Jump to content

Meltdown & Spectre CPU Bugs - Notfallpatches


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Bei mir wird folgendes angezeigt obwohl ich sowohl Patch installiert habe als auch die Reg-Einträge gesetzt und die VMs heruntergefahren habe:

Speculation control settings for CVE-2017-5715 [branch target injection]

Hardware support for branch target injection mitigation is present: False
Windows OS support for branch target injection mitigation is present: True
Windows OS support for branch target injection mitigation is enabled: False
Windows OS support for branch target injection mitigation is disabled by system policy: False
Windows OS support for branch target injection mitigation is disabled by absence of hardware support: True

Speculation control settings for CVE-2017-5754 [rogue data cache load]

Hardware requires kernel VA shadowing: True
Windows OS support for kernel VA shadow is present: True
Windows OS support for kernel VA shadow is enabled: True
Windows OS support for PCID performance optimization is enabled: True [not required for security]

Es fehlt mir noch das UEFI Update für die Hosts.

 

Aber Windows OS support for branch target injection mitigation is enabled sollte doch eigentlich mit den Reg-Einträgen aktiviert werden oder?

 

 

Danach sind die Einträge grün

 

So, habe die UEFI aktualisiert. Leider bleibt das Ergebnis gleich.

Link zu diesem Kommentar

Hallo,

 

vielen Dank für euer Feedback. Besonderen Dank an NilsK, Norbert und alle anderen. Ich habe die Argumentation von NilsK übernommen und dem Kunden dann gegenüber auch den Mehraufwand in einem zusammengefassten Schreiben übermittelt. Leider sind alle Informationen so weit verstreut und man muss alles mühselig zusammen suchen. HP Server Updates, Citrix Netscaler, VMware ESX, MS Windows, usw. :-(

 

Gruß

Link zu diesem Kommentar

Leider sind alle Informationen so weit verstreut und man muss alles mühselig zusammen suchen. HP Server Updates, Citrix Netscaler, VMware ESX, MS Windows, usw. :-(

 

Und genau dafür bezahlt dich der Kunde doch, damit _er_ das nicht machen muss ;)

Die gebratenen Täubchen fliegen einem halt nicht immer in den Mund. Hier dürfte es aber i.d.R. genügen, die entsprechenden Support-Kanäle der Hersteller zu befragen. Die können sicher mit direkten Links zu den Patches helfen.

Link zu diesem Kommentar

Und genau dafür bezahlt dich der Kunde doch, damit _er_ das nicht machen muss ;)

Die gebratenen Täubchen fliegen einem halt nicht immer in den Mund. Hier dürfte es aber i.d.R. genügen, die entsprechenden Support-Kanäle der Hersteller zu befragen. Die können sicher mit direkten Links zu den Patches helfen.

Ja - du hast recht. Das werden die Kunden. Wir sind hier schon proaktiv heran und haben das präventive Vorgehen schon an die Kunden kommuniziert. Auch die Recherche fließt hier in den gebuchten Gesamtaufwand ein. Dafür müssen Kunden dann auch zahlen. ^^

Link zu diesem Kommentar

Vmware veröffentlicht u.a. Microcode-Update:

 

 

ID: ESXi550-201801401-BG  Impact: Important  Release date: 2018-01-09  Products: embeddedEsx 5.5.0
Updates esx-base VIB

ID: ESXi600-201801401-BG  Impact: Important  Release date: 2018-01-09  Products: embeddedEsx 6.0.0
Updates esx-base, vsan, and vsanhealth VIBs

ID: ESXi600-201801402-BG  Impact: Important  Release date: 2018-01-09  Products: embeddedEsx 6.0.0
Updates cpu-microcode VIB

ID: ESXi650-201801401-BG  Impact: Important  Release date: 2018-01-09  Products: embeddedEsx 6.5.0
Updates esx-base, esx-tboot, vsan, and vsanhealth VIBs

ID: ESXi650-201801402-BG  Impact: Important  Release date: 2018-01-09  Products: embeddedEsx 6.5.0
Updates cpu-microcode VIB

 

Siehe auch

 

https://www.vmware.com/security/advisories/VMSA-2018-0004.html

 

Da steht auch was  zum "Guest-OS". 

 

Für das VC gibt es auch Updates.

bearbeitet von zahni
Link zu diesem Kommentar

Update zu dem Thema von Terry Myerson (Microsoft) auf Heise

 

Meltdown & Spectre unter Windows: Microsoft detailliert Patches und Leistungsschwund

https://www.heise.de/newsticker/meldung/Meltdown-Spectre-unter-Windows-Microsoft-detailliert-Patches-und-Leistungsschwund-3937462.html

 

In einem Blog-Beitrag erklärt Microsoft-Vizepräsident Terry Myerson die Updates für Windows genauer und gibt auch Schätzungen zu Leistungseinbußen ab: Die können unter Windows Server erheblich sein.
Link zu diesem Kommentar

Update zu dem Thema von Terry Myerson (Microsoft) auf Heise

 

Meltdown & Spectre unter Windows: Microsoft detailliert Patches und Leistungsschwund

https://www.heise.de/newsticker/meldung/Meltdown-Spectre-unter-Windows-Microsoft-detailliert-Patches-und-Leistungsschwund-3937462.html

 

Lt. Dem Blog Blog  nur, wenn der  Schutz gegen "untrusted code" aktiviert ist. Leider schweigt sich MS darüber aus, was genau "untrusted code"  ist und wie man den erkennt.

