Ошибка процессора Intel - Meltdown и Spectre - KernelCare и CloudLinux
Обновить [May 29, 2018 12: 25am PT]

Исправления Meltdown для Ubuntu 16.04 теперь проходят проверку.

Развернуть их:
edit /etc/sysconfig/kcare/kcare.conf

Добавить:
PREFIX=test

Run:
kcarectl --update

TAGNAME: update-2018-05-29-test-1

убунт-дружественный:
CVE-2017-5754: системы с микропроцессорами, использующие спекулятивное выполнение и
предсказание косвенной ветви может допускать несанкционированное раскрытие информации для
злоумышленник с локальным доступом пользователя через боковой анализ кэша данных.
cvelist: [CVE-2017-5754]
последняя версия: 4.4.0-122.146

Обновить [Мар 30, 2018 12: 25am PT]

Фиксированный спектр.
Мы рады сообщить, что мы выпустили исправления Specre для фида TEST для следующих дистрибутивов:

RHEL 6
Сто ОС 6
CentOS 6 Plus
CloudLinux 6
OpenVZ
Proxmox VE 3.10
Proxmox VE 2.6

RHEL 7
7 CentOS

CentOS7 Plus
CloudLinux 7
CloudLinux 6 Hybrid

Развернуть их:
edit /etc/sysconfig/kcare/kcare.conf

Добавить:

PREFIX=test

Run:

kcarectl --update

Если вы видите какие-либо проблемы с сервером, обратитесь в нашу службу поддержки.

Примечание. Необходимо применять изменения микрокода. Инструкции следуют по ссылке: Форма обновления микрокода Intel

Обновить [Мар 20, 2018 05: 25am PT]

Фиксированный спектр.
Мы отложили наши исправления для уязвимости Specre, поскольку в нее включены Форма обновления микрокода Intel

Эти исправления были выпущены Intel на прошлой неделе (20180312 Отпустите). Теперь мы в процессе тщательного тестирования наших исправлений с исправлениями Specre вместе с этим изменением микрокода.

ETA для публичного тестового релиза для ядер el7 - на следующей неделе


Обновить [Мар 12, 2018 02: 21am PT]

Мы рады сообщить, что исправления с исправлениями Meltdown готовы и выпущены для:

- CentOS 6 (последняя версия: 2.6.32-696.20.1.el6)
- Сто OS 6 Plus (последняя версия: 2.6.32-696.20.1.el6)
- RHEL 6 (последняя версия: 2.6.32-696.20.1.el6)
- CloudLinux 6 (последняя версия: 2.6.32-896.16.1.lve1.4.51.el6)
- OpenVZ (последняя версия: 2.6.32-042stab127.2)
- Proxmox VE 3.10 ( последняя версия: 3.10.0-22-pve_3.10.0-52)
- Сто OS 7 ( последняя версия: 3.10.0-693.21.1.el7)
- Сто OS 7 Plus ( последняя версия: 3.10.0-693.17.1.el7)
- RHEL 7 (последняя версия: 3.10.0-693.21.1.el7)
- CloudLinux 7 (последняя версия: 3.10.0-714.10.2.lve1.5.12.el7)
- CloudLinux 6 Hybrid (последняя версия: 3.10.0-714.10.2.lve1.5.12.el6h)


Обновить [Feb 26, 2018 05: 59am PT]

Исправленные исправления с исправлениями Meltdown для CentOS6 будут выпущены до конца этой недели.
Для пользователей CentOS 6: если у вас возникли проблемы с текущими исправлениями, пожалуйста, не стесняйтесь обращаться в нашу службу поддержки. Мы скоро к тебе вернемся.

Патчи с исправлениями Spectre (часть 2) для el7 готовы, поэтому мы находимся в фазе тестирования этих патчей. Будет на тестовом сервере до конца этой недели.

Следующие исправления Spectre (el6, Ubuntu, Debian) состоятся в марте.

Исправления Meltdown для Ubuntu 16.04 и 14.04, Debian 7 будут выпущены в течение следующих недель 2. Патчи для Debian 8 и 9 пройдут в марте.

