Marin Heideman (DigiState B.V.)
Ik moet zeggen door het slap reageren van Intel, en hoop speculatie, vind ik deze 2 BUGS langzaam wel een cluster fuckup worden. Ik heb vragen, en rondom mij zijn er ook voldoende vragen. Iedereen denkt iets te weten, maar echt duidelijk vind ik het niet. Ergen bedruipt me het gevoel dat we er nog niet zijn, ondanks de patches die er gedaan zijn....
"Zo zijn ook wij één leverancier. Dé leverancier in gedegen Linux kennis, wanneer jij dat nodig hebt."
Boek je admin vandaag nog via : www.admin.nu
Gevestigd in Nederland en Moldavië
Lees hier de webhostingtalk.nl forum regels en voorwaarden!
Dit in combinatie met de GDPR die er in mei aankomt is gewoon spek naar de bek voor security bedrijven..
Xenius.be | Our solutions, our products, your success !
Mikey,
Ik geloof dat je de juiste terminologie gebruikt.
Qua VMware en je eerdere vraag, volgens mij is dit de korte samenvatting.
De vSphere kernel is niet gevoelig voor Meltdown omdat alles op kernel nivo draait. Maar je VMs moeten wel gepatched worden.
Qua vSphere 6.0 en 6.5 zijn volgens mij de huidige patches afdoende voor Spectre versie 1 en 2. Men claimt dat Spectre 3 niet telt voor vSphere.
Voor vSphere 5.5 volgen nog patches en vSphere 5.1 wordt denkelijk niet gepatched.
En dan moet je ook nog de firmware patches te pakken zien te krijgen van je hardware vendor.
Relevante links:
https://kb.vmware.com/s/article/52245
en
https://blogs.vmware.com/security/20...2018-0002.html
side note: Voor linux wil je op de allerlaatste kernel zitten omdat de patch anders geen gebruik maakt van PCID welke helpt om niet teveel overhead te hebben, ook al heeft je CPU wel die feature.
Zie ook: https://groups.google.com/forum/m/#!...hy/L9mHTbeQLNU
end deze laatste link is ook relevant voor NIET VMware gebruikers.
Ik vermoed inderdaad dat er de komende maanden nog meer gepatched gaat moeten worden. Al is het alleen maar om de laatste firmware's te kunnen uploaden naar je CPU in het geval je hardware supplier niet met een nieuwe BIOS/firmware komt.
Dat sowieso, volgens Intel zou het performance wise ook beter moeten worden. Ik ben ook zeer benieuwd wat Intel precies met de microupdates gaat patchen en wat voor impact dat gaat hebben.
Wat ik wel bijzonder slecht vind (en echt hoor, dat is forceren om nieuwe CPUs te kopen) is dat Intel tot 5 jaar oude CPUs gaat aanpakken. En waarom heeft het zo lang moeten duren? En waarom was niet iedereen hier tijdig van op de hoogte (FreeBSD, ik ben geen gebruiker hier van maar toch)? En hoe kan het dat Intel nog steeds geen updates heeft als 9 januari als de deadline was neergezet?
Het hele verhaal stinkt ook voldoende om te gaan speculeren dat bepaalde diensten het lek nodig hadden voor het spioneren...
Met vriendelijke groet, Yourwebhoster.eu - Managed VPS diensten met Epyc performance op 100% SSDs
Lees hier de webhostingtalk.nl forum regels en voorwaarden!
Intel heeft online een tool waarmee je kunt zien of je systeem (OS Windows of Linux) kwetsbaar is.
Da's een andere security issue (intel SA-00086) en heeft te maken met een issue in de intel Management Engine, niet meltdown/spectre.
Als je de bijbehorende link op die site over intel SA-00086 leest dan zie je dat er geen melding wordt gemaakt over CVE-2017-5753, CVE-2017-5754 of CVE-2017-5715
Ik heb eigenlijk ook geen woorden voor deze mega fuckup. Wij wachten op dit moment nog op patches van OnApp maar ook daar is het nu alweer vanaf de 5e stil. En wat hierboven ook al is gezegd hoe kan het dat de patches van Intel nog niet klaar waren?
En dan komt daar bovenop nog het volgende; https://www.businessinsider.nl/intel...p-flaw-2018-1/
Hoe schandalig is dit?
Intel was aware of the chip vulnerability when its CEO sold off $24 million in company stock
Hier gaan meerdere theorieën over rond (ga er van uit dat het is onderzocht). In de staat waar de CEO zit (Californië) gaat de belasting dusdanig omhoog dat het op belastinggebied slim zou zijn. Wel komt het erg ongelukkig uit en schijnt het dat hij het al voordat de stemming rond was toestemming aan het bedrijf had gevraagd...
Met vriendelijke groet, Yourwebhoster.eu - Managed VPS diensten met Epyc performance op 100% SSDs
Lees hier de webhostingtalk.nl forum regels en voorwaarden!
Het lijkt mij nu meer een geluk bij een ongeluk want dit kan en mag gewoon niet. Hetzelfde als een kapitein die niet als laatste zijn zinkend schip verlaat. Onacceptabel.
Maar als dit echt is gegaan zoals deze man het uitlegt dan is dat natuurlijk geen probleem.
... en dat heeft ook niet lang op zich laten wachten.. de nieuwe patches voor vSphere 5.5, 6.0 en 6.5 zijn nu beschikbaar:
https://esxi-patches.v-front.de/ESXi-6.5.0.html
(je kan op die pagina switchen van versie en de KB artikelen voor de betreffende versie bekijken. Bijbehorende security bulletin was net nog niet beschikbaar, maar zal wel komen)
Dennis de Houx - All In One ~ Official ISPsystem partner
Lees hier de webhostingtalk.nl forum regels en voorwaarden!
Alle partijen die ik met OnApp ken gebruiken geen custom repo's. Zo ver ik weet adviseren ze bij OnApp ook gewoon de standaard OS repo's te gebruiken. Zonder meer info blijft het gokken. De templates zou ik me sowieso niet druk over maken. Zelf hebben we de templates aangepast met een update tijdens het booten. Volgens mij kan je dat ook via recipies doen.