">-</span>resolved &nbsp; rm <span style="color: #339933;">/</span>etc<span style="color: #339933;">/</span>resolv<span style="color: #339933;">.</span>conf &nbsp; cat <span style="color: #339933;">&lt;&lt;</span> EOF <span style="color: #339933;">&gt;</span> <span style="color: #339933;">/</span>etc<span style="color: #339933;">/</span>resolv<span style="color: #339933;">.</span>conf nameserver 213<span style="color: #339933;">.</span>133<span style="color: #339933;">.</span>98<span style="color: #339933;">.</span>98 nameserver 213<span style="color: #339933;">.</span>133<span style="color: #339933;">.</span>100<span style="color: #339933;">.</span>100 nameserver 213<span style="color: #339933;">.</span>133<span style="color: #339933;">.</span>99<span style="color: #339933;">.</span>99 EOF &nbsp; service postfix restart</pre></div> <h3>Nameserver mit systemd</h3> <p>In Datei <strong>/etc/systemd/resolved.conf</strong> ergänzen:</p> <div class="geshifilter"><pre class="php geshifilter-php" style="font-family:monospace;">DNS<span style="color: #339933;">=</span>213<span style="color: #339933;">.</span>133<span style="color: #339933;">.</span>98<span style="color: #339933;">.</span>98 213<span style="color: #339933;">.</span>133<span style="color: #339933;">.</span>100<span style="color: #339933;">.</span>100 213<span style="color: #339933;">.</span>133<span style="color: #339933;">.</span>99<span style="color: #339933;">.</span>99</pre></div> <h4>Konfiguration laden</h4> <div class="geshifilter"><pre class="php geshifilter-php" style="font-family:monospace;">service systemd<span style="color: #339933;">-</span>resolved restart</pre></div> <h4>Resolver-Status kontrollieren</h4> <div class="geshifilter"><pre class="php geshifilter-php" style="font-family:monospace;">systemd<span style="color: #339933;">-</span>resolve <span style="color: #339933;">--</span>status</pre></div> <h3>Löschen /etc/network/interfaces</h3> <p>Die alte Konfiguration muss noch gelöscht werden, damit diese nicht später genutzt wird.</p> <div class="geshifilter"><pre class="php geshifilter-php" style="font-family:monospace;">rm <span style="color: #339933;">/</span>etc<span style="color: #339933;">/</span>network<span style="color: #339933;">/</span>interfaces</pre></div> <h3>Weitere IP-Adressen konfigurieren</h3> <p>Werden weitere IP-Adressen benötigt (z.B. eine zusätzliche Failover-IP), wird diese als weitere IP-Adresse in der Xen-Gast-Konfiguration hinterlegt:</p> <div class="geshifilter"><pre class="php geshifilter-php" style="font-family:monospace;">vif <span style="color: #339933;">=</span> <span style="color: #009900;">&#91;</span> <span style="color: #0000ff;">'ip=aaa.bbb.ccc.ddd/32 eee.fff.ggg.hhh/32 iii.jjj.kkk.lll/32,mac=AA:AA:AA:AA:AA:AA'</span><span style="color: #339933;">,</span> <span style="color: #009900;">&#93;</span></pre></div> <p>Es empfiehlt sich, eine MAC-Adresse zu vergeben, um nach dem Neustart eines Gastes nicht mit dem arp-cache des Hosts in Konflikt zu geraten.</p> <p>Die IP-Adressen werden alle auf eth0 im Gast zur Verfügung gestellt.</p> <p>Die Konfiguration von eth0 muss entsprchend in <strong>/etc/systemd/network/10-eth0.network</strong> angepasst werden:</p> <div class="geshifilter"><pre class="php geshifilter-php" style="font-family:monospace;"><span style="color: #009900;">&#91;</span>Match<span style="color: #009900;">&#93;</span> Name<span style="color: #339933;">=</span>eth0 &nbsp; <span style="color: #009900;">&#91;</span>Address<span style="color: #009900;">&#93;</span> Address<span style="color: #339933;">=</span>aaa<span style="color: #339933;">.</span>bbb<span style="color: #339933;">.</span>ccc<span style="color: #339933;">.</span>ddd Peer<span style="color: #339933;">=</span>AAA<span style="color: #339933;">.</span>BBB<span style="color: #339933;">.</span>CCC<span style="color: #339933;">.</span>DDD<span style="color: #339933;">/</span><span style="color: #cc66cc;">32</span> &nbsp; <span style="color: #009900;">&#91;</span>Address<span style="color: #009900;">&#93;</span> Address<span style="color: #339933;">=</span>eee<span style="color: #339933;">.</span>fff<span style="color: #339933;">.</span>ggg<span style="color: #339933;">.</span>hhh Peer<span style="color: #339933;">=</span>AAA<span style="color: #339933;">.