Обновить [Feb 20, 2018 08: 20am PT]

Для пользователей CentOS 6:


Мы по-прежнему работаем над правильным исправлением разбившегося патча. Наконец, мы выяснили, каков был реальный источник проблемы, поэтому исправить это.

ETA - февраль 22

Обновить [Feb 16, 2018 10: 20am PT]

Для пользователей CentOS 6:


К сожалению, лишь немногие клиенты, работающие с дистрибутивом CentOS 6, столкнулись с авариями после применения нашего последнего патча. Вот почему мы разворачиваем это с сервера патчей, пока не получим правильное исправление. ETA - февраль 19

Обновить [Feb 16, 2018 00: 20am PT]

Мы выпустили исправления для уязвимости Meltdown для хостов Xen PV для CentOS7, CentOS7 Plus, CloudLinux 6 Hybrid, Proxmox VE 3.10, RHEL 7. Наши внутренние тесты, а также тесты с живыми клиентами за последние три дня не выявили никаких аварий.


Обновить [Feb 13, 2018 06: 00am PT]

Мы активно работаем над исправлениями для других поддерживаемых дистрибутивов. Патчи для серверов, которые работают Xen PV сегодня будут развернуты в TEST.
Патчи с исправлением для Meltdown для Ubuntu 16.04 и Ubuntu 14.04 будут добавлены на следующей неделе.


Обновить [Feb 10, 2018 11: 00am PT]

Мы рады сообщить, что мы выпустили исправления для уязвимости Meltdown для RedHat, CentOS, CloudLinux 6, а также ядра Virtuozzo / OpenVZ 2.6.32. Наши внутренние тесты, а также тесты с живыми клиентами не выявили сбоев.

* Примечание: если вы используете Xen PV - они не будут работать



Обновить [Feb 6, 2018 1: 57pm PT]

Мы запустили исправления Meltdown для RedHat, CentOS, CloudLinux 6, а также ядра Virtuozzo / OpenVZ 2.6.32 для канала TEST

* Примечание. Если вы используете Xen PV - они не будут работать (см. Ниже).

Развернуть их:

edit /etc/sysconfig/kcare/kcare.conf

Добавить:

PREFIX=test

Run:

kcarectl --update

Если вы видите какие-либо проблемы с сервером, обратитесь в нашу службу поддержки.

Нам очень нужны ваши отзывы. Этот патч более сложный, чем любой, который мы когда-либо делали, и его невозможно полностью проверить. Если у вас есть большой парк серверов, подумайте о том, чтобы хотя бы один из них был протестирован на тестовом канале, прежде чем мы подталкиваем его к производству.

Обновить [Feb 2, 2018 11: 27am PT]

Были выпущены исправления для CentOS 7.


Обновить [Feb 2, 2018 8: 27am PT]

Были выпущены исправления для CloudLinux 6 Hybrid и CloudLinux 7. Патчи для Cent OS 7 будут выпущены в течение 2 часов.

Обновить [Feb 1, 2018 8: 25am PT]

Были выпущены исправления для RHEL 7, Cent-OS 7 Plus и Proxmox VE 3.10. Другие дистрибутивы, относящиеся к RHEL 7, будут выпущены завтра.

Обновить [Jan 30, 2018 7: 55am PT]

До сих пор у нас не было отрицательных отчетов и нескольких положительных результатов. Это ваш последний шанс проверить его до завтрашнего вскрытия патчей.

Пожалуйста, попробуйте проверить его, по крайней мере, на одной машине.

Обновить [Jan 29, 2018 7: 50am PT]

Новый патч-набор, выпущенный для тестирования для тех же распределений, что и ниже, с тремя исправленными проблемами. Надеюсь, это будет последний «тестовый» патч-набор. Пожалуйста, помогите нам с его тестированием. Кажется, мы удалили все проблемы, которые могут вызвать сбой, и два из трех вопросов были незначительными / не привели к сбою.

