patch per Meltdown/Spectre security bug

[alex barchiesi]

Avrete avuto probabilmente notizia (https://www.cert.garr.it/en/alert-en/security-alerts/listid-1/mailid-1905-alert-gcsa-18001-vulnerabilita-meltdown-e-spectre) delle vulnerabilità di varie CPU e dei conseguenti problemi di sicurezza soprannominati "Meltdown" e "Spectre".

Vi sono molte informazioni (a volte incoerenti) su queste vulnerabilità ed il team GARR cloud support le sta analizzando accuratamente per capire come e cosa si applichi al nostro servizio e alle vostre macchine virtuali. 

Informazioni tecniche più dettagliate riguardo queste vulnerabilità si trovano a: https://meltdownattack.com/ 

Il GARR sta applicando tutte le misure necessarie a proteggere l’infrastruttura della piattaforma cloud e incoraggia gli utenti ad aggiornare i sistemi operativi sulle proprie macchine. La sicurezza dei servizi è una delle nostre priorità e faremo del nostro meglio per assicurarla, anche in queste circostanze.

Stiamo lavorando attivamente all'aggiornamento della infrastruttura cloud e continueremo per le prossime settimane. 

L’intervento si svolgerà in due fasi, cercando di minimizzare i disagi:

Intervento sull’infrastruttura

Interventi sulle VM utente

Infrastruttura cloud GARR:

l'infrastruttura verrà aggiornata nelle prossime settimane per mitigare i problemi di vulnerabilità. E' possibile che ci siano delle brevi interruzioni nell’accesso alla Dashboard durante gli aggiornamenti.

Poiché l’aggiornamento non può avvenire in forma ‘live’, ci saranno inoltre dei momenti in cui le  VM utente dovranno essere riavviate. Avviseremo singolarmente ciascuno della data prevista di tale interruzione, con un preavviso di almeno un giorno. Per ridurre l’impatto, i patch di sicurezza alle VM utente andrebbero applicati prima di tale riavvio. Per le VM configurate in autoupdate, come molte di quelle fornite sulla piattaforma, questo non comporta alcun intervento da parte degli utenti.

Le VM utente:

Stiamo aggiornando le immagini nel nostro repository man mano che le varie distribuzioni rilasciano versioni aggiornate con patch e forniremo una procedura dettagliata sulle FAQ del sito https://cloud.garr.it per controllare se la vulnerabilità è presente.

Le nuove macchine virtuali create da queste immagini saranno protette dalle vulnerabilità. Per le VM in funzione sarà necessario eseguire un upgrade e riavviarle manualmente affinché le modifiche abbiano effetto. Come accennato in precedenza, l’aggiornamento avverrà automaticamente per le macchine configurate in autoupdate, mentre per le altre suggeriamo di farlo il più presto possibile.

Non ci risulta comunque che sia possibile per una VM vulnerabile accedere ai dati da altre VM in esecuzione sullo stesso hypervisor (per maggiori dettagli https://www.qemu.org/2018/01/04/spectre/).

Stato:

Potrete seguire lo stato degli aggiornamenti su questo post

[alex barchiesi]

Stiamo testando i kernel con la patch per Meltdown per i nostri Hypervisor e le patch per il microcode (spectre) della CPU 

Mentre la prima patch sara' necessaria anche per le VM utente, la seconda non servira' sulle VM (essendo una virtual cpu non avrebbe senso aggiornare il microcode)

[alex barchiesi]

L'aggiornamento di sicurezza sta proseguendo come previsto.

Al momento tutte le immagini presenti nella cloud sono state patchate (quindi tutte le nuove VM sono automaticamente al riparo per le vulnerabilita' di cui sono possibili ad oggi patch).

Le immagini non patchate non verranno completamente dismesse, ma stiamo mettendo in atto un hack per consentire il rebuild dell'instanza -da CLI- come precauzione durante la prevista migrazione al nuovo kernel con patch (in ogni caso per gli utenti sara' del tutto trasparente e non richedera' interventi).

Mercoledi' verranno patchate anche le VM attive al momento (e questo richiedera' un brevissimo periodo di downtime per permetterne il riavvio). 

[Roberto di Lallo]

Gentili utenti,

informiamo che giovedi' 25 Gennaio 2018

effettueremo un’attività di manutenzione ed aggiornamento della piattaforma Cloud GARR, durante la quale effettueremo un riavvio di tutte le macchine virtuali onde rendere effettiva l'installazione delle patch per Meltdown. 

[Ricci Roberto]

Buongiorno,

chiedo conferma di questa attività prevista oggi perché abbiamo ricevuto altra mail (che allego) in cui sembrerebbe esserci un’attività analoga domani 25/1.

Grazie

 

Roberto Ricci

Sistemi Informativi

S.O.C. Gestione delle Tecnologie Cliniche,

Tecno-Strutturali e Informatiche

Centro di Riferimento Oncologico di Aviano IRCCS

Via Franco Gallini, 2 - 33081 Aviano (PN)

Tel. 0434 659369 rri...@cro.it

seguici su youtube http://www.youtube.com/user/croaviano

 

 

 

 

 

Da: garr-...@googlegroups.com [mailto:garr-...@googlegroups.com] Per conto di alex barchiesi
Inviato: lunedì 22 gennaio 2018 13:06
A: GARR Cloud <garr-...@googlegroups.com>
Oggetto: Re: patch per Meltdown/Spectre security bug

--
Hai ricevuto questo messaggio perché sei iscritto al gruppo "GARR Cloud" di Google Gruppi.
Per annullare l'iscrizione a questo gruppo e non ricevere più le sue email, invia un'email a garr-cloud+...@googlegroups.com.
Per visualizzare questa discussione sul Web, visita https://groups.google.com/d/msgid/garr-cloud/990cc8e5-fede-49b4-8491-77bd0dd032d3%40googlegroups.com.
Per altre opzioni visita https://groups.google.com/d/optout.

[alex barchiesi]

L'operazione e' confermata per il 25 giovedi'

Ci scusiamo per eventuali fraintendimenti. 

Se ci dovessero essere attivita' urgenti in corso potete concordare con cloud-...@garr.it un ritardo dell'operazione per le VM interessate

[alex barchiesi]

L'aggiornamento procede come previsto.

Le VM stanno tornando up.

[alex barchiesi]

Ci sono ancora alcune VM che si stanno riavviando e prevediamo che entro oggi siano tutte up

[alex barchiesi]

La cloud e' completamente up and running.

La maintenance straordinaria si puo' considerare conclusa