</span>BBB<span style="color: #339933;">.</span>CCC<span style="color: #339933;">.</span>DDD<span style="color: #339933;">/</span><span style="color: #cc66cc;">32</span> &nbsp; <span style="color: #009900;">&#91;</span>Address<span style="color: #009900;">&#93;</span> Address<span style="color: #339933;">=</span>iii<span style="color: #339933;">.</span>jjj<span style="color: #339933;">.</span>kkk<span style="color: #339933;">.</span>lll Peer<span style="color: #339933;">=</span>AAA<span style="color: #339933;">.</span>BBB<span style="color: #339933;">.</span>CCC<span style="color: #339933;">.</span>DDD<span style="color: #339933;">/</span><span style="color: #cc66cc;">32</span> &nbsp; <span style="color: #009900;">&#91;</span>Route<span style="color: #009900;">&#93;</span> Gateway<span style="color: #339933;">=</span>AAA<span style="color: #339933;">.</span>BBB<span style="color: #339933;">.</span>CCC<span style="color: #339933;">.</span>DDD</pre></div> <ul> <li>aaa.bbb.ccc.ddd IP-Adresse der ursprünglichen IP-Adresse</li> <li>eee.fff.ggg.hhh IP-Adresse der zusätzlichen IP-Adresse</li> <li>iii.hhh.jjj.lll IP-Adresse der weiteren zusätzlichen IP-Adresse</li> <li>AAA.BBB.CCC.DDD IP-Adresse des Host-Systems</li> </ul> <p>Nicht immer funktioniert der Neustart von systemd-networkd sauber. Ein reboot des Systems liefert verlässlichere Ergebnisse.</p> <p>Aktualisiert am 2018-12-17. Die vorherige Lösung mit verschiedenen Netzwerk-Adaptern im Gast hat sich nicht bewährt.</p></div> <div class="field field--name-field-systems field--type-entity-reference field--label-inline"> <div class="field--label">Systeme</div> <a href="/de/systems/server" class="label label-default" hreflang="de">Server</a> </div> <div class="field field--name-field-tags field--type-entity-reference field--label-inline"> <div class="field--label">Tags</div> <a href="/de/tags/ubuntu" class="label label-default" hreflang="de">ubuntu</a> <a href="/en/tags/network" class="label label-default" hreflang="en">network</a> <a href="/de/tags/xen" class="label label-default" hreflang="de">xen</a> </div> Fri, 06 Jul 2018 06:31:14 +0000 kelly 141 at https://blog.werk21.de Spectre und Meltdown https://blog.werk21.de/de/2018/01/04/spectre-und-meltdown <span>Spectre und Meltdown</span> <div class="field field--name-field-media field--type-entity-reference field--label-hidden field--item"><div> <div class="field field--name-thumbnail field--type-image field--label-hidden field--item"> <img src="/system/files/image/meltdown-spectre_0.png" width="1008" height="434" alt="Vorschaubild" title="Meltdown &amp; Spectre" loading="lazy" typeof="foaf:Image" class="img-responsive" /> </div> </div> </div> <span><span lang="" about="/de/user/15" typeof="schema:Person" property="schema:name" datatype="">kelly</span></span> <span>Do., 04.01.2018 - 22:05 Uhr</span> <div class="field field--name-body field--type-text-with-summary field--label-hidden field--item"><p><em>Stand </em>2018-02-12 21:30 - <em>Wir beobachten die Nachrichten rund um die Exploits mit großem Interesse, da auch wir für den sicheren Betrieb von Servern verantwortlich sind. Unsere Erkenntnisse sammeln wir hier und haben uns entschieden, diese öffentlich zu machen. Die Zusammenstellung hat keinen Anspruch auf Vollständigkeit oder auf Richtigkeit. Dieses Dokument wird laufend überarbeitet (Update-Notizen finden sich am Ende), über Hinweise sind wir jederzeit dankbar. ky.</em></p> <ul> <li><a href="#exploits">Die Exploits</a></li> <li><a href="#angriffsmoeglichkeiten">Angriffsmöglichkeiten</a></li> <li><a href="#linux">Linux-Server</a></li> <li><a href="#firewalls">Firewalls</a></li> <li><a href="#updates">Updates</a></li> </ul> <h2 id="exploits">Die Exploits</h2> <p>Unter den Namen <strong>Spectre</strong> und <strong>Meltdown</strong> sind im Frühjahr 2017 <a href="https://spectreattack.com/">drei Sicherheitslücken</a> entdeckt worden, die sich bestimmte Eigenschaften der CPU zu nutze machen, um sensible Informationen aus anderen Prozessen auszulesen (Spectre) bzw. unerlaubt Informationen aus dem kompletten Hauptspeicher der physischen Maschine auszulesen (Meltdown). Neben dem Datenklau (z.B. Passworte) könnten sensible Informationen auch für die Erlangung von privilegierten lokalen Rechten verwendet werden.