Jump to content

Meltdown & Spectre CPU Bugs - Notfallpatches


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Das ist nicht nur „nervig“, sondern der Grund, warum das auch wieder alles länger dauert. ;) ein reboot reicht ja nicht. Sonst wärs im nächsten patchzyklus ja automatisch erledigt. Und ja die Ergänzungen kamen erst später dazu. Ich würde auch erwarten, dass demnächst dafür entsprechende policy Vorlagen geliefert werden.

Link zu diesem Kommentar

Auf meinem Arbeitsplatzrechner mit Windows 10 konnte ich den Patch einfach so online per Windows Update installieren. Ich habe eine VM mit Server 2012R2 manuell mit Patch aus dem Update Katalog aktualisiert und dann die Registry Einstellungen gesetzt. Soweit alles wie erwartet.

 

Ich versuche nun einen physischen Server mit Windows Server 2012R2 und Hyper-V den Patch über Windows Update zu installieren. Leider wird mir der Patch dann nicht angeboten. Auf dem Server gibt es keinen Virenscanner, entsprechend habe ich wie hier angegeben den Registry Schlüssel manuell gesetzt: https://support.microsoft.com/en-us/help/4072699

 

Leider wird mir das Update immer noch nicht angeboten. Ich vermute daher die Patches kommen erst regulär am Patch Tuesday in das normale Windows Update rein.

 

Krass finde ich folgende Aussage. Letztlich werden dadurch Geräte ohne Virenscanner wo der Admin nicht eingreift schlicht keine Windows Updates mehr erhalten.

 

Note: Customers will not receive the January 2018 security updates (or any subsequent security updates) and will not be protected from security vulnerabilities unless their antivirus software vendor sets the following registry key.
bearbeitet von Doso
Link zu diesem Kommentar

Bei mir wird folgendes angezeigt obwohl ich sowohl Patch installiert habe als auch die Reg-Einträge gesetzt und die VMs heruntergefahren habe:

Speculation control settings for CVE-2017-5715 [branch target injection]

Hardware support for branch target injection mitigation is present: False
Windows OS support for branch target injection mitigation is present: True
Windows OS support for branch target injection mitigation is enabled: False
Windows OS support for branch target injection mitigation is disabled by system policy: False
Windows OS support for branch target injection mitigation is disabled by absence of hardware support: True

Speculation control settings for CVE-2017-5754 [rogue data cache load]

Hardware requires kernel VA shadowing: True
Windows OS support for kernel VA shadow is present: True
Windows OS support for kernel VA shadow is enabled: True
Windows OS support for PCID performance optimization is enabled: True [not required for security]

Es fehlt mir noch das UEFI Update für die Hosts.

 

Aber Windows OS support for branch target injection mitigation is enabled sollte doch eigentlich mit den Reg-Einträgen aktiviert werden oder?

bearbeitet von Revan
Link zu diesem Kommentar

OK, nach setzen der Registry Werte sieht das jetzt auf einem R530 so aus:
 



Get-SpeculationControlSettings

Speculation control settings for CVE-2017-5715 [branch target injection]



Hardware support for branch target injection mitigation is present: True

Windows OS support for branch target injection mitigation is present: True

Windows OS support for branch target injection mitigation is enabled: True



Speculation control settings for CVE-2017-5754 [rogue data cache load]



Hardware requires kernel VA shadowing: True

Windows OS support for kernel VA shadow is present: True

Windows OS support for kernel VA shadow is enabled: True

Windows OS support for PCID performance optimization is enabled: True [not required for security]





BTIHardwarePresent : True

BTIWindowsSupportPresent : True

BTIWindowsSupportEnabled : True

BTIDisabledBySystemPolicy : False

BTIDisabledByNoHardwareSupport : False

KVAShadowRequired : True

KVAShadowWindowsSupportPresent : True

KVAShadowWindowsSupportEnabled : True

KVAShadowPcidEnabled : True

Damit hat sich die Frage bzgl. Systempolicy auch erledigt, damit ist dann wohl was anderes gemeint als eine "Policy" im Sinne von Sicherheitsrichtlinie oder GPO.

 

Bye

Norbert

Link zu diesem Kommentar

Stellt sich eher die Frage wann bzw. ob überhaupt man seine Gerätschaften aktualisieren kann mit den nötigen Firmware/BIOS Updates die die Microcode Updates mitbringen. Ich habe mal bei unseren Servern (Fujitsu) und unseren üblichen Client Gerätschaften (Lenovo Laptop, HP und Fujitsu Desktop) geschaut. Bisher keine Updates zu finden.

 

Letztlich wird auch ein Teil der Geräte gar keine Updates bekommen, weil aus dem Support raus.

bearbeitet von Doso
Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...