Блог по CloudLinux OS - MDS: мы находимся на рассмотрении
Блог CloudLinux OS

Рекомендуемое

MDS: мы находимся на деле

mds2

Возможно, вы слышали новости о последних Intel Уязвимость процессора, МДСили более популярно, Zombieload, У нас тоже есть, и мы работаем над выпусками для CloudLinux OS 6 и 7. Мы выпустим их в бета-версию сегодня, стабильную завтра.

Уязвимость похожа на Meltdown и Spectre в том, что она включает в себя использование спекулятивных функций выполнения в процессорах Intel, в частности, с использованием метода, известного как Микроархитектурная выборка данных, Он влияет на процессоры Intel Xeon и Core, возвращаясь к 2011, но был только обнаружен недавно.

Следуйте нашему блогу, чтобы получить все инструкции о том, как применить последние обновления к этой уязвимости. Больше информации, связанной МДС вы можете найти в последнее сообщение в блоге от команды KernelCare.

Бета: Гибридное ядро ​​CloudLinux 7 и CloudLinux 6 ...
WHMCS-плагин версии 1.3.5 уже здесь!

Комментарии 12

Будут ли патчи поступать в ядро ​​CL через kernelcare?

Будут ли патчи поступать в ядро ​​CL через kernelcare?

Привет Джонатан,
патчи будут доставлены в виде регулярного обновления ядра в бета-версии, сегодня. Что касается патчей KernelCare для других популярных дистрибутивов, ETA - пятница.

Здравствуйте, Джонатан, сегодня патчи будут поставляться как обычное обновление ядра в бета-версии. Что касается патчей KernelCare для других популярных дистрибутивов, ETA - пятница.

Надеюсь, что это не включает в себя еще один хит производительности. В таком случае нам понадобятся суперкомпьютеры, чтобы не отставать от этих патчей. Что касается серверов с отключенным освещением, я часто задаюсь вопросом, насколько уязвимы наши машины и нужны ли эти исправления в конфигурации только для сервера?

Надеюсь, что это не включает в себя еще один хит производительности. В таком случае нам понадобятся суперкомпьютеры, чтобы не отставать от этих патчей. Что касается серверов с отключенным освещением, я часто задаюсь вопросом, насколько уязвимы наши машины и нужны ли эти исправления в конфигурации только для сервера?

Привет Эрик,

У нас нет отчетов о снижении производительности.

Что касается оценки уязвимости, вы можете проверить содержимое файла / sys / devices / system / cpu / уязвимости / mds (для процессоров Intel)

Возможные значения в этом файле:

======================================================== ========================
«Не затронут» Процессор не уязвим

«Уязвимый» процессор уязвим, но смягчение не включено

«Уязвимый: попытка очистки буферов ЦП» Процессор уязвим, но микрокод не обновлен.
Смягчение включено на основе максимальных усилий.
Смотрите: ref: `vmwerv`

«Смягчение: очистка буфера ЦП» Процессор уязвим, и включено смягчение очистки буфера ЦП.

Привет Эрик, у нас нет отчетов о производительности хит. Что касается оценки уязвимости, вы можете проверить содержимое файла / sys / devices / system / cpu / уязвимости / mds (для процессоров Intel). Возможные значения в этом файле: ================ ========================= ========================= ======== 'Не подвержен уязвимости' Процессор не уязвим 'Уязвим' Процессор уязвим, но смягчение не включено 'Уязвимость: попытка очистки буферов ЦП' Процессор уязвим, но микрокод не обновлен. Смягчение включено на основе максимальных усилий. См .: ref: `vmwerv` 'Смягчение: очистка буфера ЦП' Процессор уязвим, и включено смягчение очистки буфера ЦП.

Для обычного сервера cpanel, работающего на выделенном оборудовании, следует ли по-прежнему отключать гиперпоточность?

Для обычного сервера cpanel, работающего на выделенном оборудовании, следует ли по-прежнему отключать гиперпоточность?

Привет Томми,

До обновления ядра, нужно после - возможно. Ошибка процессора позволяет считывать данные между потоками процессора, поэтому она влияет на HW и VM. Следовательно, включенный HT для VM является дополнительной возможностью атаковать приложение на разных виртуальных машинах.

Привет Томми, до обновления ядра, нужно после - возможно. Ошибка процессора позволяет считывать данные между потоками процессора, поэтому она влияет на HW и VM. Следовательно, включенный HT для VM является дополнительной возможностью атаковать приложение на разных виртуальных машинах.