</p> <p>Die <strong>Fehlerbehebung ist sehr komplex</strong> bzw. nach Einschätzung vieler Expert*innen gar nicht völlig möglich, ohne die <strong>CPUs auszutauschen</strong>; daher konzentrieren sich zur Zeit alle Entwicklungen auf eine Minimierung der Risiken („Mitigation“).</p> <p>Für die Bugs sind drei international gültige <strong>Bug-Einträge</strong> (CVE - <a href="https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-5753">CVE-2017-5753</a> <a href="https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-5715">CVE-2017-5715</a> <a href="https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-5754">CVE-2017-5754</a> ) erzeugt worden, gleichzeitig wurde vereinbart, vor dem 09.01.2018 diese Bugs nicht zu veröffentlichen („<strong>Embargo</strong>“). Dieses Embargo dient dazu, allen Beteiligten genug Zeit für die Bereitstellung von Updates einzuräumen. (Urlaubs- und ferienbedingt macht dieser Zeitpunkt Sinn - die Updates müssen ja auch zeitnah von irgendwelchen Admins* eingespielt werden.)</p> <p><strong>Leider hat das Embargo nicht gegriffen</strong>, aus Entwicklungskreisen drangen Hinweise nach außen, zuerst berichtete <a href="https://www.theregister.co.uk/2018/01/02/intel_cpu_design_flaw/">TheRegister</a> über eine derartige Lücke, woraufhin <a href="https://googleprojectzero.blogspot.de/2018/01/reading-privileged-memory-with-side.html">Google seine Erkenntnisse</a> am 3.1.18 veröffentlicht hat („Disclosure“), in den letzten Stunden haben viele weitere Anbieter nachgezogen.</p> <p><strong>Das Problem ist, dass nun diese Angriffsvektoren bekannt sind aber in vielen Fällen noch keine Updates bereit stehen.</strong> Angesichts der Tatsache, dass jegliche Hardware mit einem Prozessor von Intel, AMD oder Arm (AMD und Arm „nur“ Spectre) betroffen sind, ist das verdammt viel - PCs, Server, Smartphones, Router, Firewalls, IoT-Geräte, Embedded Hardware in Industrie oder Autos. Also eigentlich alles.</p> <p><strong>Cert Bund</strong> informiert in <a href="https://www.cert-bund.de/advisoryshort/CB-K18-0010%20UPDATE%201">CB-K18/0010</a>.</p> <h2 id="angriffsmoeglichkeiten">Angriffsmöglichkeiten</h2> <p><strong>Um diese Exploits auszunutzen</strong>, muss natürlich erst einmal der Angriffscode auf den Rechner gelangen und dort ausgeführt werden.<br /> <strong>Meltdown</strong> ist daher (bisher) kein Remote-Angriff, dafür kann mit einem erfolgreichen Angriff eines lokalen Accounts der ganze Hauptspeicher des ganzen <em>physischen</em> Servers ausgelesen werden. Mit etwas Pech finden sich dort genug Informationen, um danach das System zu übernernehmen. Unterdessen (8.1.) berichtet <a href="https://blog.fefe.de/?ts=a4ad9f54">Fefe über Hinweise</a>, dass Meltdown nicht ohne Weiteres ausgenutzt werden kann. Das bringt vielleicht etwas Zeit, bis die Kernel überarbeitet worden sind, v.a. auch in Hinblick auf künftige Performancegewinne - die aktuellen Lösungen dienen in meiner Wahrnehmnung vor allem dazu, die Lücke zuzunageln.<br /> <strong>Spectre</strong> hingegen kann auch remote verwendet werden, zum Beispiel scheint geschickt programmierter Javascriptcode (Javascript wird auf de facto jeder Webseite eingesetzt) auszureichen, damit der <a href="https://blog.mozilla.org/security/2018/01/03/mitigations-landing-new-class-timing-attack/">lokale Browser diese Lücke ausnutzt</a> und ein Angriff stattfinden kann. Theoretisch ist also ein Angriff (Ausspähen von Daten wie Passworten oder Dokumenten aus dem Browser (andere Tabs!), evtl. Installation von Schadcode) über Webseiten möglich. Microsoft, Chrome und Mozilla arbeiten bereits an Sofortmaßnahmen oder haben diese veröffentlicht (<a href="https://www.mozilla.org/en-US/security/advisories/mfsa2018-01/">Mozilla</a> <a href="https://support.google.com/faqs/answer/7622138#chrome">Chrome</a> <a href="https://blogs.windows.com/msedgedev/2018/01/03/speculative-execution-mitigations-microsoft-edge-internet-explorer/#TfomEjkbwK0QHoE8.97">Microsoft</a> <a href="https://support.apple.com/en-us/HT208394">Safari</a>).<br /> Gute Infos zu Exploits und <strong>Proof of Concepts</strong> liefern die Kolleg*en von <a href="https://entwickler.de/online/security/cpu-spectre-meltdown-579825774.html">entwickler.de</a>.