Dom senaste dagarna har det pratats mycket om två säkerhetshot, kallade Spectre (CVE-2017-5753, CVE-2017-5715) och Meltdown (CVE-2017-5754). Gemensamt för båda är att de kan missbrukas för att läsa känslig data från minnet som vanligtvis inte ska gå att komma åt och påverkar tyvärr en stor del av moderna datorer.
Vad är det för något?
CPU-tillverkare har sedan lång tid tillbaka använt sig av något som kallas för spekulativ exekvering. Denna funktion innebär att processorn försöker gissa vad den ska göra härnäst vilket gör att om det är en korrekt gissning får man en prestandavinst. Gissar den fel, kastar den datat och börjar om från början. Det som gjort att det blir en prestandavinst är att processorn gissar rätt tillräckligt ofta för att göra en positiv skillnad. Felet är alltså att processorns minne inte töms på ett korrekt sätt när en felaktig gissning sker vilket kan leda till att potentiellt känslig data inläst i minnet kan avläsas med hjälp av buggarna Spectre och Meltdown.
Alla servrar hos Cloudnet körs i dagsläget på Intel processorer vilken är den tillverkare som är mest påverkad av dessa buggar.
Påverkan för Cloudnets kunder?
Generellt sett är risken att drabbas av detta tämligen liten. Det som potentiellt skulle kunna hända är att någon kan komma åt saker som ligger i minnet på servrarna men eftersom majoriteten av våra kunder har publika hemsidor där all information redan finns tillgänglig med hjälp av en webbläsare så är risken att någon hemlig information kommer på vift väldigt liten. Dom kunder där Cloudnet bedömer risken är extra stor att potentiellt känslig information kommer på vift har kontaktats separat.
Vad händer nu?
Cloudnets plattformar är i dagsläget påverkade i varierande grad. Den exakta påverkan håller på att utrönas i tätt samarbete med våra leverantörer och vi kommer att utföra dom åtgärder som behövs för att säkerställa en säker drift. Just nu väntar vi på att våra leverantörer ska få ta del av uppdateringar från sina hårdvaru och mjukvaruleverantörer. Så fort dom har dom så kommer tester att ske för att säkerställa stabilitet, säkerhet och prestanda. Detta inlägg kommer löpandes att uppdatera så fort mer information finns.
Om du har några frågor eller funderingar så är det bara att höra av sig!