Обновить [Jan 23, 2018 5: 00am PT]

Пакеты CloudLinux 7, CloudLinux 6h, CentOS / RHEL 7 и Proxmox VE 3.10 готовы / ждут вас в тестовом канале. Проблема последнего раунда испытаний была решена.

* Примечание. Если вы используете Xen PV - они не будут работать (см. Ниже).

Развернуть их:

edit /etc/sysconfig/kcare/kcare.conf

Добавить:

PREFIX=test

Run:

kcarectl --update

Если вы видите какие-либо проблемы с сервером, обратитесь в нашу службу поддержки.

Нам очень нужны ваши отзывы. Этот патч более сложный, чем любой, который мы когда-либо делали, и его невозможно полностью проверить. Если у вас есть большой парк серверов, подумайте о том, чтобы хотя бы один из них был протестирован на тестовом канале, прежде чем мы подталкиваем его к производству.

Обновить [Jan 22, 2018 5: 40am PT]

Мы получили один отчет о сбоях, который связан с NMI. Сегодня мы не будем выпускать исправления, поскольку мы должны сначала исправить эту проблему.

Спасибо, всем, кто помог нам проверить этот патч. Пожалуйста, не устанавливайте тестовые исправления на данный момент, так как теперь мы знаем, что у них есть проблема.

Обновить [Jan 21, 2018 9: 50am PT]

До сих пор у нас есть несколько отчетов о том, что исправления работают как ожидалось / хорошо, никаких отрицательных сообщений / сбоев. Мы хотели бы, чтобы еще несколько человек попытались / протестировали, прежде чем вытащить его.

Обновить [Jan 20, 2018 1: 30pm PT]

Пакеты CloudLinux 7, CloudLinux 6h, CentOS / RHEL 7 готовы / ждут вас в тестовом канале.

* Примечание. Если вы используете Xen PV - они не будут работать (см. Ниже).

Развернуть их:

edit /etc/sysconfig/kcare/kcare.conf

Добавить:

PREFIX=test

Run:

kcarectl --update

Если вы видите какие-либо проблемы с сервером, обратитесь в нашу службу поддержки.

Нам очень нужны ваши отзывы. Этот патч более сложный, чем любой, который мы когда-либо делали, и его невозможно полностью проверить. Если у вас есть большой парк серверов, подумайте о том, чтобы хотя бы один из них был протестирован на тестовом канале, прежде чем мы подталкиваем его к производству.

Обновить [Jan 18, 2018 9: 20pm PT]

Исправлено горячее подключение CPU. Xen PV пока не работает, все остальное работает нормально. Наш план - выпустить патчи для тестирования завтра утром для тех, кто хочет протестировать, а затем общий выпуск в понедельник.

Обратите внимание, что это только для CL / CentOS / RHEL 7. CL / CentOS / RHEL / Virtuozzo 6 следует последовать вскоре. Остальные дистрибутивы будут покрыты до конца следующей недели.

* Если вы запустите Xen PV - вы можете отключить обновления KernelCare https://docs.kernelcare.com/index.html?settings.htm , так как новая версия не будет применяться, но удалит старую версию.

PS: Мы также планируем добавить поддержку для Xen PV, но только после того, как мы разрешим проблемы с остальными дистрибутивами.

Обновить [Jan 18, 2018 9: 20pm PT]

Мы провели обширные тесты для набора патчей CL / CentOS / RHEL 7, и до сих пор единственная проблема, которую мы обнаружили, заключалась в том, что CPU hotplugging. Эта проблема исправлена, и мы начали следующий набор тестов.

Обновить [Jan 17, 2018 1: 10pm PT]

Мы тестируем патчи CloudLinux 7, CloudLinux 6h, CentOS / RHEL7 на оборудовании с NMI и планируем сделать их доступными завтра на нашем тестовом канале. Мы предоставим точные инструкции о том, как вы можете их протестировать.

Как только мы закончим работу с этими платформами, мы начнем добавлять все остальные дистрибутивы.