</p> <p>Fatal ist die Lücke für <strong>Multiusersysteme</strong>, wie z.B. Hochschulserver. Jede/r User*in mit lokaler Kommandozeile kann theoretisch diese Lücken ausnutzen bzw. Opfer eines solchen Angriffs sein (z.B. Ausspähen von Daten wie Passworte oder E-Mails).</p> <p>Noch schlimmer wird es in der <strong>„Cloud“</strong> bzw. <strong>Virtualisierungsservern</strong>. Die dort laufenden virtuellen Systeme ("VServer") haben durch die Lücke von Meltdown die Möglichkeit, den <strong>Hauptspeicher aller anderen derzeit laufenden virtuellen Maschinen</strong> auszulesen. Alle im Hauptspeicher enthaltenen Daten all dieser virtuellen Maschinen auf der gleichen Hardware können im Klartext abgerufen und gespeichert werden. Dies sind nicht nur Dokumente, sondern auch Variablen von laufenden Programmen, in denen Daten oder Passworte abgelegt sein können.<br /> Betroffen davon sind wahrscheinlich ebenso <strong>Cloud-Dienste</strong> wie Amazon Cloud, Microsoft Azure oder Google Compute Engine - bei allen diesen Diensten teilen sich mehrere virtuelle Server die gleiche Hardware. Alle diese Dienste arbeiten bereits an Lösungen oder haben diese bereits eingespielt. Schwierig wird es für kleine Cloud-Betreiber sein, die nicht vorab über die Sicherheitslücken informiert wurden und nun einige schlaflose Nächte haben werden (die Kunden wohl auch).<br /> Betroffen sind aber auch <strong>Hostingprovider</strong>, die mit Virtualisierung arbeiten und einzelne VServer anbieten (wie Hetzner, Strato oder 1&amp;1 zum Beispiel - Hetzner informiert übrigens <a href="https://wiki.hetzner.de/index.php/Spectre_and_Meltdown">vorbildlich</a>). In den nächsten Tagen ist hier hoffentlich mit Updates zu rechnen.</p> <p>Für <strong>Windows-PCs</strong>, <strong>Apple (MacOS)</strong> und <strong>Smartphones </strong>gibt es bei <a href="https://www.n-tv.de/technik/Diese-Updates-flicken-die-Monster-Luecke-article20213503.html">n-tv eine gute Übersicht</a>. (Hoffentlich bieten viele Smartphone-Anbieter zügig Updates auch für alte Systeme an - ein riesen Sicherheitsproblem!)</p> <p><strong>Microsoft</strong> hat für <strong>Windows</strong> bereits sehr früh <a href="https://support.microsoft.com/en-us/help/4056892/windows-10-update-kb4056892">Updates geliefert und informiert</a>, weitere Updates folgten am <a href="https://support.microsoft.com/en-us/help/4073291/january-18-2018-kb4073291-os-build-16299-201">18.01.</a> und <a href="https://support.microsoft.com/en-us/help/4058258">31.01.</a>.</p> <p><strong>Apple</strong> hat sich am 5.1. auch <a href="https://support.apple.com/en-us/HT208394">geäußert</a>: Mitigations für Meltdown sind bereits veröffentlicht (iOS 11.2, macOS 10.13.2, and tvOS 11.2). Spectre: Updates für Safari (<a href="https://support.apple.com/de-de/HT208403">11.02</a>) für iOS (<a href="https://support.apple.com/de-de/HT208401">11.2.2</a>), macOS (<a href="https://support.apple.com/de-de/HT208397">10.13.2</a> und <a href="https://support.apple.com/de-de/HT208465">10.12.6 und 10.11.6</a>), für tvOS und watchOS ist anscheinend gegen Spectre noch nichts erschienen oder sie sind nicht betroffen.</p> <p><strong>Privatanwender </strong>sollten also dringend ihre PCs, Smartphones und Browser aktualisieren.</p> <h2 id="linux">Linux-Server</h2> <p>Für <strong>Linux-Server</strong> haben die Distributionen verschiedene Stände. Ein sinnvolles Update umfasst nach unserer Einschätzung ein <strong>Update des Microcodes</strong> der CPU, des Linux (<strong>Kernel</strong>) und der <strong>Virtualisierungssoftware</strong> / Hypervisor (kvm, qemu, xen, ...):</p> <p>Mit einem <strong>Update des Microcodes</strong> kann das Verhalten der CPU geändert werden ("Firmware-Update"). Die modernen CPUs bieten dafür Möglichkeiten, damit diesen Updatevorgang die Betriebssystem-Software übernimmt.<br /> <strong>Intel </strong>hat <a href="https://newsroom.intel.com/news-releases/intel-issues-updates-protect-systems-security-exploits/">am 4.1. mitgeteilt</a>, dass Updates für Prozessoren der letzten fünf Jahre bereitgestellt werden. Dieses wird in einer <a href="https://newsroom.intel.com/news/intel-offers-security-issue-update/">Mitteilung vom 09.01</a>. konkretisiert. In einem offenen Brief ("<a href="https://newsroom.intel.com/news-releases/security-first-pledge/">Security-First Pledge</a>") vom 11.01. sichert Intel die Zurverfügungstellung der Microcode-Updates bis Ende Januar vor, wobei bis zum 15.1. bereits Patches für 90% der Prozessoren aus den letzten fünf Jahren bereit gestellt werden sollen. Das hat offensichtlich nicht geklappt.