Ein Server (z.B. Webserver) wird wahrscheinlich über ssh oder ein Web Interface bedient. Die Software, die darauf läuft kommt aus Repositories, die hoffentlich nicht kompromittiert sind (dann wäre eh alles zu spät).
Das Problem bei diesen Lücken ist – soweit ich das richtig verstanden habe – auch, dass du unter Umständen gar keine Software benötigst, die "kompromittiert" ist, d.h. Bugs hat. Die verhält sich evtl. gar nicht falsch, nur macht die CPU unter Umständen etwas das falsch ist.
Zwar werden hier und da jetzt Maßnahmen auch in Software (z.B. Compiler oder Firefox) eingeführt um dem entgegen zu wirken, aber damit bekämpft man im Endeffekt auch nur Symptome und nicht die Ursache, zumal es immer andere Software geben wird, welche nicht entsprechend behandelt wurde. Man kann sich also im Endeffekt nicht darauf verlassen.
Man sollte, um das abzuschätzen, erst einmal strikt zwischen Meltdown und Spectre unterscheiden. Die Kernel-Entwikler-Panik, die sich in hektischem Fixen von Code bemerkbar machte, wurde dadurch ausgelöst, dass die betreffenden Lücken seit über einem halben Jahr Intel bekannt waren, aber die Linux Kernel-Entwickler nicht darüber informiert wurden. Wenn dann die Lücken öffentlich werden ohne dass Fixes bereitstehen ist die Gefahr sehr groß, dass Schadcode Entwickler diese Lücken auch ausnutzen werden. Dank sehr vieler Nachtschichten der Linuxer ist dies wohl ausgeblieben. Bei Meltdown bestand die Gefahr, dass auf der Klaut die Daten der Mandanten nicht mehr einzeln abgeschirmt werden können. Spectre ist noch lange nicht vom Tisch und betrifft in erster Linie Anwendersoftware. Aber erste Gegenmaßnahmen sind von den Browser-Herstellern schon getroffen worden.
Von Verfluchtnochmal am Di, 6. Februar 2018 um 04:03 #
Wer hat dir den Schwachsinn dass die Linux Entwickler nicht informiert waren aufgebunden? Du verwechselst da zum Einen Linux mit BSD und zum anderen konnte jeder bereits vor Monaten sehen dass da ein grosser change kommt ihn nur noch nicht zuordnen
Die verhält sich evtl. gar nicht falsch, nur macht die CPU unter Umständen etwas das falsch ist.
Zwar werden hier und da jetzt Maßnahmen auch in Software (z.B. Compiler oder Firefox) eingeführt um dem entgegen zu wirken, aber damit bekämpft man im Endeffekt auch nur Symptome und nicht die Ursache, zumal es immer andere Software geben wird, welche nicht entsprechend behandelt wurde.
Man kann sich also im Endeffekt nicht darauf verlassen.
Man sollte, um das abzuschätzen, erst einmal strikt zwischen Meltdown und Spectre unterscheiden.
Die Kernel-Entwikler-Panik, die sich in hektischem Fixen von Code bemerkbar machte, wurde dadurch ausgelöst, dass die betreffenden Lücken seit über einem halben Jahr Intel bekannt waren, aber die Linux Kernel-Entwickler nicht darüber informiert wurden. Wenn dann die Lücken öffentlich werden ohne dass Fixes bereitstehen ist die Gefahr sehr groß, dass Schadcode Entwickler diese Lücken auch ausnutzen werden.
Dank sehr vieler Nachtschichten der Linuxer ist dies wohl ausgeblieben.
Bei Meltdown bestand die Gefahr, dass auf der Klaut die Daten der Mandanten nicht mehr einzeln abgeschirmt werden können. Spectre ist noch lange nicht vom Tisch und betrifft in erster Linie Anwendersoftware. Aber erste Gegenmaßnahmen sind von den Browser-Herstellern schon getroffen worden.
Wer hat dir den Schwachsinn dass
die Linux Entwickler nicht informiert waren aufgebunden? Du verwechselst da zum Einen Linux mit BSD und zum anderen konnte jeder bereits vor Monaten sehen dass da ein grosser change kommt ihn nur noch nicht zuordnen
Kannst du einen Link zu dem Commit geben, auf den du dich beziehst?