January 09, 2018

Думаю все уже слышали про уязвимости в современных процессорах Meltdown и Spectre. И наверное хоть кто-то задумался о том, как они повлияют на СХД. Напомню, что эти уязвимости позволяют читать одним процессам содержание памяти, которое принадлежит ОС или другим процессам.

И тут у нас собственно две проблемы.

Безопасность ПО и снижение производительности при исправлении Meltdown. Spectre нельзя исправить программным образом, все патчи, которые выпускаются относительно Spectre нацелены на усложнение эксплуатации этой уязвимости.

Исправление Meltdown приводит к снижению производительности процессоров. Оценки влияния очень разнятся. Я встречал упоминания о снижении производительности на определенных задачах до 70%. Зависит от того, как часто происходит обращение к системным вызовам. И тут надо понимать, что для СХД исправление этих уязвимостей по сути не является необходимостью, так как СХД не предполагают запуск клиентского исполняемого кода на своих ресурсах. И значит производителям СХД нет необходимости разрабатывать патчи для своих ОС. Но как всегда есть исключения.

Например, HCI. Или SDS решения. Файловый доступ поверх блочного с использованием виртуальных машин. Для этих решений уязвимости явно могут повлиять на безопасность данных, а значит уязвимости надо исправлять, что в свою очередь может повлиять на производительность. И заметнее всего это будет с all-flash решениями. Есть ситуации, когда производители СХД строят свои решения на основе стандартных ОС. Например, EMC Unity работает на SuSe. И вполне возможно в какой-то момент Unity перейдёт на ту версию ядра Linux, в которой исправлен Meltdown и это теоретически может привести к снижению производительности.

Есть еще такая вещь как Purity Run от Pure Storage. Это возможность запускать на Pure FlashArray виртуальные машины и контейнеры. И тут уж однозначно надо патчить ОС.

- В случае с NetApp ни одна из ОС не подвержена атакам с использованием Meltdown и Spectre. Под вопросом наличие уязвимостей в NetApp HCI и BIOS FAS/AFF.

- У HPE все storage продукты подвержены уязвимостям. Но как я уже писал выше, для многих продуктов исправление не имеет смысла, так как эксплуатировать уязвимости не получится. Фиксы возможно будут для Simplivity, Hyper Converged систем. И точно уже разрабатываются для файловых серверов 3Par, StoreVirtual и StoreEasy.

- Nutanix говорит о том, что надо патчиить AHV. Для остальных продуктов пока точно неизвестно.

- IBM сообщает, что storage продукты не подвержены уязвимостям.

- Хотя у Lenovo в списке уязвимых систем присутствуют V3000, V5000 и V7000, но как и в случае с HPE нет необходимости что-то исправлять.

- EMC, HDS и Pure, к сожалению скрыли свои security advisory от публики, если кто поделится, будет интересно почитать.

У Huawei совсем невнятный анонс без списка продуктов.

Подборка анонсов от разных вендоров.

www.softcat.com/news/meltdown-(cve-2017-5754)-and-spectre-(cve-2017-5753-and-cve-2017-5715)-vendor-update-status/