<br /> Am 09.01. hat Intel neuen Microcode bereitgestellt, der aber nach einigen Tagen aufgrund diverser Probleme wieder zurückgezogen wurde (Link zur <a href="https://downloadcenter.intel.com/de/product/873/Prozessoren">Liste der Microcode-Updates</a>). <br /> Außerdem existiert ein <a href="https://security-center.intel.com/advisory.aspx?intelid=INTEL-SA-00088&amp;languageid=en-fr">Intel Security Advisory</a>. Am 7.2. hat Intel eine neue Version des Microcodes an die Industrie- und OEM-Partner zur Verfügung gestellt. Wann diese als stabile Veröffentlichung frei gegeben werden bleibt abzuwarten. Eine <a href="https://newsroom.intel.com/wp-content/uploads/sites/11/2018/02/microcode-update-guidance.pdf">Liste der betroffenen Prozessoren</a> gibt es unterdessen auch.<br /> Am 12.02. hat ein Intel <a href="https://newsroom.intel.com/wp-content/uploads/sites/11/2018/02/microcode-update-guidance.pdf">dieses PDF-Dokument</a> veröffentlicht, in dem alle CPUs gelistet sind, für die es Mitigitaions geben wird, ebenso wie der Arbeitsstand dafür ist.<br /> Was mit einem Microcode-Update gerettet werden kann, bleibt abzuwarten. Wie oben beschrieben, gehen die meisten davon aus, dass nur mit neuen CPUs Abhilfe wirksam geschaffen werden kann.<br /> Links zu <a href="https://01.org/security/advisories/intel-oss-10002">Intel-OSS-10002</a> und <a href="https://01.org/security/advisories/intel-oss-10003">Intel-OSS-10003</a>.</p> <p>Für <strong>Xen</strong> existiert bisher ein <a href="https://xenbits.xen.org/xsa/advisory-254.html">Sicherheits-Advisory</a> (unterdessen Version 10 vom 2018-01-18 18:38) und eine <a href="https://blog.xenproject.org/2018/01/04/xen-project-spectremeltdown-faq/">FAQ</a> vom 4.1. und eine <a href="https://blog.xenproject.org/2018/01/22/xen-project-spectre-meltdown-faq-jan-22-update/">aktualisierte FAQ</a> vom 22.1.. Im Fokus stehen Schutzmaßnahmen gegen Meltdown ("SP3"). Betroffen sind 64-Bit PV-Gäste. Xen arbeitet an einer Lösung für die Versionen ab 4.6 und neuer, um <a href="https://de.wikipedia.org/wiki/Kernel_page-table_isolation">PTI/Kaiser</a> für Xen zu ermöglichen, die Performance wird als "fair" angegeben und der Testing-Status als "very new". Bis dahin empfiehlt Xen den <strong>Einsatz von HVM</strong>, was jedoch den Umbau der PV-Gäste erfordert und die Leistung beeinträchtigt. Um den Übergang zu erleichtern, wurde die Lösung <strong>HVM shim</strong> für alle Xen-Versionen geschaffen, um einen "PV-Gast mit Beiwagen" zu betreiben (<a href="https://xenbits.xen.org/xsa/xsa254/README.vixen">HVM shim "Vixen"</a>). Als empfohlene Lösung wird <strong>PVH</strong> vorgeschlagen, das nachträglich für Version 4.8. "als Beiwagen-Lösung" bereit gestellt wird (<strong>PVH shim "Comet"</strong> - <a href="https://xenbits.xen.org/xsa/xsa254/README.comet">Link</a>). In Version 4.10 wird <strong>PVH </strong>nativ enthalten sein wird. Für die Unterschiede der "Beiwagen-Lösungen" gibt es dieses <a href="https://xenbits.xen.org/xsa/xsa254/README.which-shim">Dokument</a>, für die Umwandlung von PV nach <em>HVM shim with "sidecar" ISO</em> gibt es dieses <a href="https://xenbits.xen.org/xsa/xsa254/pvshim-converter.pl">Script</a>.<br /> Am 24.01. wurde die <a href="https://www.xenproject.org/downloads/xen-archives/xen-project-48-series/xen-483.html">Version 4.8.3 veröffentlicht</a>, die bereits die PTI-Patches und enthält. Für alle anderen Versionen ab 4.6 und neuer sind bereits <a href="https://xenbits.xen.org/xsa/xsa254/README.pti">commits</a> angegeben, jedoch wurde noch keine Version veröffentlicht.<br /> Alle Xen-basierten Hostsysteme (bis auf 4.8) sind derzeit verwundbar. Xen hat noch ein <a href="https://wiki.xenproject.org/wiki/Respond_to_Meltdown_and_Spectre">weiteres Dokument</a> veröffentlicht, in dem Vorschläge für die praktische Sicherung erörtert werden. Klar ist, dass durch die Updates nicht alle Probleme gelöst werden können. Damit stünden für Meltdown zwei Lösungsvarianten zur Verfügung: Entweder ein sicheres Gastsystem (Kernel mit KPTI-Update und Xen-Hypervisor mit KPI-Patches) oder die Umstellung auf HVM bzw. PVH (wobei PVH erst ab xen 4.10 zur Verfügug steht und damit für Ubuntu 16.04 und auch Ubuntu 18.04 keine Lösung zu sein scheint.)