Intel security-lek: Meltdown & Spectre 

De afgelopen dagen heb je van ons al verschillende tweets en bytenoc berichten voorbij zien komen over het Intel security-lek, ook wel bekend als Meltdown en Spectre. In deze blog geven we je meer achtergrondinformatie over Meltdown en Spectre en vertellen we wat Byte eraan heeft gedaan om onze klanten hiertegen te beschermen.

Update woensdag 17 januari 2018: op dit moment zijn al onze eigen servers, die van onze cloudproviders en de Ubuntu kernel op Hypernode gepatcht. Wij merken nog géén effect op de performance van de websites en webshops die bij ons gehost worden. 

Wat is het probleem?

Er is een fout ontdekt in het design van Intel processors. Deze fout kan leiden tot een ernstig security-lek waarbij het mogelijk zou zijn om middels kwaadaardige code het kernelgeheugen van systemen te lezen. In jip-en- janneketaal: het komt erop neer dat softwareprocessen op servers en computers data zouden kunnen opvragen van andere softwareprocessen. Dat is normaal niet mogelijk, maar de fout Meltdown en Spectre zorgen ervoor dat er mogelijk gevoelige informatie kan worden gedeeld. In theorie zou er bijvoorbeeld informatie over o.a. wachtwoorden, e-mails of documenten gedeeld kunnen worden.

Meltdown en Spectre?

Tegenwoordig krijgt ieder security-lek een naam die lekker bekt in de media, in dit geval dus Meltdown en Spectre. Beide bugs zijn in ieder geval van toepassing op processoren van fabrikant Intel. Intel heeft een marktaandeel van rond de 80% en wordt ongeveer door elke cloudprovider en computer/laptopfabrikant gebruikt. Mogelijk zijn delen van de bugs ook toepasbaar op processors van andere fabrikanten (o.a. AMD en ARM), maar de impact is daar kleiner.

Wat zijn de gevolgen in het algemeen?

Het lek is een ontwerpfout wat betekent dat deze enkel opgelost kan worden door aanpassingen (het patchen) van de kernels van Linux en Windows. De patch zal naar waarschijnlijkheid ook invloed hebben op de performance van de server waar je website op staat. Pas als de patch is uitgerold zal duidelijk worden of en in welke mate dat invloed zal hebben op de werking van je website.

Wat zijn de gevolgen voor Byte klanten?

Vanaf het moment dat het Intel security-lek bekend werd, hebben we continu de alle patch-releases in de gaten gehouden. Per platform zijn we namelijk afhankelijk van andere patches die beschikbaar moesten worden gemaakt. Via dit algemene bytenoc-bericht houden we onze klanten op de hoogte van de vorderingen.

Statusupdate van onze eigen servers:

  • Een deel van onze eigen servers hebben we al kunnen patchen. Dit zijn onze shellservers, de Dedicated Magento Clusters en de servers waar websites op het Clusterplatform gebruik van maken.
  • Voor webshops op ons Magento Shared platform en op een Dedicated Magento server staat de uitrol van deze patch gepland voor donderdag 11 januari tussen 9:00 en 11:00 uur. (zie bytenoc-bericht hierover)

Gevolgen voor gebruikers van het Hypernode platform

Op het Hypernode platform maken we gebruik van de cloudproviders DigitalOcean en Amazon. Naast dat deze cloudproviders hun servers moeten patchen, moeten wij ook een update doen aan de Ubuntu kernel van Hypernode.

Statusupdate voor Hypernode gebruikers:

  • Op dit moment heeft Amazon al haar servers al gepatcht en zij rapporteren geen noemenswaardig effect op performance. Klanten geven dit ook aan.
  • DigitalOcean heeft het updaten uitgesteld tot vrijdag 12 januari (zie algemene bericht op bytenoc).
  • De update aan de Ubuntu kernel van Hypernodes wordt vanmiddag (10-01-2018 om 14:30) door ons uitgevoerd (zie bytenoc-bericht hierover).

Ik ben een techie en wil meer weten!

Ok, dat begrijpen we. We probeerden het dan ook in jip-en-janneketaal uit te leggen. Als je echt wilt worden weggeblazen, dan raden we je aan de onderstaande papers te lezen:

 

 op

Merel is contentmarketeer en communicatiespecialist. In haar dagelijkse werkzaamheden stort ze zich vol enthousiasme op het schrijven van interessante content, het organiseren van evenementen en de communicatie van Byte. Buiten het werk staat Merel het liefst in de kroeg, op het voetbalveld of hangend op de bank voor een goede film of serie.