CloudLinux - Блог CloudLinux - KernelCare исправляет Meltdown и Spectre без перезагрузок!
RSS

KernelCare устраняет уязвимости Meltdown и Spectre без перезагрузки!

KernelCare устраняет уязвимости Meltdown и Spectre без перезагрузки!

В KernelCare теперь находятся плагины Meltdown и Spectre (specter-v1), которые используют критические уязвимости в современных процессорах. Список поддерживаемых дистрибутивов приведен ниже. Бесплатная пробная версия поддерживает обновления.

К настоящему моменту вы, возможно, подумали, что тема уязвимостей Meltdown и Spectre заходит за кулисы в новостях. Не так, так как последствия и решения для решения проблем, похоже, до сих пор говорят о техническом сообществе.

Ману талантливые инженеры из разных поставщиков ОС, компании с облачными вычислениями и многие другие технологические компании работали круглосуточно, чтобы разрабатывать исправления, тестировать их и применять. Эти исправления предназначены для устранения проблемы, которая может привести к серьезному нарушению безопасности и исключить замедление производительности. Исправления предназначены для предотвращения распространения программ внутри памяти ядра, и влияние этого, особенно в сообществе хостинга, может быть серьезным.

Существуют примеры доказательства открытого кода концепции, которые могут использовать уязвимости Meltdown и Spectre. Подозревается, что хакеры ими вооружают. Не устраняя эти уязвимости, теперь, когда после 20 лет они были преданы гласности, на самом деле это не вариант.

Многие поставщики облачных вычислений и предприятия ищут исправления, но необходимость перезагрузки усложняет процесс, поскольку он сбрасывает серверы всех своих клиентов и бизнес-единиц. Не говоря уже о том, что объем внутренних ресурсов и организаций, необходимых для такой операции, является массовым. Из-за этого многие компании еще не обновили свои серверы. Все наши клиенты были опротестованы этой проблемой, и многие из нас связались с нами с просьбой о решении.

Более полудюжины наших разработчиков ядра прилагают все усилия, чтобы придумать Решение KernelCare - исправления, которые исправили бы проблемы Meltdown и Specter без необходимости перезагрузки серверов. Это оказалось сложной задачей, но после непрерывной работы над разработкой решения они, наконец, сделали!

Наша прямая технология патчей, KernelCare , обеспечивает бесперебойные обновления безопасности ядра - без каких-либо помех или простоев для программного обеспечения, запущенного на сервере. Он исправляет только затронутую часть, не перезагружая или перезагружая сервер. С этими точными обновлениями мы можем свести к минимуму изменения и сделать это вживую. Запущенный через 3 лет назад, теперь с серверами 100,000, на которых работает KernelCare, мы являемся единственным поставщиком обновлений для нижеперечисленных дистрибутивов, предоставляющим исправления для уязвимостей Meltdown и Spectre (specter-v1).

Решения Meltdown и Spectre требуют перезагрузки. Не с KernelCare. Если у вас нет KernelCare, вы можете получить Бесплатная пробная версия, и обновлять все ядра на неограниченном количестве серверов, без перезагрузки.

. . .

В настоящее время мы запустили исправления Meltdown / Spectre для:

  • CentOS 7 и CentOS 7 Plus
  • RHEL 7
  • CloudLinux 7, гибридный
  • Proxmox VE3.10

Скоро:

  • 6 CentOS
  • RHEL 6
  • CloudLinux 6
  • Virtuozzo 6
  • Ubuntu
  • Debian
  • другие

В этом блоге публикуются своевременные обновления.

Beta: обновлен MySQL Governor
Бета: LVE Manager, CageFS и liblve обновлены

Комментарии 19

Какую страницу блога нам нужно настроить для патчей CL6 KC?

Какую страницу блога нам нужно настроить для патчей CL6 KC?
Следуйте https://cloudlinux.com/cloudlinux-os-blog/entry/intel-cpu-bug-kernelcare-and-cloudlinux.

Постоянно получаю:


# kcarectl -u
Обновления уже загружены
Невозможно применить патч (/var/cache/kcare/4796c6a424d5f4abf9482d4e335a60d79a6de997/2/kpatch.bin 2 255 CloudLinux 3.10.0-714.10.2.lve1.4.77.el7.x86_64, по умолчанию,, False)



[37.366513] kpatch: невозможно применить патч kPTI к домену Xen PV
[37.366545] kpatch: initcall at ffffffffa042b610 не удалось ...