Активен ли нормальный сервер cloudlinux с cagefs гиперпоточностью после того, как мы выполнили обновление микрокода и ядра?

Активен ли нормальный сервер cloudlinux с cagefs гиперпоточностью после того, как мы выполнили обновление микрокода и ядра?

Если вы уже обновили свое ядро ​​с помощью нашего последнего патча (CloudLinux 6 - https://www.cloudlinux.com/cloudlinux-os-blog/entry/cloudlinux-6-kernel-is-available-with-a-fix-for-mds-vulnerability, CloudLinux 7 - https://www.cloudlinux.com/cloudlinux-os-blog/entry/loudlinux-7-and-cloudlinux-6-hybrid-kernel-is-available-with-a-fix-for-mds-vulnerability) и вы активировали CageFS и Hyperthreading, ваш сервер не подвержен уязвимости MDS, но может быть открыт для других уязвимостей, еще не обнаруженных.

Вы можете выполнить диагностику уязвимости MDS, запустив

/ системы / устройства / системы / CPU / Уязвимости / МДС

Обратите внимание, что CageFS может предотвращать атаки файловой системы, но MDS - это атака памяти.

Если вы уже обновили свое ядро ​​с помощью нашего последнего патча (CloudLinux 6 - https://www.cloudlinux.com/cloudlinux-os-blog/entry/cloudlinux-6-kernel-is-available-with-a-fix -for-mds-уязвимости, CloudLinux 7 - https://www.cloudlinux.com/cloudlinux-os-blog/entry/loudlinux-7-and-cloudlinux-6-hybrid-kernel-is-available-with-a -fix-for-mds-уязвимости), и вы активировали CageFS и Hyperthreading, ваш сервер не подвержен уязвимости MDS, но может быть открыт для других уязвимостей, еще не обнаруженных. Вы можете выполнить диагностику уязвимостей MDS, запустив / sys / devices / system / cpu / уязвимости / mds. Обратите внимание, что CageFS может предотвращать атаки файловой системы, но MDS - это атака памяти.

На нескольких серверах E3 и E5, кажется, есть проблема с microcode_ctl.

Юм лог показывает
May 16 02:23:26 Updated: 2:microcode_ctl-1.17-33.11.el6_10.x86_64

Сервер перезагружается после обновления микрокода и установки нового ядра

Отчеты DMESG
MDS: уязвимо: попытки очистки буферов ЦП, без микрокода

https://www.intel.com/content/dam/www/public/us/en/documents/corporate-information/SA00233-microcode-update-guidance_05132019.pdf говорит "Производство" для рассматриваемого процессора

В комментарии Redhat сказано: «Пакет microcode_clt был поставлен нам напрямую от Intel. Он содержит самые доступные на данный момент обновления от них (более новые обновления запланированы для дополнительных процессоров в ближайшие дни / недели, и мы переиздадим пакет соответствующим образом). "
https://access.redhat.com/security/vulnerabilities/mds

Помощь:

Почему microcode_ctl не соответствует последнему руководству Intel pdf?

На нескольких серверах E3 и E5, кажется, есть проблема с microcode_ctl. В журнале Yum может отображаться май .intel.com / content / dam / www / public / us / en / documents / corporate-information / SA16-microcode-update-guide_02.pdf говорит: «Производство» для рассматриваемого процессора. Комментарий Redhat сказал: «Поставлен пакет microcode_clt». прямо от Intel к нам. У него самые доступные в настоящее время обновления от них (более новые обновления запланированы для дополнительных процессоров в ближайшие дни / недели, и мы переиздадим пакет соответственно). "https://access.redhat.com / security / уязвимости / Справка mds: почему microcode_ctl не соответствует последнему pdf руководству Intel?

[Электронная почта защищена] ~] # cat / sys / devices / system / cpu / уязвимости / mds
cat: / sys / devices / system / cpu / уязвимости / mds: нет такого файла или каталога

Ядро системы обновлено до версии «3.10.0-962.3.2.lve1.5.25.6.el7».

Процессор Intel (R) Xeon (R) E5-2420 0

Спасибо

[Электронная почта защищена] ~] # cat / sys / devices / system / cpu / уязвимости / mds cat: / sys / devices / system / cpu / уязвимости / mds: нет такого файла или каталога Ядро системы обновлено до версии «3.10.0- 962.3.2.lve1.5.25.6.el7». Процессор Intel (R) Xeon (R) E5-2420 0 Спасибо
Уже зарегистрирован? ВОЙТИ
гость
Среда, 22 мая 2019

Защитный код изображение