Как и все участники ИТ-сектора, 14 мая 2019 года компания OVH была проинформирована об уязвимостях системы безопасности после обнаружения аппаратных уязвимостей на процессорах Intel.

Эти новые уязвимости аналогичны предыдущим уязвимостям спектра и расплавлений и затрагивают микропроцессоры Intel, которые являются частью компонентов, используемых OVH.


Эти сбои обозначаются как RIDL, Fallout или ZombieLoad и включают в себя следующие векторы атаки:

• CVE-2018-12126 [выборка данных буфера микроархитектурного хранилища (MSBDS)]
• CVE-2018-12130 [выборка данных микроархитектурного буфера заполнения (MFBDS)]
• CVE-2018-12127 [микроархитектурная выборка данных порта нагрузки (MLPDS)]
• CVE-2019-11091 [микроархитектурная выборка данных без кэшируемой памяти (MDSUM)]

Без вмешательства OVH или его клиентов эти уязвимости могут позволить опытному злоумышленнику провести сложную атаку. Если бы он был завершен, это потенциально обеспечило бы доступ к некоторым данным, размещенным в нашей мультитенантной инфраструктуре.

В настоящее время OVH не получила никакой информации, свидетельствующей о том, что соответствующие уязвимости были использованы в ее инфраструктуре.

Создание надежного облака сопряжено с большой ответственностью, а безопасность данных его клиентов всегда была для OVH первостепенной.

Как только эта информация дошла до нас, OVH немедленно мобилизовала свое кризисное подразделение, чтобы выявить потенциальные последствия этих недостатков и создать подходящее устройство для защиты данных своих клиентов.

Поскольку для устранения некоторых из этих уязвимостей требуется обновление прошивки процессоров Intel, мы тесно контактируем с этим поставщиком, чтобы обеспечить оптимальное развертывание микрокода.

Чтобы устранить эти уязвимости, мы предлагаем нашим клиентам обновить операционную систему своего сервера. Вы можете найти информацию о наиболее распространенных ОС ниже:

• Windows: support.microsoft.com/en-us/help/4072698/windows-server-speculative-execution-side-channel-vulnerabilities-prot
• Linux Red Hat: access.redhat.com/security/vulnerabilities/mds
• Ubuntu: blog.ubuntu.com/2019/05/14/ubuntu-updates-to-mitigate-new-microarchitectural-data-sampling-mds-vulnerabilities

Мы будем информировать вас как можно скорее о плане действий и графике соответствующих операций обновления. Для этого не стесняйтесь регулярно консультироваться:

Есть 9 серверов:
Xeon E3-1245v2 (3.8GHz) [4ядра/8потоков] / 32 ГБ / 3x 120 ГБ SSD / 250 Mbps / Anti-DDoS

Можно ставить Linux и Windows(бесплатно)

Можно заказать у нас в течении еще 2-3 дней.
Цена: 3390р/месяц, заказать можно написав на почту sales@abcd.host либо создать тикет в личном кабинете: panel.abcd.host/billmgr

Сейчас такие серверы для новых заказов стоят около 4000р/месяц с установочным платежом 1600р каждый.

_________
ABCD.host

Как вы, возможно, читали в других местах в средствах массовой информации, Intel недавно опубликовала информацию о новой атаке бокового канала, называемой неисправностью терминала L1 (L1TF). Проблема L1TF влияет только на аппаратное обеспечение, обеспечивающее одновременную многопоточность (SMT) и включающую функцию SMT.

Мы знали о проблеме L1TF с момента ее анонса и работали с Intel, нашими поставщиками оборудования и другими облачными провайдерами, чтобы лучше понять влияние проблемы и снизить риск для клиентов.

Небольшая часть экземпляров VC1, около 10%, работает на серверах с процессорами, совместимыми с SMT. Мы предпринимаем шаги для смягчения проблемы L1TF с помощью комбинации обновлений прошивки, обновлений ядра и настройки политики выселения кэша L1.

Мы будем информировать клиентов с затронутыми экземплярами VC1 перед любым обслуживанием, необходимым для реализации смягчений L1TF.

Все клиенты с экземплярами Pro X64 работают на аппаратном обеспечении, затронутом проблемой L1TF. Мы работаем с нашими поставщиками оборудования для реализации исправлений в микрокодах и будем информировать клиентов об обслуживании, необходимых для завершения реализации смягчения L1TF.