Обновить [Jan 16, 2018 8: 10am PT]

Мы очень близки к плагинам Meltdown. Наша команда KernelCare получила работоспособность и стабильность. Сейчас идет обширный обзор кода, и вскоре мы отправим его на ~ 12 часов тестирования. Если все пройдет хорошо - у нас могут быть патчи для тех, кто хочет их протестировать позже или сегодня. Оставайтесь на связи.

Обновить [Jan 14, 2018 7: 10am PT]

В последние несколько дней мы немного продвинулись с патчем KernelCare для Meltdown. Мы также затронули три отдельных вопроса, которые мы сейчас пытаемся преодолеть. Мы надеемся, что как только мы закончим с ними в течение следующих дней 1-2, мы не столкнемся ни с какими другими важными проблемами.

Обновить [Jan 11, 2018 7: 35am PT]

Мы начинаем развертывать защиту от CVE-2017-5753 через KernelCare. Это один из CVE, влияющих на Spectre. Это значительно меньше изменений KAISER, необходимых для защиты от Meltdown.
Защита от Meltdown все еще продолжается.

Обновить [Jan 11, 2018 6: 35am PT]

Вчера мы решили одну неуловимую ошибку, и с тех пор у нее был большой прогресс. Тем не менее, мы все еще не имеем полностью работающего решения. Там мало мелких проблем, которые мешают нам продвигаться вперед, и мы сейчас над ними работаем. Пока размер патча - 79kb, и он включает в себя больше, чем строки изменений 1000, некоторые из которых являются asm, но большая часть из них - C. Это патч большого размера, как обычно наши исправления в линиях 100. Явный размер патча и количество сустеймов, которые он затрагивает, - это то, что делает его настолько трудным и вызывает такую ​​длительную задержку. Тем не менее, мы очень близки.

Обновить [Jan 10, 2018 5: 21am PT]

Обновление KernelCare - иногда оптимизм - это хорошо. Иногда это заставляет вас пытаться что-то «почти» невозможно, и вы тратите гораздо больше времени, чем вы ожидаете, и до сих пор не видите конца дороги.
Мы все еще работаем над исправлениями, все еще борясь с ошибками. Многие из них довольно неуловимы. Кажется, что это может быть один из тех проектов, где последний 10% работы занимает 90% от работы. Со вчерашнего дня мы практически не добились прогресса. Исправлено всего несколько ошибок, и было обнаружено несколько новых ошибок. Учитывая, что у нас есть один шанс на это, и если мы ошибаемся, сервер потерпит крах - это может занять много времени.

Я надеялся, что мы сможем пройти этот этап намного быстрее - но теперь очевидно, что этого не произойдет. Мы продолжим работу и попытаемся решить эти проблемы как можно скорее. Тем не менее, реалистично - на сегодняшний день пятница является лучшим вариантом ETA, и она легко может перетекать на следующую неделю :(

Я приписываю неправильный ETA, серьезные задержки с этим исправлением и любые неудобства, которые он мог вызвать.

Обновить [Jan 9, 2018 5: 40pm PT]

Обновление KernelCare - Мы очень близки, и теперь мы сталкиваемся с небольшими ошибками. Тем не менее, реалистично - это займет у нас по крайней мере еще один день, прежде чем мы выпустим. Слишком много кода / во многих местах, где появляются ошибки.

Обновление CloudLinux - мы выпустим новые ядра CL6 & CL7 либо сегодня, либо завтра, чтобы исправить некоторые проблемы, которые люди испытывают

Обновить [Jan 8, 2018 6: 20pm PT]

Обновление KernelCare - у нас до сих пор нет сборки, которая не сработает сразу, но мы считаем, что мы приближаемся. Тем не менее, мы должны перенести наиболее вероятный выпуск на завтра, с возможностью его дальнейшего перехода на среду. Извините за все задержки. Мы делаем все возможное.

Обновить [Jan 7, 2018 4: 45pm PT]

Последнее обновление за день. У нас до сих пор нет сборки патчей KernelCare, но большинство компонентов необходимо. Кажется, что происходит повторное рассмотрение существующих процессов (это было нашим главным беспокойством). Мы надеемся, что завтра у нас будет KC-патч, но, учитывая, что у нас по-прежнему нет сборки, мне говорят, что ее можно будет нажать в Tue, прежде чем мы начнем ее выпускать.