<br /> Um Xen 4.10 zu nutzen, muss dieses für Ubuntu 16.04 und wahrscheinlich 18.04 aus den Quellen selbst gebaut werden (<a href="https://blog.werk21.de/en/2018/02/08/build-xen-hypervisor-410-and-xen-tools-ubuntu-1604-pvh">Howto</a>).</p> <p>Bei <strong>Opensuse</strong> existiert dieses <a href="https://bugzilla.suse.com/show_bug.cgi?id=1074562">Advisory</a>, außerdem existieren bereits <a href="https://www.suse.com/de-de/support/kb/doc/?id=7022512">diverse Updates</a> (kernel, qemu, kvm, microcode). Die haben die Zeit echt genutzt.</p> <p>Bei <strong>RedHat </strong>wurde ebenfalls ein gutes <a href="https://access.redhat.com/security/vulnerabilities/speculativeexecution">Advisory</a> veröffentlicht, ebenso zahlreiche Updates (Kernel, qemu-kvm, libvirt). Auch hier scheint die Zeit gut genutzt worden zu sein.</p> <p><strong>Ubuntu</strong> hat bisher ein <a href="https://wiki.ubuntu.com/SecurityTeam/KnowledgeBase/SpectreAndMeltdown">Advisory</a> (inkl. Übersicht der betroffenen Kernel und Updates) sowie mehrere Updates veröffentlicht. Hier die Einträge im CVE-Tracker:</p> <ul> <li><a href="https://people.canonical.com/~ubuntu-security/cve/2017/CVE-2017-5753.html">CVE-2017-5753</a></li> <li><a href="https://people.canonical.com/~ubuntu-security/cve/2017/CVE-2017-5715.html">CVE-2017-5715</a></li> <li><a href="https://people.canonical.com/~ubuntu-security/cve/2017/CVE-2017-5754.html">CVE-2017-5754</a></li> </ul> <p>xen fehlt leider jedoch völlig in den Listen der möglicherweise betroffenen Pakete. Im o.g. <a href="https://wiki.ubuntu.com/SecurityTeam/KnowledgeBase/SpectreAndMeltdown">Advisory</a> sind die Updates (v.a. Kernel-Updates) aufgelistet. Mit den Kernel-Updates sind die Systeme gegen Spectre 1, Spectre-2 (Retpoline) und Meltdown geschützt. Der Betrieb von sicheren Xen-Gästen (Meltdown!) mit ist jedoch bisher nur mit Umwandlung nach HVM möglich, da PVHVM noch nicht unterstützt wird. Auch wenn xen an updates für 4.6 arbeitet (s.o.) ist unklar, wann diese erscheinen und ob Ubuntu diese Übernimmt. Alternative: <a href="https://blog.werk21.de/en/2018/02/08/build-xen-hypervisor-410-and-xen-tools-ubuntu-1604-pvh">Xen per Hand bauen</a>.</p> <p>Bei <strong>Debian</strong> habe ich kein <a href="https://www.debian.org/security/">Security Advisory</a> gefunden, stattdessen nur <em>eine </em>Mail auf debian-user - auf debian-security oder debian-security-announce gab es keine Mail. Nicht befriedigend! Immerhin hier der CVE-Tracker:</p> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2017-5753">CVE-2017-5753</a></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2017-5715">CVE-2017-5715</a></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2017-5754">CVE-2017-5754</a></li> </ul> <p>Am 04.01.2018 erschien ein erstes Debian Security <a href="https://www.debian.org/security/2018/dsa-4078">Advisory DSA-4078</a> mit einem Update für CVE-2017-5754 für die stable-Version mit dem aktuellen Kernel 4.9.65-3+deb9u2 (stretch). Unterdessen (Stand 8.1.) sind ebenfalls die Kernel 3.2.96-3 (wheezy) und 4.14.12-2 (sid) verfügbar. Am 09.01. kam ist das Update für Meltdown für Jessie erscheinen (<a href="https://security-tracker.debian.org/tracker/DSA-4082-1">DSA-4082-1</a>). Gegen Spectre wurden bsiher keine Updates veröffentlicht.</p> <p>Auf <strong>BSD </strong>beruhen viele Sicherheits-Appliances, allerdings wurde BSD erst <a href="https://www.freebsd.org/news/newsflash.html#event20180104:01">Ende Dezember</a> informiert (Was soll das?!). <a href="https://lists.freebsd.org/pipermail/freebsd-security/2018-January/009651.html">A</a><a href="https://lists.freebsd.org/pipermail/freebsd-security/2018-January/009719.html">m 8.1. hat FreeBSD einen Fahrplan vorgelegt.</a> Für Updates <a href="https://www.freebsd.org/security/advisories.html">hier ab und zu einen Blick werfen</a> oder die Debatten auf der <a href="https://lists.freebsd.org/pipermail/freebsd-security/">Mailingliste bsd-security</a> verfolgen. Interessant ist noch <a href="https://github.com/lattera/articles/blob/master/infosec/Vulnerabilities/2018-01-05_Meltdown_Spectre/article.md">dieser Blog-Eintrag</a>, in dem über das Vorgehen für <a href="https://hardenedbsd.org/"><strong>Hardened-BSD</strong></a> und die Überlegung über <a href="https://reviews.llvm.org/D41723">retpoline</a> berichtet wird. Für BSD liegen seit dem 21.2. <a href="https://undeadly.org/cgi?action=article;sid=20180221201856">Patches gegen Meltdown vor</a>.