ช่องโหว่ Spectre/Meltdown เป็นช่องโหว่ที่ Project Zero ของกูเกิลเจอตั้งแต่กลางปี 2017 (เป็นหนึ่งในไม่กี่ช่องโหว่ที่ Project Zero ยอมเลื่อนกำหนดเปิดเผยเกิน 90 วัน) ระหว่างนั้นโครงการสำคัญๆ เช่น เคอร์เนลลินุกซ์และวินโดวส์ รวมถึงผู้ให้บริการคลาวด์ขนาดใหญ่ tier-1 ได้รู้ข้อมูลช่องโหว่นี้ก่อน และมีเวลาเตรียมแพตช์นานหลายเดือน วันนี้ ArsTechnica รายงานถึงชีวิตของผู้ให้บริการรายเล็กที่ไม่มีโอกาสรู้ข้อมูลช่องโหว่นี้ก่อน
ผู้ให้บริการรายเล็กที่เริ่มรู้ตัวก่อนรายแรก คือ Zachary Smith ซีอีโอ Packet ที่ให้บริการโฮสต์ Kernel.org อยู่ด้วย โดยทีมงาน Packet เห็นแพตช์ของ Tom Lendacky จากเอเอ็มดีที่พูดถึงช่องโหว่ทางเมลลิ่งลิสต์ทำให้รู้สึกว่ามีอะไรแปลกๆ และเริ่มคุยกัน Slack ของบริษัทว่าเกิดอะไรขึ้น
แพตช์ของ Lendacky ทำให้นักข่าวเริ่มปะติดปะต่อได้ว่ากำลังมีแพตช์สำคัญออกมา ทำให้ Project Zero ตัดสินใจเปิดเผยรายละเอียดทั้งหมดทันที ตั้งแต่วันที่ 3 มกราคม แม้จะนัดกับนักวิจัยอื่นๆ ว่าจะเปิดเผยวันที่ 9 มกราคมก็ตาม
Tory Kulick จาก Linode ระบุว่าการเปิดเผยเช่นนี้ทำให้เปิดปัญหาตามมาทันที แต่แม้กูเกิลจะเปิดเผยช่องโหว่ตามกำหนดเดิมก็ไม่ช่วยอะไรนัก เพราะผู้ให้บริการคลาวด์ต้องการเวลาแก้ไขปัญหาล่วงหน้า
ถึงตอนนี้ผู้ให้บริการคลาวด์ระดับรองก็เคว้งคว้างโดยถ้วนหน้า Linode, Packet, DigitalOcean, OVH, Scaleway, Vultr, หรือ Online.net ล้วนไม่ได้รับการติดต่อจากกูเกิลหรืออินเทลล่วงหน้า และต้องเริ่มเตรียมแพตช์เร่งด่วนทันที
OVH และ Online.net เริ่มสร้างทีมใหม่ใน Slack เพื่อประสานงานกันว่าจะแก้ไขปัญหาอย่างไร เพราะทั้งสองบริษัทมาจากฝรั่งเศสและแชร์ข้อมูลกันอยู่เรื่อยๆ อยู่แล้ว หลังจากนั้น Edouard Bonlieu รองประธาน Scaleway ก็เข้ามาร่วม และชวน Smith จาก Packet มาคุยกันใน Slack ถึงตอนนี้ Slack ก็กลายเป็นสมาคมคลาวด์ tier-2 เพราะ Smith ชวน Ben Uretsky ซีอีโอ DigitalOcean เข้ามาร่วมห้องแชต พร้อมกับตัวแทนจาก Linode, Vultr และบริษัทอื่นๆ รวมถึง Netflix ลูกค้ารายใหญ่ของ AWS ที่ไม่รู้เรื่องช่องโหว่นี้เช่นกัน รวมมีผู้ให้บริการ 25 ราย (มีคนของ AWS ในห้องแชตด้วย)
ทีมงานแพตช์เคอร์เนล Scaleway เมื่อวันที่ 10 มกราคมที่ผ่านมา ทำงานมาแล้ว 7 วันและ "ยังมีชีวิตอยู่"
ปัญหาที่ผู้ให้บริการคลาวด์รายเล็กต้องเจอมีหลากหลาย เช่น บางรายใช้ซีพียูรุ่นที่อินเทลยังไม่ได้ออก microcode อัพเดตให้, บางรายอัพเดตแล้วมีปัญหา ห้องแชต Slack กลายเป็นที่รายงานปัญหาจากลูกค้าของแต่ละราย และรายงานทดสอบผลกระทบต่อประสิทธิภาพ
Kulick จาก Linode หวังว่าบทเรียนจาก Meltdown/Spectre จะทำให้มีช่องทางสื่อสารที่ดีกว่านี้ เช่นผ่าน Linux Foundation ที่ผู้ให้บริการคลาวด์ทุกรายเป็นสมาชิกอยู่แล้ว
Theo de Raadt ผู้ดูแลโครงการ OpenBSD ระบุว่าการรายงานครั้งนี้ทั้งอินเทลและกูเกิลทำได้ "แย่เป็นอย่างยิ่ง" และการเปิดเผยข้อมูลให้กับผู้ให้บริการ tier-1 โดยไม่ให้โอกาสรายอื่นๆ ไม่ใช่การเปิดเผยอย่างรับผิดชอบ แต่เป็นการเลือกปฎิบัติ
ที่มา - ArsTechnica, iTWire