Подводя итог влиянию L1TF на наших клиентов:

• Предложения C1 и ARM64 не затронуты проблемой L1TF, поскольку они не используют процессоры Intel
• Предложения C2 и START не затрагиваются, поскольку их процессоры не поддерживают SMT
• Небольшое подмножество экземпляров VC1 находится на аппаратном обеспечении, уязвимом для L1TF
• Пользователи Pro с экземплярами X64 находятся на аппаратном обеспечении, уязвимом для L1TF
• Клиенты облачного хостинга не пострадали
• Некоторые из наших серверов веб-хостинга уязвимы для L1TF и вскоре будут установлены новым ядром.

В ближайшие дни и недели мы ожидаем полного смягчения L1TF, в течение которого мы свяжемся с затронутыми клиентами напрямую, чтобы уведомить их о любом требуемом техническом обслуживании.

В рамках нашего партнерства с Intel нам сообщили об обнаружении вектора, использующего уязвимости типа «спекулятивное исполнение сторонних каналов». Эта новая уязвимость, L1 Terminal Fault (L1TF), поэтому связана с уязвимостями Spectre и Meltdown, представленными в январе и мае 2018 года.

Что такое L1TF?
Вызывается L1 Terminal Fault (L1TF) или «Foreshadow», эта уязвимость касается процессоров с технологией SMT (более известной как Hyper-Threading в Intel). Это может привести к тому, что вредоносный код работает в одном потоке для доступа к данным из кэша L1 другого потока в одном ядре.

L1FT — это уязвимость, чрезвычайно сложная для реализации, и только доказательство концепции, разработанное в лаборатории, подтвердило ее существование. Хотя нет доказательств того, что он мог быть использован, три идентификатора CVE (высокий) уже созданы:

• L1 Terminal Fault – SGX (CVE-2018-3615) 7.9 High CVSS: 3.0/AV: L/AC: L/PR: N/UI: N/S: C/C: H/I: L/A: N ;
• L1 Terminal Fault – OS, SMM (CVE-2018-3620)
7.1 High CVSS: 3.0/AV: L/AC: L/PR: N/UI: N/S: C/C: H/I: N/A: N ;
• L1 Terminal Fault – VMM (CVE-2018-3646)
7.1 High CVSS: 3.0/AV: L/AC: L/PR: N/UI: N/S: C/C: H/I: N/A: N.

Как защитить себя от этой ошибки?
Уменьшение этих трех вариантов L1 Terminal Fault (L1TF) основано на двух действиях:

использование прошивки с мая (через загрузку OEFH UEFI и / или через операционную систему);
обновление операционных систем и ядер (основной редактор ОС и гипервизоров начнет распространение патча).
OVH будет применять эти исправления на своих хост-машинах, когда они будут доступны, и что мы, как обычно, будем внутренне проверять все наши нерегрессивные тесты.

Клиенты с управляемым предложением (веб-хостинг, электронные письма и т. Д.), Следовательно, не имеют никаких действий для выполнения.

Параллельно для клиентов, имеющих корневой доступ к своим инфраструктурам (выделенные серверы, VPS, Public Cloud, Private Cloud и т. Д.), Обновление операционной системы и ядер (https: // docs. ovh.com/en/dedicated/make-day-kernel-server-dedicated/) обеспечит их.

Подробная информация о варианте CVE-2018-3646
В частном случае варианта 3646 en L1FT может потребоваться некоторое время, чтобы издатели предложили исправление. Ожидая последнего, один из способов защиты от последнего — отключить Hyper-Threading. В зависимости от случая, можно отключить его непосредственно из ОС (Linux, Windows, ...). Согласно нашей информации, VMware ESXi должна предложить эту функцию в будущем обновлении.

Однако будьте осторожны, влияние этой операции с точки зрения производительности может быть очень важным. Учитывая сложность использования этого недостатка, мы рекомендуем дождаться рекомендаций из редактора ОС или гипервизора, которые использовались до отключения Hyper-Threading.

Общие рекомендации
Как всегда, мы рекомендуем нашим клиентам просто обновлять свои системы, чтобы максимально повысить эффективность введенных гарантий.

Являясь глобальным провайдером хостинга и облачных сервисов, мы тесно сотрудничаем с нашими партнерами, производителями и издателями, чтобы ежедневно повышать безопасность нашей инфраструктуры. Мы применяем исправления и исправления при обнаружении новых уязвимостей в дополнение к другим мерам внутренней защиты.

Эта уязвимость L1 Terminal Fault (L1TF) не является исключением. Но столкнувшись с освещением в средствах массовой информации своего открытия и верными ценностям прозрачности OVH, мы хотели, чтобы через это сообщение отвечали на вопросы наших клиентов.