</p> <p>Eine <a href="https://www.thomas-krenn.com/de/wiki/Sicherheitshinweise_zu_Meltdown_und_Spectre">Übersicht über die Linux-Updates</a> wird auch vom Serverspezialisten Thomas Krenn gepflegt.</p> <h2 id="firewalls">Firewalls</h2> <p>Der Firewallhersteller <strong>Cisco </strong>informiert in seinen <a href="https://tools.cisco.com/security/center/publicationListing.x">Advisories</a> über <a href="https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180104-cpusidechannel">CPU Side-Channel Information Disclosure Vulnerabilities</a> und betroffene Geräte. Die Liste wird regelmäßig aktualisiert und enthält unterdessen auch Datumsangaben für die Verfügbarkeit von Updates. Generell stellt Cisco klar, dass auf <strong>Hardware-Appliances</strong> in der Regel keine lokale User existieren, die Code ausführen können, so dass die Angriffsvektoren kleiner sind als auf Servern, auf die verschiedene User zugreifen können. Ähnliches gilt natürlich auch andere Appliances.</p> <p>Der Firewallhersteller <strong>Juniper </strong>informiert in diesem <a href="https://forums.juniper.net/t5/Security-Now/Meltdown-amp-Spectre-Modern-CPU-vulnerabilities/ba-p/317254">Blogbeitrag</a> über betroffene Geräte und kündigt Updates an (siehe <a href="https://kb.juniper.net/InfoCenter/index?page=content&amp;channel=SECURITY_ADVISORIES">Security Advisories</a>). Am 05.01. hat Cisco das <a href="https://kb.juniper.net/InfoCenter/index?page=content&amp;id=JSA10842&amp;cat=SIRT_1&amp;actp=LIST">Security Advisory JSA10842</a> veröffentlicht, in dem die betroffenen Geräte benannt werden und das regelmäßig aktualisiert wird. Als Mitigation wird empfohlen, nur Software aus verlässlichen Quellen einzusetzen und den Zugriff nur vertrauenswürdigen Administrator*innen zu gewähren (Äh? Und sonst darf da ja jeder ran?!).</p> <p>Der Firewallhersteller <strong>Sophos </strong>hat bereits <a href="https://community.sophos.com/kb/en-US/128053">Informationen für die Software-Version </a>veröffentlicht. Am 6.1. wurden <a href="https://community.sophos.com/kb/en-us/128053#nsg">Informationen über die Hardware-Appliances</a> ergänzt: An den Updates für die Kernel und ggf. Firmware wird gearbeitet. Dies haben alle Kund*innen auch nochmals per Mail am 9.1. erhalten. Seit dem 5.1. stellt Sophos außerdem <a href="https://community.sophos.com/kb/en-us/128053#protection">Protections</a> zum Schutz vor Threats zur Verfügung. In der Liste <a href="https://community.sophos.com/kb?TopicId=1214">Advisories</a> kann man den Stand neuer Meldungen verfolgen.</p> <p>Die Opensource-Firewall <strong>OPNsense</strong> (BSD-basiert) hat zeitnah am 03.01. per <a href="https://twitter.com/opnsense/status/948683628137140226">twitter reagiert</a> und auf BSD verwiesen, die bereits an Updates arbeiten. Einen aktuellen Stand dürfte es dann auch der <a href="https://opnsense.org/blog/">Blog-Seite</a> oder dem <a href="https://twitter.com/opnsense">twitter-channel</a> geben. Seit dem sind mehrere RCs und Versionen schienen, die jedoch noch keine Updates für Meltdown und Spectre enthalten. In den Releasenotes für OPNSense 18.1 steht der Hinweis: "Meltdown and Spectre patches are currently being worked on in FreeBSD, but there is no reliable timeline.  We will keep you up to date through the usual channels as more news become available.  Hang in there!" mit diesem <a href="https://lists.freebsd.org/pipermail/freebsd-security/2018-January/009719.html">Link</a>.</p> <p>Die ebenfalls BSD-basierende Firewall <strong>pfSense</strong> hat am 4.1. per <a href="https://twitter.com/pfsense/status/948706429325795328">twitter</a> ebenfalls auf Updates von freeBSD verwiesen, seit dem 08.01. existiert dieser <a href="https://www.netgate.com/blog/an-update-on-meltdown-and-spectre.html">Blogeintrag zum weiteren Vorgehen</a>. Link zu den <a href="https://www.pfsense.org/security/advisories/">Security Advisories</a> und <a href="https://twitter.com/pfsense">twitter-channel</a>.