# uname -r
3.10.0-714.10.2.lve1.4.77.el7.x86_64



Также продолжайте получать письма от этого:


Cron / usr / bin / kcarectl --auto-update --gradual-rollout = авто

Невозможно применить патч (/var/cache/kcare/4796c6a424d5f4abf9482d4e335a60d79a6de997/2/kpatch.bin 2 255 CloudLinux 3.10.0-714.10.2.lve1.4.77.el7.x86_64, по умолчанию,, False)



Если патч KPTI не может быть применен к Xen PV, это нормально для нас, но, пожалуйста, не напоминайте нам каждые 4 часов ;-)

Продолжайте получать: # kcarectl -u обновления уже загружены Невозможно применить патч (/var/cache/kcare/4796c6a424d5f4abf9482d4e335a60d79a6de997/2/kpatch.bin 2 255 CloudLinux 3.10.0-714.10.2.lve1.4.77.el7.x86_64, по умолчанию,, False) [37.366513 ] kpatch: невозможно применить патч kPTI к домену Xen PV [37.366545] kpatch: initcall at ffffffffa042b610 не удалось ... # uname -r 3.10.0-714.10.2.lve1.4.77.el7.x86_64 Также продолжайте получать письма от этого: Cron / usr / bin / kcarectl --auto-обновление --gradual-откачка = автоматический Невозможно применить патч (/var/cache/kcare/4796c6a424d5f4abf9482d4e335a60d79a6de997/2/kpatch.bin 2 255 CloudLinux 3.10.0-714.10.2.lve1.4.77.el7.x86_64, по умолчанию,, False) Если патч KPTI не может быть применен к Xen PV, это нормально для нас, но, пожалуйста, не напоминайте нам каждые 4 часов ;-)

Это нормально отключить автоматические обновления KC (в /etc/sysconfig/kcare/kcare.conf) для систем Xen PV, пока мы не найдем обходной путь для этой проблемы.

Это нормально отключить автоматические обновления KC (в /etc/sysconfig/kcare/kcare.conf) для систем Xen PV, пока мы не найдем обходной путь для этой проблемы.

Это огромно! Поздравления. Продолжайте хорошую работу!

Это огромно! Поздравления. Продолжайте хорошую работу!
Гость - кто-то в четверг, 08, февраль, 2018, 22: 38.

Применение микрокода обычно требует перезагрузки (но мы постараемся сделать это через KC)


Вы работаете над этим или должны ли мы перезагрузить сервер для обновления микрокода?

[quote] Применять микрокод обычно требует перезагрузки (но мы постараемся разрешить это делать с помощью KC) [/ quote]. Вы работаете над этим, или нам нужно перезагрузить сервер для обновления микрокода?

Обновления микрокода могут часто применяться без перезагрузки - это действительно зависит от производителей оборудования.
В RHEL / CentOS / CL 7 имеется команда microcode_ctl, которая позволяет обновлять микрокод на запущенной системе. В противном случае, если для поставщика требуется обновление BIOS, может потребоваться перезагрузка.

Обновления микрокода могут часто применяться без перезагрузки - это действительно зависит от производителей оборудования. В RHEL / CentOS / CL 7 имеется команда microcode_ctl, которая позволяет обновлять микрокод на запущенной системе. В противном случае, если для поставщика требуется обновление BIOS, может потребоваться перезагрузка.
Гость - Гость во вторник, 13 февраль 2018 17: 58

Похоже, что существует много путаницы в позиции ядра в отношении ядер Xen PV. Вы заявляете в этом беспорядке, что «* Xen PV не поддерживается (и не будет)», но на Facebook вы ответили на комментарий с: «Скорее всего, на этой неделе мы выпустим исправление для Xen PV в бета-версии. И да, это будет поддерживаться ».

https://www.facebook.com/CloudLinux/posts/1546425625410582?comment_id=1548975551822256

Можете ли вы прояснить, находятся ли ядра Xen PV в дорожной карте, и если увидите, когда мы можем ожидать увидеть эти ядра?

Спасибо -

Похоже, что существует много путаницы в позиции ядра в отношении ядер Xen PV. Вы заявляете в этом беспорядке, что «* Xen PV не поддерживается (и не будет)», но на Facebook вы ответили на комментарий с: «Скорее всего, на этой неделе мы выпустим исправление для Xen PV в бета-версии. И да, это будет поддерживаться ». https://www.facebook.com/CloudLinux/posts/1546425625410582?comment_id=1548975551822256 Можете ли вы прояснить, находятся ли ядра Xen PV в дорожной карте, и если видите, когда мы можем ожидать увидеть эти ядра? Спасибо -

Извините за путаницу - исправление Xen PV будет доступно к концу этой недели.

Извините за путаницу - исправление Xen PV будет доступно к концу этой недели.
Гость - гость во вторник, 13 февраль 2018 18: 20

Это здорово услышать - большое спасибо.

Я буду следить за сообщениями в блоге для получения обновлений.

Это здорово услышать - большое спасибо. Я буду следить за сообщениями в блоге для получения обновлений.
Уже зарегистрирован? ВОЙТИ
гость
Понедельник, 22 июля 2019

Защитный код изображение