Welke maatregelen nemen cloud providers op Meltdown en Spectre?

Processors van zowel Intel, AMD als ARM zijn getroffen door twee kritieke beveiligingslekken: Meltdown en Spectre. Beide kwetsbaarheden kunnen toegang geven tot kernelgeheugen van systemen. Beveiligingsonderzoekers waarschuwen dat de lekken het in sommige gevallen - afhankelijk van de configuratie van de cloud provider - mogelijk kan zijn data te stelen van andere klanten. Verschillende cloud providers hebben inmiddels maatregelen genomen. We hebben enkele voorbeelden verzameld.

Amazon

Amazon meldt in een security bulletin: "Alle instances van de Amazon EC2 fleet zijn beschermd tegen alle bekende dreigingsvectoren van de eerder genoemde CVE's (red: CVE-2017-5715, CVE-2017-5753 en CVE-2017-5754) Instances van klanten zijn beschermd tegen deze dreigingen vanuit andere instances. We hebben geen noemenswaardige impact op de prestaties gedetecteerd voor het overgrote merendeel van de EC2 workloads."

Het bedrijf adviseert klanten die gebruik maken van AWS Batch, Amazon EC2, Amazon Elastic Beanstalk, Amazon Elastic Container Service, Amazon Elastic MapReduce en Amazon Lightsail het besturingssysteem van hun instances te patchen. Dit vergroot volgens Amazon de beveiligingsmaatregelen van deze besturingssystemen om software die draait in dezelfde instance te isoleren.

Meer informatie is hier te vinden.

Microsoft

Microsoft meldt de Azure infrastructure te hebben geüpdatet om deze kwetsbaarheid te adresseren. Wel moeten klanten in sommige gevallen hun virtuele machines herstarten voordat de security update effect heeft. "Deze Azure infrastructuurupdate adresseert de vrijgegeven kwetsbaarheid op hypervisor niveau en vereist geen update voor uw Windows of Linux VM images. Zoals altijd adviseren wij u echter wel security best practices te blijven toepassen op uw VM images", schrijft Microsoft in een blogpost.

"Het overgrote deel van de Azure klanten zou geen merkbare impact op de prestaties moeten ondervinden door deze update. We hebben gewerkt aan het optimaliseren van de CPU en disk I/O path, en zien geen merkbare impact op de prestaties nadat de fix is toegepast. Een klein deel van de klanten kan echter een impact op de netwerkprestaties ervaren. Dit kan worden geadresseerd door Azure Accelerated Networking (Windows, Linux) toe te passen, dat gratis beschikbaar is voor alle Azure klanten. We blijven de prestaties nauw monitoren en feedback van klanten adresseren."

De volledige blogpost van Microsoft is hier te vinden.

Google

Google meldt sinds de ontdekking van het lek door Google's Project Zero security team al bezig te zijn met het verhelpen van de kwetsbaarheden in ondermeer Google Cloud Platform (GCP), G Suite applicaties zowel de Google Chrome als Chrome OS producten. "Alle G Suite applicaties zijn al geüpdatet om bekende aanvalsvectoren te voorkomen. G Suite klanten en gebruikers hoeven geen actie te ondernemen om beschermd te zijn tegen de kwetsbaarheid", aldus Google.

"GCP is al geüpdatet om alle bekende kwetsbaarheden tegen te gaan .Google Cloud is gebouwd op een manier die ons in staat stelt de omgeving te updaten en de operationele continuïteit voor onze klanten te bewaken. We gebruiken onze VM Live Migration technologie om updates uit te voeren zonder dat dit impact heeft op gebruikers, zonder geforceerd onderhoudsvenster en zonder dat dit een herstart vereist."

Google wijst erop dat klanten die hun eigen besturingssystemen gebruiken met GCP service mogelijk additionele updates moeten toepassen op hun images. Meer informatie hierover is hier te vinden.

De volledige blogpost van Google is hier beschikbaar.