no way to compare when less than two revisions
Differences
This shows you the differences between two versions of the page.
| — | aankondigingen:2018:cve-2018-3620-l1tf [2024/04/16 07:59] (current) – created - external edit 127.0.0.1 | ||
|---|---|---|---|
| Line 1: | Line 1: | ||
| + | ~~META: | ||
| + | title = C2018D09: L1TF / Foreshadow | ||
| + | ~~ | ||
| + | ====== C2018D09: L1TF / Foreshadow ====== | ||
| + | |||
| + | ====== Voorstel klantcommunicatie ====== | ||
| + | ===== Aankondigingen ===== | ||
| + | ==== Onderwerp: onderhoud linux systemen NPO Hosting ==== | ||
| + | Beste Klant/ | ||
| + | |||
| + | zoals u in het nieuws heeft kunnen lezen is er onlangs een nieuw | ||
| + | beveiligingsproblemen aan het licht gekomen, genaamd " | ||
| + | Ook de NPO Hosting omgeving is hier kwetsbaar voor; de | ||
| + | mogelijkheid bestaat dat een kwaadwillende gegevens kan lezen die | ||
| + | normaal gesproken niet beschikbaar zijn. Denk aan database credentials | ||
| + | of aan andere passwords. Op ons platform zijn op dit moment al | ||
| + | maatregelen actief om misbruik moeilijker te maken, maar vanwege de | ||
| + | ernst van de problemen zullen we op korte termijn extra maatregelen | ||
| + | nemen. Te weten: | ||
| + | * Alle servers in de clusters worden gepatched. Hier is een herstart voor nodig, wat in bepaalde gevallen een onderbreking van de dienstverlening zal veroorzaken. Zie voor de planning hieronder | ||
| + | Eerder genomen maatregelen op dit vlak zijn: | ||
| + | * We maken het moeilijker om willekeurige (kwaadwillende) code uit te voeren die in temp of data directories is geplaatst, door executie vanaf deze plaatsen te verhinderen. | ||
| + | * Het ''/ | ||
| + | |||
| + | Impact: | ||
| + | Het herstarten van servers heeft impact in de webhosting omgeving ("het | ||
| + | appcluster" | ||
| + | andere omgevingen kunnen we door middel van loadbalancing en het sturen | ||
| + | van verkeer het herstarten van een losse server zonder impact opvangen, | ||
| + | maar in de hosting omgeving is dat helaas niet in alle gevallen | ||
| + | mogelijk. (denk bijvoorbeeld aan databases die niet dubbel uitgevoerd | ||
| + | zijn) | ||
| + | Het testcluster wordt 's avonds niet of nauwelijks gebruikt, daarom | ||
| + | zullen we servers van deze omgeving in de avond herstarten. Dit heeft | ||
| + | tot gevolg dat de diensten in het testcluster ongeveer een uur niet | ||
| + | beschikbaar zullen zijn. | ||
| + | Het appcluster wordt de klok rond gebruikt, maar 's nachts is het | ||
| + | rustiger dan overdag, hier kiezen we dus een moment in de nacht. | ||
| + | Het herstarten van servers wordt zodanig uitgevoerd dat veel diensten | ||
| + | in het geheel geen onderbreking zullen ondervinden, | ||
| + | met name databases 2x een korte (<< 1 min) onderbreking en sommige, | ||
| + | met name java gebaseerde diensten 2x een wat langere onderbreking (5-10 | ||
| + | min) omdat java vaak wat meer tijd nodig heeft om weer op te starten. | ||
| + | |||
| + | Naast deze herstarts zijn er ook reguliere software updates geplanned. | ||
| + | Bij deze een volledig overzicht: | ||
| + | |||
| + | ^ wat ^ actie ^ impact ^ wanneer ^ | ||
| + | |patch L1TF |herstart servers mail relays, dns servers en ondersteunende omgevingen|geen | 20--24 augustus 8:00 - 17:00 | | ||
| + | |patch L1TF |herstart servers testcluster |alle diensten in het testcluster zijn ongeveer een uur niet beschikbaar | 21 augustus 20:00 -- 24:00 | | ||
| + | |patch L1TF |herstart servers appcluster |onderbreking in dienstverlening varierend van 0 sec tot 10 min, afhankelijk van type dienst | 23 augustus 1:00 -- 6:00 | | ||
| + | |update apache |herstart webservers |geen |27 augustus 8:00 -- 12:00 | | ||
| + | |update nginx |herstart webservers |geen |27 augustus 8:00 -- 12:00 | | ||
| + | |update php |herstart applicatieservers |geen |27 augustus 8:00 -- 12:00 | | ||
| + | |update java |herstart niet geclusterde applicaties als Tomcat, ActiveMQ, Graylog en Junction |ongeveer 1-5 min downtime per instantie |28 augustus 1:00 -- 6:00 | | ||
| + | |update mariadb |herstart databases |2 korte onderbrekingen naar de database instanties |28 augustus 1:00 -- 6:00 | | ||
| + | |update mysql |herstart databases |2 korte onderbrekingen naar de database instanties |28 augustus 1:00 -- 6:00 | | ||
| + | |update memcached|herstart Memcached instanties |memory caches worden gecleared |29 augustus 8:00 -- 12:00 | | ||
| + | |update bind |herstart nameservers |geen |29 augustus 8:00 -- 12:00 | | ||
| + | |update unbound |herstart dns-resolvers |geen |29 augustus 8:00 -- 12:00 | | ||
| + | |update java |herstart wel geclusterde applicaties als Elastic Search |geen |29 augustus 13:00 -- 17:00 | | ||
| + | |patch L1TF |herstart servers streaming omgeving |geen | 3--14 september september 8:00 -- 17:00 | | ||