Hinweis auf Meltdown- und Spectre-Exploits

Inuvika-Update bezüglich CVE-2017-5754, CVE-2017-5715 und CVE-2017-5753 (Spectre- und Meltdown-Sicherheitslücken)

Übersicht

Kürzlich wurden neue sicherheitsrelevante Probleme festgestellt, die sich auf Intel-, AMD- und ARM-basierte CPU-Architekturen auswirken.

Obwohl diese Probleme hardwarebezogen sind, prüft Inuvika weiterhin die möglichen Auswirkungen auf OVD Enterprise. Dieses Update soll unsere Kunden und Partner über die derzeit bekannten Maßnahmen informieren, die ergriffen werden können, um mögliche Risiken zu minimieren. Inuvika wird weitere Updates bereitstellen, wenn direkte Auswirkungen auf OVD festgestellt werden.

Auswirkungen auf OVD Enterprise

Inuvika glaubt, dass derzeit unterstützte Versionen von OVD Enterprise sind nicht direkt die von den bekannten Sicherheitsproblemen betroffen sind.

Die Sicherheitsprobleme können jedoch sowohl lokal (d. h. innerhalb desselben Betriebssystems) als auch über die Grenzen des Virtualisierungsgastes ausgenutzt werden.   Daher kann es sein, dass die zugrunde liegende CPU-Firmware, der Hypervisor, die Gastbetriebssysteme, die Cloud-Plattformen und andere Komponenten von Drittanbietern, die Teil einer OVD Enterprise-Umgebung sind, aktualisiert werden müssen. 

Bekannter Status der Komponenten von Drittanbietern

• Microsoft hat Patches für die Versionen 2008 R2, 2012 R2 und 2016 des Windows Server-Betriebssystems veröffentlicht. (Ref: https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution )
• Kernel- und Prozessor-Microcode-Updates wurden sowohl für Ubuntu 16.04 LTS als auch für Ubuntu 14.04 LTS zur Verfügung gestellt. (Ref: https://wiki.ubuntu.com/SecurityTeam/KnowledgeBase/SpectreAndMeltdown )
• Kernel- und Prozessor-Microcode-Updates wurden für die Betriebssysteme Red Hat Enterprise Linux 6 und 7 zur Verfügung gestellt. (Ref: https://access.redhat.com/security/vulnerabilities/speculativeexecution )
• VMware hat Patches für vSphere ESXi veröffentlicht.
• Google, Microsoft und Amazon Clouds wurden angesprochen. Weitere Informationen finden Sie auf den Websites der Anbieter.
• Mozilla Firefox-Browser. (Ref: https://blog.mozilla.org/security/2018/01/03/mitigations-landing-new-class-timing-attack/ )
• Apple iOS, macOS und Safari. (Ref: https://support.apple.com/en-us/HT208394 )
• Nutanix Hyper-Konvergenz-Infrastruktur. (Siehe Sicherheitshinweis #0007 im Support-Portal: https://portal.nutanix.com/#/page/static/securityAdvisories )
• Intel Sicherheitshinweis. (Ref: https://security-center.intel.com/advisory.aspx?intelid=INTEL-SA-00088&languageid=en-fr )

Aktuelle Empfehlungen für OVD Enterprise Kunden

1. Bevor Sie mit der Aktualisierung beginnen, sollten Sie innehalten und einen Gesamtplan erstellen. Bewerten Sie jede einzelne Komponente Ihrer OVD-Umgebung und identifizieren Sie die notwendigen Schritte, die unternommen werden müssen. Inuvika empfiehlt, dass Sie folgende Prioritäten setzen:
   1. Hypervisor-Anwendungen und Server-Hardware, die OVD hosten
   2. Gastbetriebssysteme
   3. Backend-Systeme (Verzeichnis-, Speicher- und Anwendungsserver-Hardware sowie deren Betriebssysteme)
   4. Anwendungen, die sich auf Ihren Anwendungsservern befinden

2. Wenden Sie sich an Ihren Hardware- oder Software-OEM-Anbieter, um die neuesten Informationen und verfügbaren Patches zu erhalten.

3. Wenden Sie die empfohlenen Patches an. Überprüfen Sie nach dem Einspielen eines Patches, ob die Komponente wie erwartet funktioniert.

4. Darüber hinaus benötigen Client-Geräte, deren Betriebssysteme und Anwendungen, die auf Ihre OVD-Umgebung zugreifen, möglicherweise Updates. Wir empfehlen Ihnen, sich für weitere Informationen an die OEMs Ihrer Geräte zu wenden.