Bezpečnostní chyba v procesorech Intel

Světem serverů otřásá bezpečnostní problém procesorů Intel, kvůli kterému může útočník v extrémním případě přistupovat do libovolné části paměti serveru bez ohledu na to, pod jakými právy běží. Jde tedy o problém, který se musí opravit i za cenu výpadku v méně vhodných časech.

Většina provozovatelů moderních cloudů aktuálně bojuje s tím, jak systém ve svých serverech záplatovat a restartovat, což bohužel ovlivní i Roští. Většina nového Roští je hostována ve službě Scaleway, kde problém berou vážně a v příštích dvou dnech budou restartovat všechny servery. Bohužel k tomu nevydali žádný konkrétní plán a pojedou jeden po druhém. Rizika při zneužití jsou, prakticky je možné získat jakákoli data uložená na napadeném serveru.

Scaleway začne s restarty svých clusterů dnes  kolem 8:00 ráno a skončí v sobotu ve stejný čas. Neměly by být problémy s databází a adminem. V minulosti jsme měli problémy s automatickým startem kontejnerů v Dockeru. Jde o dva roky starou zkušenost a od té doby jsme tuto funkci nevyzkoušeli. Tohle tedy bude ostrý test.

Držte nám palce. Pokud vše půjde jak má, bude výpadek pouze několik minut a nebude při něm potřeba zásah lidské ruky.

Servery pošty a starého Roští máme na vlastním hardwaru a ten budeme restartovat zítra v noci.

Update 1: Scaleway nám zatím servery nerestartovalo a důvodem je, že nabízejí bare metal servery a na své straně mohou opravit jen microcode procesoru, který ještě nemají a možná ani nebyl uvolněn Intelem. Zatím tedy opravujeme jádra ručně. Dnes budeme restartovat servery alpha-node-{4,5,8 a 9}. Servery 6 a 7 jsou větší a necháváme se je na zítra. Staré Roští přijde až poté, co bude vyřešeno nové. Exploity zatím nebyly zveřejněny, takže se nemusíme bát masivního zneužívání. Administrace nám běží na ARM jádře, které je podle posledních informací v bezpečí.