Sehr geehrte Damen und Herren,

hiermit möchten wir Sie darüber informieren, dass wir uns der CPU Sicherheitslücke (CVE-2017-5715, CVE-2017-5753, CVE-2017-5754 Codename Meltdown und Spectre) von der Sie sicherlich schon aus allen großen Medien gehört haben bewusst sind. Daher möchten wir Sie mit unserer Stellungnahme über die weitere Vorgehensweise sowie die Auswirkungen der CPU Sicherheitslücke auf unsere Produkte und Dienstleistungen informieren.

Aktuell betreiben wir an allen Rechenzentren Standorten mehrere hundert physikalische Server mit Intel Xeon Prozessoren. Dementsprechend ist unsere Server Infrastruktur von beiden Sicherheitslücken (Meltdown und Spectre) betroffen. Die Sicherheit unserer Produkte hat für uns höchste Priorität.

Die Behebung der Sicherheitslücke besteht konzeptionell (auf allen Betriebssystemen und Servern) aus zwei Schritten:

1. Sicherheitsupdate des Kernels vom jeweiligen Betriebssystem (notwendig für alle physikalischen Server und alle virtuellen Maschinen). Alle großen Betriebssystem Hersteller habe bereits entsprechende Updates veröffentlicht.
2. Microcode Update des Prozessors. Alle großen Server Hersteller haben bereits mit der Verteilung von BIOS- und Firmware Updates begonnen worin auch ein entsprechendes Microcode Update für Intel Prozessoren enthalten ist.

Beide Maßnahmen in Kombination bieten nach aktueller Einschätzung einen vollständigen Schutz.

Ansonsten möchten wir noch darauf hinweisen, dass wir aktuell auf mehreren Testsystemen keine spürbaren Auswirkungen auf die Performance feststellen konnten. Getestet haben wir dies mit Intel Xeon E5-2630 v3 und Intel Xeon Gold 5115 Prozessoren. Lediglich bei extrem I/O intensiven Applikationen konnten wir geringe Performance Einbrüche im Bereich von 1-5% feststellen. Nachfolgend möchten wir Sie bezogen auf die jeweiligen Produkte von uns über die weiteren Maßnahmen informieren.

IMT-Systems VMware ESXi Server / VMware vSphere Cluster / VMware vCenter

Wir empfehlen Ihnen umgehend die entsprechenden Sicherheitsupdates Ihres Betriebssystem Herstellers auf allen virtuellen Maschinen einzuspielen. Alle weiteren Updates (vSphere Hypervisor, vCenter sowie BIOS- und Firmware insbesondere Intel Microcode Updates) erfolgen im Rahmen unserer Wartungsverträge mit dem nächsten Wartungsfenster.

Weitere Informationen gibt es bei VMware unter:

https://www.vmware.com/security/advisories/VMSA-2018-0002.html
https://www.vmware.com/security/advisories/VMSA-2018-0004.html

In den nächsten Tagen bekommen Sie von unserem technischen Support ein Wartungsfenster mitgeteilt in dem die oben aufgelisteten VMware Security Advisories sowie Microcode Updates für die Intel Prozessoren durchgeführt werden.

IMT-Systems Virtuelle Server (KVM und VMware)

Wir empfehlen Ihnen umgehend die entsprechenden Sicherheitsupdates Ihres Betriebssystem Herstellers auf allen virtuellen Maschinen einzuspielen.

IMT-Systems Managed Server

Es ist keine Handlung Ihrerseits erforderlich. Sämtliche Updates werden durch IMT-Systems durchgeführt.

IMT-Systems Colocation und Rackspace

Wir empfehlen Ihnen umgehend die entsprechenden Sicherheitsupdates Ihres Betriebssystem Herstellers auf allen physikalischen Servern und virtuellen Maschinen einzuspielen. Weiterhin empfehlen wir Ihnen entsprechende BIOS- und Firmware Updates Ihres Hardwareherstellers durchzuführen um insbesondere bei Intel Prozessoren sicherzustellen, dass die neueste Microcode Version verwendet wird. Außerdem können auch Netzwerk, Storage oder sonstige IT-Infrastrukturkomponenten von der CPU Sicherheitslücke betroffen sein. Daher empfehlen wir Ihnen sämtliche Hardware die Sie betreiben beim Hersteller auf entsprechende Sicherheitsaktualisierungen zu überprüfen und diese entsprechend durchzuführen.

IMT-Systems Dedicated Server

Wir empfehlen Ihnen umgehend die entsprechenden Sicherheitsupdates Ihres Betriebssystem Herstellers auf allen physikalischen Servern und virtuellen Maschinen einzuspielen. Bei Dedicated Server verwendet IMT-Systems ausschließlich Dell Hardware. Dell wird für alle Servergenerationen die wir aktuell im Einsatz haben (14G, 13G und 12G) entsprechende Updates anbieten. Weitere Informationen zu den BIOS Updates finden Sie unter folgender URL:

http://www.dell.com/support/article/us/en/19/sln308588/microprocessor-side-channel-vulnerabilities–cve-2017-5715–cve-2017-5753–cve-2017-5754—impact-on-dell-emc-products–dell-enterprise-servers–storage-and-networking-?lang=en

Bei Dedicated Servern erfolgt normalerweise keine Verwaltung der Hardware durch IMT-Systems, da ausschließlich der Kunde entsprechende Administrator bzw. Rootrechte besitzt. Wir empfehlen Ihnen daher die BIOS Updates selbstständig durchzuführen. Alternativ bieten wir Ihnen aufgrund der Dringlichkeit der Sicherheitslücke die Möglichkeit an, dass unser technischer Support die Updates für Sie kostenfrei durchführt. Wenn Sie diese Möglichkeit in Anspruch nehmen wollen bitten wir Sie über unser Support Portal Kontakt mit uns aufzunehmen.

Bei weiteren Rückfragen steht Ihnen unser technischer Support unter https://portal.imt-systems.com/servicedesk/ jederzeit gerne zur Verfügung.

Update 23.01.2018

Unser internes Ziel war es, dass wir bei allen Kunden mit aktiven Wartungsverträgen bis Ende Januar 2018 sämtliche Server mit entsprechenden Microcode Updates aktualisiert haben. Aufgrund technischer Probleme mit dem Microcode Update von Intel haben mehrere wichtige Zulieferer von uns (Dell, VMware und Red Hat) bereits veröffentlichte Software und Microcode Updates wieder zurückgezogen.

Aufgrund dieser Ereignisse haben wir ab sofort alle Microcode Updates gestoppt. Nach Rücksprache mit Dell und Intel werden in den nächsten Wochen neue Microcode Updates veröffentlicht die stabil laufen sollen. Sobald diese Updates vorliegen werden wir sie intern einem Stresstest unterziehen und erst dann mit dem Rollout auf Kundensysteme im Rahmen unserer Wartungsverträge beginnen.

Grundsätzlich bleibt es bei unserer Empfehlung  vom 10. Januar 2018, dass Software Updates auf allen Host- und Gastbetriebssystemen in Kombination mit Microcode Updates erforderlich sind. Allerdings möchten wir an dieser Stelle auch allen anderen Kunden ohne Wartungsverträge (Colocation, Rackspace, Dedicated Server) empfehlen mit dem Intel Microcode Update zu warten bis eine stabile Version zur Verfügung steht. Mittlerweile hat Intel selber die Microcode Updates zurückgezogen (https://www.heise.de/security/meldung/Meltdown-und-Spectre-Intel-zieht-Microcode-Updates-fuer-Prozessoren-zurueck-3948447.html