Я очень сожалею о задержках. Мы работаем в полную силу, и моя команда, которой я очень горжусь, отлично справляется с работой. Тем не менее, сложность проблемы настолько высока, что очень сложно предсказать точную временную шкалу.

Обновить [Jan 7, 2018 9: 35am PT]

Мы получили ряд жалоб на ядра CloudLinux 6. Большинство из них связаны с Xen, но некоторые из них не являются. Мы проследили некоторые из них для восходящих патчей (ядра CentOS с аналогичными проблемами).
Прямо сейчас у нас нет решения. Я бы рекомендовал людям, испытывающим эти проблемы, перейти к гибридному ядру: https://docs.cloudlinux.com/index.html?hybrid_kernel.html

Он позволяет запускать ядро ​​CloudLinux 7 на серверах CloudLinux 6, и у нас не было никаких отчетов об этом.

У нас пока нет обновлений KernelCare. Мы по-прежнему пытаемся сделать первые сборки исправлений сегодня, но пока готовы к этому.

Обновить [Jan 6, 2018 7: 55am PT]

Обновления KernelCare:

Когда мы начинаем скомпоновать код, мы начинаем ударять первые коряги. Пока ничего серьезного, но сегодня уже не существует. Мы по-прежнему снимаем в воскресенье / понедельник первые релизы для релизов EL7 (RedHat / CentOS / CloudLinux 7).
Примечание. Это все еще возможно :( Немного важных вещей еще предстоит объединить (например, pgd_realloc отвечает за перемещение процессов exisitng в новую схему адресации)

Обновить [Jan 6, 2018 7: 10am PT]

Ядра CloudLinux 6 переносятся в производство.

# yum очистить все && yum update kernel-firmware && yum install kernel-2.6.32-896.16.1.lve1.4.49.el6

Это то же самое ядро, что и вчера в бета-версии.

Обновить [Jan 5, 2018 10: 10am PT]

Облачные ядра CloudLinux 7 с ограничениями реселлеров были исправлены и сейчас. Мы планируем выпустить эти ядра (вместе с лимитами реселлера) на производство на 15th. Мы не будем обновлять лимиты реселлеров через KC, так что вы можете захотеть взять это время и в любом случае сделать переход в пределы реселлеров, если вы планируете перезагружаться.

Инструкции по обновлению:

CL7:
yum clean all --enablerepo = cloudlinux-update-testing && yum update linux-firmware microcode_ctl && yum install kernel-3.10.0-714.10.2.lve1.5.8.el7 --enablerepo = cloudlinux-updates-тестирование
CL6h:
yum clean all -enablerepo =cloudlinux-Обновления тестирования,cloudlinux-гибридное тестирование && yum update linux-firmware microcode_ctl && yum install kernel-3.10.0-714.10.2.lve1.5.8.el6h --enablerepo = cloudlinux-updates-тестирование, CloudLinux-hybrid-teжало
Список изменений::
- Добавлены патчи для атак Meltdown и Spectre (CVE-2017-5753, CVE-2017-5715, CVE-2017-5754)
- KMODLVE-142: повторная синхронизация перед возвратом использования IO
- KMODLVE-140: исправить панику с загрузкой модуля
- KMODLVE-139: добавить возможность установки уровня отладки во время загрузки
- KMODLVE-138: правильно проверить значение lve_cgroup_kernel_open
- KMODLVE-134: очистка кода для лучшего тестового покрытия
- KMODLVE-131: улучшает обработку идентификаторов ошибок
- KMODLVE-127: реализация lvp_lve_move
Дополнительная информация о листе реселлеров: https://docs.cloudlinux.com/index.html?reseller_limits.html

Обновить [Jan 5, 2018 7: 45am PT]

Обновление KernelCare

Я только что обновил информацию о том, где мы находимся по индивидуальным задачам, над которыми люди работают в KernelCare. Вот краткое изложение того, что мы знаем, что мы ожидаем, и предложения:

1. Доступные исправления должны помешать 2 из 3 возможных векторов атаки. Intel обещает обновление микрокода на следующей неделе, чтобы закрыть все известные атаки. Применение микрокода обычно требует перезагрузки (но мы постараемся сделать это через KC)
2. Exploit for meltdown очень прост, если злоумышленник может выполнить произвольный код, он может читать все в ОЗУ
3. Патчсет большой и сложный. Нам также необходимо увеличить его с помощью большого количества нашего собственного кода, чтобы он был патчевым с KernelCare, так как нам нужно изменить способ доступа существующих / запущенных процессов к ядру.

Несмотря на то, что сегодня мы не попали в блокпосты, я думаю, что наша начальная проекция в субботу была очень оптимистичной. Нам нужно продолжать не бить никаких препятствий, чтобы это сделать.

Более реалистичная проекция - понедельник, из-за сложности и количества компонентов, которые нам нужно собрать вместе и убедиться, что они все работают.

Моя рекомендация на данный момент была бы следующей:
* Если вы поставщик услуг, где злоумышленник легко запускает произвольный код, не ждите
* Если вы полностью контролируете своих клиентов серверов / корпоративных / корпоративных клиентов, не имея доступ к хакерам для запуска любого кода на своих серверах, и ваш допуск к риску достаточно высок, вы можете удержаться, пока у нас не будет патча.

Примечание. Мы все равно продолжаем работать в выходные / полные силы, чтобы получить этот патч. Это только мои предложения, лучшие из информации, доступной мне в этот момент

Обновить [Jan 5, 2018 7: 00am PT]

В настоящее время производятся ядра CloudLinux 7 и CloudLinux 6hybrid. Это те же самые ядра, которые были перенесены на бета-версию, поэтому, если вы обновили ранее, вам не нужно обновляться.

Инструкции по обновлению:
CL7:

# yum clean all && yum install linux-firmware microcode_ctl && yum install kernel-3.10.0-714.10.2.lve1.4.79.el7
CL6h:
# yum clean all && yum install linux-firmware microcode_ctl && yum install kernel-3.10.0-714.10.2.lve1.4.79.el6h
Что ожидать дальше:
Мы перенесем ядра CloudLinux 6 на производство завтра утром, если не будут найдены новые проблемы.
Обновление KernelCare:

До сих пор мы продвигаемся, как ожидалось, к завтрашнему выпуску. Мы не попали ни в какие удачные перерывы, ни на стены. Тем не менее, нам еще далеко, чтобы быть уверенными в завтрашнем выпуске.
По-прежнему существует вероятность того, что он будет отложен до воскресенья, в понедельник, или мы ударим то, что мы не понимаем, чтобы быть блокирующим, и нам, возможно, придется откладывать еще больше :(
Я постараюсь сделать еще одно (однократное) обновление на KC сегодня, но на данном этапе на самом деле информации не так много: мы пишем код / ​​проверяем, что у нас есть.

Обновить [Jan 5, 2018 5: 23am PT]

Ядро CL6 выпущено для бета-тестирования. Обновить команду:

# yum clean all --enablerepo = cloudlinux-update-testing && yum update kernel-firmware --enablerepo = cloudlinux-update-testing && yum install kernel-2.6.32-896.16.1.lve1.4.49.el6 --enablerepo = cloudlinux-Обновления тестирования
Список изменений:
CKSIX-143: фиксированный тупик при включении дисковой квоты

Обновить [Jan 4, 2018 5: 50pm PT]

Некоторые люди испытывают проблемы с ядром CloudLinux 6. Завтра утром мы подталкиваем новое ядро. Надеемся, на данный момент приостановить установку ядра CloudLinux 6. CloudLinux 7 и CloudLinux 6hybrid ядра должны быть в порядке.

