メインコンテンツにスキップ
ブログLinodeインテルのMDS(ZombieLoad)CPUの脆弱性とLinode

インテルのMDS(ゾンビロード)CPU脆弱性と Linode

IntelMDSVulnerability_1200x631

今週、Intelは「ゾンビロード」とも呼ばれるマイクロアーキテクチャデータサンプリング(MDS)と呼ばれるプロセッサ脆弱性のグループを公開しました。MDS は、さまざまなセキュリティ ドメインから仮想マシンをホストするシステムや、システム所有者が完全に信頼していないシステムに影響を与えます。 それはLinodeのインフラ そしてLinodeインスタンスを含みます。このガイドには、これらの脆弱性とその緩和策に関する詳細情報が記載されています。

私たちは対策を開始し、今後数週間で私たちのフリートの完全な対策完了を数週間以内と予測しています。これらの対策にあたりお客様の実行中のシステムの中断を必要とする場合がありますが、サポートチケットを通じてスケジュールされたメンテナンスまたはお客様のご協力依頼を明確に伝えます。

お客様の最後にこれらの脆弱性に対処するために、緩和策を適用した新しいカーネル (5.1.2) をリリースしましたので、 Linode の構成プロファイルでこれを選択して再起動を行ってください。ディストリビューション提供のカーネルを使用している場合は、それに応じてカーネルをアップグレードする必要があります。いつものように、 Linode インスタンスが最新で、セキュリティ保護されていることをかくにんしてください。

対策を進めるにあたり、今後数週間の間にこちらで最新情報を提供していきます。


コメント (13)

  1. Author Photo

    Is the “Latest 64-bit” Kernel going to be sufficient or do all servers need to be using the 5.x kernel?

    • Author Photo

      Hey, Jim. At the moment, the “Latest 64-bit” kernel is not patched for MDS — we’ve delayed changes due to a kernel bug involving inaccurate ‘uptime’ reports. We instead recommend booting into 5.1.2-x86_64-linode124 for 64-bit systems, or 5.1.2-x86-linode144 for 32-bit systems. Once the kernel bug has been completely resolved, you could then switch back to the “Latest”.

  2. Author Photo

    Linode offer two 5.1.2 kernels. One is 5.1.2-x86-linode144 and caused kernel panic on Debian 9. 5.1.2-x86_64-linode124 works. Thanks to support for guiding me to this point. It should be added to the post here.

    • Author Photo

      Hi there, John. The 5.1.2-x86-linode144 kernel is designed for 32-bit systems. It will not work properly on 64-bit systems. For 64-bit systems you will want to use the 5.1.2-x86_64-linode124 kernel. For all 64-bit systems you will want to look for the kernels that include “_64” in the title.

  3. Author Photo

    Any particular reason for the “latest-kernel” to stuck at 4.18.6 ?

  4. Author Photo
    Benjamin A Blouin

    Update?

  5. Author Photo
    طراحی سایت

    Great and useful post, Thanks for sharing
    Bookmarking the blog for future reference.

  6. Author Photo

    What is the expected performance impact of the mitigation?

    • Author Photo

      Viktor: We don’t anticipate performance impacts coming from ZombieLoad mitigation. However, disabling HyperThreading as part of our mitigation strategy for speculative operation vulnerabilities poses a clear challenge regarding performance, so accordingly we’ve been working to minimize its impact on our platform. (You can find more discussion on HyperThreading here.)

      If you’re seeing degraded performance on any of your Linodes, please reach out to us so we can help investigate and find a solution.

  7. Author Photo

    Can we use the new kernel for Debian 7 machines?

    • Author Photo

      Hi Mike – Yes. No issues with our latest kernel and Debian 7. I’d recommend reading through our Reboot Survival guide, though, if it’s been awhile since you’ve needed to reboot some of your machines:

      > https://www.linode.com/docs/guides/reboot-survival-guide/

      If you’ve regularly kept your server up to date, issued reboots periodically and have always used the latest kernel, you’re more likely to be okay if you continue to use it. Having a restore plan in place in the event anything goes wrong is always recommended, though, since there are a lot of variables at play.

  8. Author Photo

    Other posts mentioned a live-migration capability now. That doesn’t work for host updates?
    Are you moving towards the only needed reboots to be for upgrade/downgrades and updating our kernel?

    • Author Photo

      Hi Avi – Technically speaking, for small scale host updates, live migrations would work. Though since CPU vulnerability mitigation is a much larger effort, it’s logistically more efficient to cold migrate servers to patched hosts, or apply the needed patches during the maintenance window. As for your second question:

      > Are you moving towards the only needed reboots to be for upgrade/downgrades and updating our kernel?

      Yes, though this is a long term effort, and I don’t have anything immediate to share regarding an ETA.

コメントを残す

あなたのメールアドレスは公開されません。必須項目には*印がついています。