gestern ging ein Artikel durch die Medien, dass eine Sicherheitslücke in
aktuellen Kerneln im Zusammenhang mit Intel CPUs vorhanden ist.
Ich werden morgen im Laufe des Nachmittags alle Hostsysteme von uns
(sofern ein Security Update bereitsteht) updaten.
Auf den Hoods können wir das Update derzeit nicht installieren, da der
Tunneldigger (L2TP Daemon) einen Bug enthält, der mit keinen Kerneln
über 4.9.0 bpo 3 klarkommt.
Wenn der Kernel geupdatet wird, fliegen und die Server der Reihe nach um
die Ohren. Ich habe dieses Problem mit den Münsterländer Kollegen schon
durchgesprochen.
Sobald ein Tunneldigger Update da ist, werdem wir die Kernel
selbstverständlich aktualisieren.
Ich möchte euch nur bitten, derzeit auf den Hoods keine Updates
einzuspielen - jeder der das macht, kann die nachfolgenden Fehler auch
beheben
Update:
"loud providers which use Intel CPUs and Xen PV as virtualization
without having patches applied. Furthermore, cloud providers without
real hardware virtualization, relying on containers that share one
kernel, such as Docker, LXC, or OpenVZ are affected."
Da wir KVM nutzen, sind die Hoods kein Problem - nur die Hosts. Diese
ziehe ich morgen hoch. *schweiß abwisch*
pCI: we have confirmation that KVM is immune to guests reading HV or other guest memory via variant 3 (aka meltdown). KVM is NOT „impacted“ by Meltdown. So, right now, a guest VM cannot read another VM’s memory, neither the HOST 's memory.
wir werden heute im Laufe des Nachmittags alle Hostsysteme auf Debian
"Stretch" hochziehen und rebooten. Es kann dann kurzzeitig auf allen
Hoods zu Problemen kommen.
"Right now, there are no public patches to KVM that expose the new CPUID
bits and MSRs to the virtual machines, therefore there is no urgent need
to update QEMU; remember that updating the host kernel is enough to
protect the host from malicious guests."