Обновить [Jan 4, 2018 3: 50pm PT]

Ядро CloudLinux 6 теперь доступно. Пожалуйста, обратите внимание, что в отличие от ядра CloudLinux 7 у нас не было времени на полную проверку. Мы закончим наши тесты рано утром (вероятно, до 7am PT). Итак, попробуйте сначала проверить его и опубликовать, если ваши тесты были успешными здесь.

Список изменений:
- Добавлены патчи для атак Meltdown и Spectre (CVE-2017-5753, CVE-2017-5715, CVE-2017-5754)
Инструкции по обновлению

# yum clean all --enablerepo = cloudlinux-updates-testing && yum update microcode_ctl && yum install kernel-2.6.32-896.16.1.lve1.4.48.el6 --enablerepo = cloudlinux-updates-тестирование

Не забудьте перезагрузиться.

Обновить [Jan 4, 2018 3: 37pm PT]

Исправленные инструкции по обновлению

Инструкции по обновлению
CL7:
# yum clean all --enablerepo = cloudlinux-updates-testing && yum update linux-firmware microcode_ctl && yum install kernel-3.10.0-714.10.2.lve1.4.79.el7 --enablerepo = cloudlinux-updates-тестирование
CL6h:
# yum clean all --enablerepo = cloudlinux-updates-testing,cloudlinux-hybrid-testing && yum update linux-firmware microcode_ctl && yum install kernel-3.10.0-714.10.2.lve1.4.79.el6h --enablerepo = cloudlinux-updates-тестирование, CloudLinux-hybrid-Тестирование

Обновить [Jan 4, 2018 1: 45pm PT]

Облачные гибридные ядра CloudLinux 7 и CloudLinux 7 отсутствуют. Пожалуйста, попробуйте их, напишите, как это работает для вас / что накладные расходы вы видите. Наши тесты показывают накладные расходы на одном уровне с нашими рабочими нагрузками, связанными с синтезом / хостингом.

Список изменений:
- Добавлены патчи для атак Meltdown и Spectre (CVE-2017-5753, CVE-2017-5715, CVE-2017-5754)
Инструкции по обновлению
CL7:
# yum clean all --cloudlinux-updates-testing && yum update linux-firmware microcode_ctl && yum install kernel-3.10.0-714.10.2.lve1.4.79.el7 --enablerepo = cloudlinux-updates-тестирование
CL6h:
# yum clean all --cloudlinux-updates-testing,cloudlinux-hybrid-testing && yum update linux-firmware microcode_ctl && yum install kernel-3.10.0-714.10.2.lve1.4.79.el6h --enablerepo = cloudlinux-updates-тестирование, CloudLinux-hybrid-Тестирование

Не забудьте перезагрузиться.
Ядро CloudLinux 6 должно следовать в течение часа, подождите, чтобы узнать больше.

Больше не будет обновлений статуса KC до завтра.

Обновить [Jan 4, 2018 10: 25am PT]

Нам нужно сделать еще одну итерацию для ядер CloudLinux 7 - это должно быть последнее. Еще ~ 3 часов.

Мы также получили исправления для CloudLinux 6 (благодаря отличной команде на нашем ядре upstream на virtuozzo.com). Надеюсь, он будет готов в другое время 4.

Обновить [Jan 4, 2018 7: 37am PT]

Некоторая неудача в ядрах CloudLinux 7. Нам нужно внести некоторые изменения и перезапустить цикл сборки / тестирования. Еще ~ 3 часов.

Обновить [Jan 4, 2018 4: 50am PT]

Хорошие новости: Теперь у нас есть гибридные ядра CloudLinux 7 и CloudLinux 7. Мы надеемся получить их для вас в следующие 3 часы. Вскоре после этого появятся ядра CloudLinux 6.

Плохие новости: у нас не будет патчей KernelCare до субботы, и даже это считается оптимистичным в лучшем случае. Мы также должны будем выпустить три набора патчей, и нам может потребоваться неделя, чтобы охватить все это.

Первый набор патчей должен включать в себя патч-набор KPTI, который фиксирует атаку с кризисом (та, которую мы оптимистично планируем на субботу). С патчем существует множество сложностей, одна из которых заключается в том, чтобы изменить работу адресации для существующих процессов, а другая - как справиться с unpatch (и снова изменить адресацию). Этот код должен быть написан с нуля, так как это условие не выполняется.