</p> <h2>Zum Schluss</h2> <ol> <li>Hier eine sehr gute und verständliche Zusammenfassung auf Englisch: <a href="https://www.renditioninfosec.com/files/Rendition_Infosec_Meltdown_and_Spectre.pdf">https://www.renditioninfosec.com/files/Rendition_Infosec_Meltdown_and_Spectre.pdf</a><br />  </li> <li>fefe hat wie immer Recht:<br /> <a href="https://blog.fefe.de/?ts=a4b0f03c">"Komplexität ist der Feind [von Sicherheit]."</a></li> </ol> <h2 id="updates">Updates:</h2> <ul> <li>2018-01-04 23:44 Debian veröffentlicht Kernel-Update für CVE-2017-5754.</li> <li>2018-01-05 07:30 ergänzt BSD, Cisco, Juniper, Sophos und pfsense und OPNsense.</li> <li>2018-01-05 09:00 ergänzt Informationen zu Apple.</li> <li>2018-01-05 09:45 Ergänzt qemu bei xen.</li> <li>2018-01-05 11:30 Ergänzt Intel-Announcement und Xen-FAQ.</li> <li>2018-01-05 13:00 Link zu entwickler.de ergänzt.</li> <li>2018-01-05 22:45 Ubuntu-Zeitplanung ergänzt.</li> <li>2018-01-06 13:00 Ergänzung bei Xen um "Respond to Meltdown and Spectre" und Lösungsskizzen</li> <li>2018-01-07 01:30 Richtigstellung: OPNsense hat sehr schnell via <a href="https://twitter.com/opnsense/status/948683628137140226">twitter</a> reagiert - sorry! Dank an <a href="https://twitter.com/mimu_muc/status/949723351509069825">@mimu_muc</a></li> <li>2018-01-07 01:30 Cisco-Informationen aktualisiert - Danke an an <a href="https://twitter.com/opnsense/status/949782260223488000">@opnsense</a></li> <li>2018-01-07 01:30 Infos zu Hardened-BSD übernommen - danke an <a href="https://twitter.com/lattera/status/949395374938214400">@opnsense</a> (retweet).</li> <li>2018-01-07 02:15 Link zum Debian Advisory DSA-4078-1 ergänzt.</li> <li>2018-01-07 02:15 Link zur FreeBSD-Mailingliste freebsd-security ergänzt.</li> <li>2018-01-07 02:40 Ergänzung zu Sophos-Appliances und Protections.</li> <li>2018-01-07 20:30 Juniper-Advisory JSA10842 ergänzt.</li> <li>2018-01-07 22:45 Link zu Thomas Krenn ergänzt.</li> <li>2018-01-08 09:15 Ubuntu: Verfügbarkeit der Test-Kernels ergänzt.</li> <li>2018-01-08 23:30 Weitere Debian-Kernel aktualisiert.</li> <li>2018-01-08 23:30 FreeBSD-Fahrplan ergänzt.</li> <li>2018-01-09 01:30 Neue Informationen von pfsense/netgate ergänzt.</li> <li>2018-01-09 17:30 Debian-Update für Jessie ergänzt.</li> <li>2018-01-09 18:00 Hinweis auf Fefe zu Risiken von Meltdown ergänzt.</li> <li>2018-01-10 05:30 Ubuntu stellt Kernel-Updates gegen Meltdown zur Verfügung.</li> <li>2018-01-10 20:00 Ubuntu stellt neue Kernel-Updates zur Verfügung (regression updates).</li> <li>2018-01-11 23:30 Intel-Bereich überarbeitet und aktualisiert</li> <li>2018-01-11 23:30 Link zu Intel-Microcode ergänzt.</li> <li>2018-01-11 23:30 Ubuntu stellt neuen Intel-Microcode bereit.</li> <li>2018-01-12 00:30 Ergänzt RC1 für OPNsense.</li> <li>2018-01-12 00:45 Aktualisierung Xen (v.4).</li> <li>2018-02-07 23:45 Aktualisierung Updates Microsoft inkl. Links.</li> <li>2018-02-07 23:45 Aktualisierung Updates Apple inkl. Links.</li> <li>2018-02-07 23:45 Aktualisierung Intel-Microcode inkl. Link zur Liste der betroffenen Prozessoren.</li> <li>2018-02-07 23:45 Überarbeitung des Xen-Abschnitts (v. 10) und Ergänzung Links.</li> <li>2018-02-07 23:45 Aktualisierung Ubuntu.</li> <li>2018-02-07 23:45 Aktualisierung Debian.</li> <li>2018-02-07 23:45 Aktualisierung OPNsense.</li> <li>2018-02-12 10:45 Informationen zu Intel ergänzt</li> <li>2018-02-21 23:00 Information zu Meltdown und BSD ergänzt</li> <li>2018-02-22 21:30 Informationen zu Ubuntu und Spectre-2 ergänzt.</li> </ul></div> <div class="field field--name-field-systems field--type-entity-reference field--label-inline"> <div class="field--label">Systeme</div> <a href="/de/systems/server" class="label label-default" hreflang="de">Server</a> </div> <div class="field field--name-field-tags field--type-entity-reference field--label-inline"> <div class="field--label">Tags</div> <a href="/de/tags/bug" class="label label-default" hreflang="de">bug</a> <a href="/en/tags/updates" class="label label-default" hreflang="en">Updates</a> <a href="/en/tags/spectre" class="label label-default" hreflang="en">Spectre</a> <a href="/en/tags/meltdown" class="label label-default" hreflang="en">Meltdown</a> <a href="/de/tags/xen" class="label label-default" hreflang="de">xen</a> <a href="/en/tags/firewall" class="label label-default" hreflang="en">Firewall</a> </div> Thu, 04 Jan 2018 21:05:10 +0000 kelly 132 at https://blog.werk21.de