Дополнительная информация:
travaux.ovh.net/?do=details&id=33475
software.intel.com/security-software-guidance/software-guidance/l1-terminal-fault

Ссылки на страницы издателей:
Ubuntu: wiki.ubuntu.com/SecurityTeam/KnowledgeBase/L1TF
VMware: kb.vmware.com/s/article/55636
Microsoft: portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180018
Redhat: access.redhat.com/security/vulnerabilities/L1TF
Susa: www.suse.com/support/kb/doc/?id=7023077

docs.ovh.com/fr/dedicated/information-about-meltdown-spectre-vulnerability-fixes/

As we communicated yesterday, OVH has been informed of the Spectre (CVE-2017-5753 and CVE-2017-5715) and Meltdown (CVE-2017-5754) security vulnerabilities, making a large part of computer equipment in operation vulnerable to potential attacks, particularly those equipped with Intel CPUs.

wiki.hetzner.de/index.php/Spectre_and_Meltdown/en

Current Generation

• EX-Line
• EX41
• EX41-SSD
• EX41S
• EX41S-SSD
• EX51
• EX51-SSD
• EX51-SSD-GPU
• PX-Line
• PX61
• PX61-SSD
• PX61-NVMe
• PX91
• PX91-SSD
• PX121
• PX121-SSD
• DX-Line

• DX141 (Dell R530)
• DX151 (Dell R730)
• DX291 (Dell R730)
• SX-Line
• SX61
• SX131
• SX291
• Managed Servers
• MX90
• MX90-SSD
• MX121
• MX120-SSD
• MX151-SSD
• Previous Generations
• AX10 (Cortex A15 + A7)
• AX20 (Cortex A15 + A7)
• AX30 (Cortex A15 + A7)
• DX150 (R720)
• DX290 (R720)
• EQ4
• EQ6
• EQ8
• EQ9
• EQ10
• EX4
• EX4S
• EX5
• EX6
• EX6S
• EX8
• EX8S
• EX10
• EX40
• EX40-SSD
• EX40-Hybrid
• EX60
• PX60
• PX60-SSD
• PX70
• PX70-SSD
• PX90
• PX90-SSD
• PX120
• PX120-SSD
• SX60
• SX130
• SX290
• XS13
• XS29

The following products are still under review and may be added to the affected list if new information regarding the used CPUs of these models are published:

• DS3000
• DS5000
• DS7000
• DS8000
• DS9000
• PX80
• AX50-SSD
• AX60-SSD
• AX160-NVMe
• AX160-SSD

В некоторых из наших клиентов могут быть известны, Project Zero команда Google недавно обнаружила уязвимость, связанную со всеми системами Intel на базе работающих во всем мире, Короче говоря — есть недостаток безопасности с тем, как сделка процессоры с обработкой виртуальной памяти.

meltdownattack.com

Если вы задаетесь вопросом, как защитить себя от уязвимости, расслабиться — мы Вас поддержим!

Новые ядра подготавливаются Linux сообщество, после освобождения (мы ожидаем, что в течение 24 часов) мы начнем тестирование небольшого числа хостов перед развертыванием всех гипервизоров по всему миру.

При этом нам нужно будет перезагрузить все HVS, который мы будем планировать в волнах, и в нерабочее время. Все клиенты будут получать уведомление по билету с их запланированного времени перезагрузки и не нужно ничего делать, когда придет время.

После перезагрузки, было бы также целесообразно для клиентов, чтобы обновить их виртуальной машине, чтобы защитить их тоже, если вы не знаете, как, пожалуйста, свяжитесь с нашей службой поддержки, который будет рад помочь!

С уважением,
Джеймс Thatcher
DediSERVE Limited

26 апреля в 10:00 приглашаем вас на SelectelTechDay — будем говорить о направлениях развития мировых производителей и новых технологиях.
На встрече будут представители Intel, Seagate, Micron, Juniper и Adaptec — они смогут лично рассказать, как что устроено и ответят на вопросы.
Некоторые темы докладов:

• Новая серверная платформа Purley, Intel Xeon Phi FPGA в датацентрах: Настоящее и Будущее (Intel)
• Перспективы и реальности DRAM&FLASH (Micron)
• Обзор коммутаторов Juniper для ЦОД
• vSRX — виртуальный межсетевой экран
• Варианты интеграции решений Juniper и vmWare (Juniper)
• Технология SAS и современные системы хранения информации (Adaptec)
• Полная программа мероприятия

Встреча будет интересна IT-директорам, директорам продуктов, техническим директорам и специалистам.

Участие бесплатное.
selectel.timepad.ru/event/472383/

Behind the scene — For your dedicated servers we use only premier class hardware #supermicro #chenbro #kingston #intel
No compromises




manage.seflow.it/index.php?/clientarea/services/dedicated-server/