Второй патч будет сфокусирован на контроле за спекуляцией, который не был частью основного, но части ядра RHEL, и пытается обратиться к одной из атак Spktre.

Третий патчетт попытается загрузить микрокод, используемый для защиты от второй атаки Spectre «на лету». Обычно микрокод загружается при загрузке ОС, но мы будем пытаться безопасно применять его с помощью KernelCare.

Почему это так плохо: есть шанс, что мы еще не понимаем «все», и есть что-то, что помешает нам полностью избавиться от этих патчей или еще больше задержит их. Мы очень быстро заработаем шесть месяцев работы довольно большой группы разработчиков ядра и будем работать без остановок до тех пор, пока мы сможем. Тем не менее, это действительно сложные проблемы, и мы предвидим, что мы ударим по нескольким кирпичным стенам, которые нам придется разбить, прежде чем у нас появятся патчи.

Обновить [Jan 3, 2018 8: 03pm PT]

Больше обновлений не будет до января 4th. Пожалуйста, ожидайте новых обновлений вокруг 5 am PT. Мы пытаемся решить это как можно быстрее, но изменения большие, навязчивые, и у нас было мало предварительного предупреждения.

Обновить [Jan 3, 2018 6: 54pm PT]

PoC для атаки Spectre является общедоступной. Это атака, у которой еще нет патчей от какого-либо поставщика, и может быть даже невозможно защитить ее.

https://pastebin.com/A58h8N7y

Обновить [Jan 3, 2018 6: 10pm PT]

В основном мы выполняем патчи CloudLinux 7 (полное ядро, а не KernelCare), но осталось еще несколько часов работы, прежде чем мы начнем их тестировать.

Мы также определили области, которые необходимо изменить для патчей, которые должны применяться KernelCare, и начали работать над этими областями.

Мы надеемся выпустить некоторые ядра CloudLinux в бета-версию завтра. Нам еще предстоит иметь ETA для патчей KernelCare из-за большого размера необходимого патча и некоторых критических областей, на которые влияет патч.

Обновить [Jan 3, 2018 3: 40pm PT]

Мы успешно загрузили исходники патча для RHEL7 и начали работать над ними. Однако, пожалуйста, не ожидайте никаких KC-патчей сегодня. Патчсет является сложным, и для его принятия потребуется время.

Обновить [Jan 3, 2018 3: 40pm PT]

Код RedHat не может быть загружен на данный момент (по какой-то причине мы имеем дело с ним)

Xen выпустила Xen Security Advisory - затронуты процессоры Intel и AMD, без смягчения / решения на данный момент для двух из трех способов атаки на систему.

Обновить [Jan 3, 2018 3: 25pm PT]

RedHat выпустила рекомендации по безопасности для RHEL 6.4. Это дает нам кое-что для работы.

Обновить [Jan 3, 2018 3: 15pm PT]

Уязвимости были окончательно раскрыты: https://spectreattack.com/

Наша первоначальная попытка портировать основные плагины в ядра CloudLinux 7 & EL 7 не является успешной из-за отсутствия поддержки PCID. Без PCID падение производительности будет равно 30% +. Мы работаем над обходными решениями и ожидаем обновления от восходящего потока.

Оригинальная история:

У нас пока нет всей информации. Мы мало знаем о том, что уже сообщалось Регистр и Intel.

Что мы предполагаем на данный момент:

Что мы не знаем:

Что мы делаем сейчас:

Что мы планируем сделать:

Мы также думаем о лучшем способе доставки патчей, так как они могут оказывать значительное неблагоприятное влияние на ваши серверы (из-за снижения производительности 5% -30%). Мы хотим убедиться, что у вас есть способ контролировать это.

Мы пока не можем предоставить вам ETA, но мы знаем, что мы ничего не будем делать сегодня, январь 3rd. Мы предоставим вам дополнительную информацию завтра или раньше, если у нас будет больше информации.