ข่าวไอที Blognone » ชีวิตที่น่าเศร้าของผู้ให้บริการคลาวด์รายเล็ก ไม่รู้เรื่อง Meltdown/Spectre ล่วงหน้า เร่งแพตช์กันอุตลุด

ชีวิตที่น่าเศร้าของผู้ให้บริการคลาวด์รายเล็ก ไม่รู้เรื่อง Meltdown/Spectre ล่วงหน้า เร่งแพตช์กันอุตลุด

17 มกราคม 2018
3   0

ช่องโหว่ Spectre/Meltdown เป็นช่องโหว่ที่ Project Zero ของกูเกิลเจอตั้งแต่กลางปี 2017 (เป็นหนึ่งในไม่กี่ช่องโหว่ที่ Project Zero ยอมเลื่อนกำหนดเปิดเผยเกิน 90 วัน) ระหว่างนั้นโครงการสำคัญๆ เช่น เคอร์เนลลินุกซ์และวินโดวส์ รวมถึงผู้ให้บริการคลาวด์ขนาดใหญ่ tier-1 ได้รู้ข้อมูลช่องโหว่นี้ก่อน และมีเวลาเตรียมแพตช์นานหลายเดือน วันนี้ ArsTechnica รายงานถึงชีวิตของผู้ให้บริการรายเล็กที่ไม่มีโอกาสรู้ข้อมูลช่องโหว่นี้ก่อน

ผู้ให้บริการรายเล็กที่เริ่มรู้ตัวก่อนรายแรก คือ Zachary Smith ซีอีโอ Packet ที่ให้บริการโฮสต์ Kernel.org อยู่ด้วย โดยทีมงาน Packet เห็นแพตช์ของ Tom Lendacky จากเอเอ็มดีที่พูดถึงช่องโหว่ทางเมลลิ่งลิสต์ทำให้รู้สึกว่ามีอะไรแปลกๆ และเริ่มคุยกัน Slack ของบริษัทว่าเกิดอะไรขึ้น

แพตช์ของ Lendacky ทำให้นักข่าวเริ่มปะติดปะต่อได้ว่ากำลังมีแพตช์สำคัญออกมา ทำให้ Project Zero ตัดสินใจเปิดเผยรายละเอียดทั้งหมดทันที ตั้งแต่วันที่ 3 มกราคม แม้จะนัดกับนักวิจัยอื่นๆ ว่าจะเปิดเผยวันที่ 9 มกราคมก็ตาม

Tory Kulick จาก Linode ระบุว่าการเปิดเผยเช่นนี้ทำให้เปิดปัญหาตามมาทันที แต่แม้กูเกิลจะเปิดเผยช่องโหว่ตามกำหนดเดิมก็ไม่ช่วยอะไรนัก เพราะผู้ให้บริการคลาวด์ต้องการเวลาแก้ไขปัญหาล่วงหน้า

ถึงตอนนี้ผู้ให้บริการคลาวด์ระดับรองก็เคว้งคว้างโดยถ้วนหน้า Linode, Packet, DigitalOcean, OVH, Scaleway, Vultr, หรือ Online.net ล้วนไม่ได้รับการติดต่อจากกูเกิลหรืออินเทลล่วงหน้า และต้องเริ่มเตรียมแพตช์เร่งด่วนทันที

OVH และ Online.net เริ่มสร้างทีมใหม่ใน Slack เพื่อประสานงานกันว่าจะแก้ไขปัญหาอย่างไร เพราะทั้งสองบริษัทมาจากฝรั่งเศสและแชร์ข้อมูลกันอยู่เรื่อยๆ อยู่แล้ว หลังจากนั้น Edouard Bonlieu รองประธาน Scaleway ก็เข้ามาร่วม และชวน Smith จาก Packet มาคุยกันใน Slack ถึงตอนนี้ Slack ก็กลายเป็นสมาคมคลาวด์ tier-2 เพราะ Smith ชวน Ben Uretsky ซีอีโอ DigitalOcean เข้ามาร่วมห้องแชต พร้อมกับตัวแทนจาก Linode, Vultr และบริษัทอื่นๆ รวมถึง Netflix ลูกค้ารายใหญ่ของ AWS ที่ไม่รู้เรื่องช่องโหว่นี้เช่นกัน รวมมีผู้ให้บริการ 25 ราย (มีคนของ AWS ในห้องแชตด้วย)

No Description

ทีมงานแพตช์เคอร์เนล Scaleway เมื่อวันที่ 10 มกราคมที่ผ่านมา ทำงานมาแล้ว 7 วันและ "ยังมีชีวิตอยู่"

ปัญหาที่ผู้ให้บริการคลาวด์รายเล็กต้องเจอมีหลากหลาย เช่น บางรายใช้ซีพียูรุ่นที่อินเทลยังไม่ได้ออก microcode อัพเดตให้, บางรายอัพเดตแล้วมีปัญหา ห้องแชต Slack กลายเป็นที่รายงานปัญหาจากลูกค้าของแต่ละราย และรายงานทดสอบผลกระทบต่อประสิทธิภาพ

Kulick จาก Linode หวังว่าบทเรียนจาก Meltdown/Spectre จะทำให้มีช่องทางสื่อสารที่ดีกว่านี้ เช่นผ่าน Linux Foundation ที่ผู้ให้บริการคลาวด์ทุกรายเป็นสมาชิกอยู่แล้ว

Theo de Raadt ผู้ดูแลโครงการ OpenBSD ระบุว่าการรายงานครั้งนี้ทั้งอินเทลและกูเกิลทำได้ "แย่เป็นอย่างยิ่ง" และการเปิดเผยข้อมูลให้กับผู้ให้บริการ tier-1 โดยไม่ให้โอกาสรายอื่นๆ ไม่ใช่การเปิดเผยอย่างรับผิดชอบ แต่เป็นการเลือกปฎิบัติ

ที่มา - ArsTechnica, iTWire

[source: https://www.blognone.com/node/99148]