4. Update zu CPU Bugs: Vollstaendiger Schutz fuer Spectre/Meltdown

[Daniel Baumann]

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512

Hallo zusammen,

hier der aktuelle Stand/Zusammenfassung seit dem letzten Update zu den
im Januar 2018 bekannt gewordenen CPU Bugs.

1. Kernel Updates
=================

  * Am 18. Februar wurde Kernel 4.15.4 in Debian unstable hochgeladen,
    Backports fuer Debian 9 (stretch) haben wir am gleichen Tag
    aktualisiert.

    Damit ist Spectre 1 gefixt.

  * Gestern wurde in Debian 9 (stretch) GCC-6 mit repotline Support
    hochgeladen, wir haben heute Kernel 4.15.4 gegen neuen GCC gebaut
    und hochgeladen.

    Damit ist Spectre 2 gefixt.


2. Reboots aller Linux Systeme
==============================

  * Heute Abend werden wir alle Container Server auf Hardware
    rebooten.

  * Container Server auf unseren VMware ESX Umgebungen werden wir
    nach dem Einspielen der VMware Patches durch unsere Kollegen
    in KW9/KW10 ebenfalls alle rebooten koennen (vor den Updates
    der physikalischen Hosts bringt ein Reboot der Linux VMs wenig).


3. Microcode Updates
====================

  * Wir erwarten neuen Intel Microcode in der naechsten Woche.

  * Achtung: Fuer Linux (und nur fuer Linux!) sind auf den meisten Intel
    Platformen *kein* neuer Microcode noetig damit Spectre 1 und 2
    gefixt sind.

  * Grund: Die Intel Microcode-Anpassungen sind in ihrer Implementierung
    und Wirksamkeit (neutral formuliert) umstritten - die Loesung in
    Software via Linux Kernel ist besser/vollstaendig und performanter.

  * Trotzdem werden wir (und alle User sollten dasselbe tun) bei
    Verfuegbarkeit von neuem Microcode diesen umgehend einspielen.

    Microcode Updates bringen nicht nur neue Mechanismen auf die
    Betriebsystem zurueckgreifen *kann* (aber nicht muss) um Spectre 1+2
    auf eine Moeglichkeit zu umgehen, sondern, Microcode Updates bringen
    generell regelmaessige wichtige Fixes fuer andere Bugs.


4. Status BFH Linux Systeme
===========================

Wir fuehren eine automatisch aktualisierte Statusseite aller Linux
Systeme welche entweder durch uns selbst (Linux Gruppe, Infrastruktur
Team) gepflegt werden oder (unmanaged) auf IT-Services Hardware laufen:

  https://master.linux.bfh.ch/cpu-bugs

sowie unsere Seite mit weitere Informationen und Ressourcen zum Thema:

  https://linux.bfh.ch/news/cpu-bugs

Wir halten diese Seite aktuell und informieren bei wichtigen Aenderungen
per E-Mail auf diese Announce Liste.


5. Updates einspielen!
======================

Wir empfehlen dringend allen Usern auf die obengenannten Versionen
zu aktualisieren und Ihre Linux Systeme zu rebooten.

Bei Fragen zu einzelnen Systemen oder Hilfe zum Update geben wir gerne
Auskunft, bitte kontaktiert uns ueber die ueblichen Kanaele
(Mailingliste, Ticket, Telefon, etc.).

Gruesse,
Daniel

- -- 
Berner Fachhochschule / Bern University of Applied Sciences
IT-Services / Team Infrastructure Services
Daniel Baumann
IT System Engineer Linux
___________________________________________________________
Dammweg 3, CH-3013 Bern
Phone direct +41 31 848 48 22
Phone Servicedesk +41 31 848 48 48
daniel.baumann at bfh.ch
https://servicedesk.bfh.ch
https://www.bfh.ch
https://linux.bfh.ch
-----BEGIN PGP SIGNATURE-----
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=i4Ee
-----END PGP SIGNATURE-----