Link zu diesem Kommentar

Lt. Dem Blog Blog  nur, wenn der  Schutz gegen "untrusted code" aktiviert ist. Leider schweigt sich MS darüber aus, was genau "untrusted code"  ist und wie man den erkennt.

Mit "untrusted code" meinen sie wohl Code, welcher ungeprüft von aussen kommt und ausgeführt wird. Also zum Beispiel Terminalserver (Benutzer lädt Programm herunter) oder Webserver (Hostingkunde lädt PHP-Anwendung hoch). Ein Fileserver fällt nicht darunter und dort muss die Mitigation nicht aktiviert werden, wenn ich die Doku richtig verstanden habe.

 

Wohl deshalb ist die Mitigation auf Servern nach der Installation des Updates nicht automatisch aktiviert, sondern muss per Registry aktiviert werden.

 

Microsoft nennt unter https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution drei Fälle, in welchen die Mitigation aktiviert werden sollte:

- Hyper-V Hosts: damit nicht von einer VM auf den Speicher einer anderen VM zugegriffen werden kann

- Terminalserver: da läuft fast immer "untrusted code", und sei es nur JavaScript im Browser

- Server, auf denen "untrusted code" läuft wie Webserver

 

Ganz allgemein halte ich die Aufregung für etwas übertrieben. Einerseits soll sich die Lücke nicht so gut ausnutzen lassen wie zuerst befürchtet (Meltdown soll nur auslesen können, was im L1-Cache ist) und andererseits sehe ich (noch) kein Szenario für flächendeckende Angriffe. Zielgerichtete Angriffe auf lohnenswerte Ziele auf jeden Fall, aber was bringt es einem Angreifer, wenn er mit viel Aufwand ein Zertifikat für kleinfirma.de aus dem Speicher extrahieren kann?

 

Vielleicht bin ich zu ängstlich, aber ich halte die Installation von frisch dem Compiler entschlüpften Microcode-Updates auf allen Hosts für das grössere Risiko für den stabilen Betrieb als die offenen Lücken. Habe deshalb nur die Hosts gepatcht, auf denen VMs mit "untrusted code" laufen und noch nicht ganze Cluster.

Link zu diesem Kommentar

Mit "untrusted code" meinen sie wohl Code, welcher ungeprüft von aussen kommt und ausgeführt wird. Also zum Beispiel Terminalserver (Benutzer lädt Programm herunter) oder Webserver (Hostingkunde lädt PHP-Anwendung hoch). Ein Fileserver fällt nicht darunter und dort muss die Mitigation nicht aktiviert werden, wenn ich die Doku richtig verstanden habe.

 

 

Ich bin jetzt eher  auf dem Trichter gewesen: Nicht gültig signiert, oder so...

Link zu diesem Kommentar

Auf Servern bzw. Geräten ohne Anti-Virus muss man diesen QualityCompat Registry Schlüssel manuell setzen. Sonst bekommt man das entsprechende Januar Cumulative Update gar nicht erst angezeigt. Das gilt sowohl für Windows Updates, WSUS als auch für SCCM. Bei uns wird im SCCM der Patch dann meist nicht mal "needed" für den Server angezeigt.

 

Zum aktivieren der Patches braucht es dann nochmal drei Registry Einstellungen. Überraschend kompliziert das alles... :(

 

Microsoft hat Links zu den Ankündigungen der Hardware Hersteller gesammelt: https://support.microsoft.com/en-us/help/4073757/protect-your-windows-devices-against-spectre-meltdown

 

Teilweise verlinken die dann direkt auf BIOS Updates die man in den normalen Support Kanälen noch gar nicht sieht.

bearbeitet von Doso
Link zu diesem Kommentar

Für Vsphere:

 

Ihr solltet vor den ESXI-Updates erst das VCenter Updaten.

Sonst kann es passieren, dass VMotion nicht mehr funktioniert. Grund ist ein weiteres CPU-Feature, dass an die VMs durchgereicht wird:

In einem EVC-Cluster wird es erst dann auf allen Hosts aktiv, wenn alle Hosts gepacht sind. Neue Hosts ohne den Patchlevel können nicht mehr hinzugefügt werden.

 

https://kb.vmware.com/s/article/52085

Link zu diesem Kommentar

Hi zusammen

 

Ich habe diese Woche mal testweise das Update installiert, BIOS aktualisiert und die div. Schritte durchgeführt. Soweit alles grün im Powershell Skript. Die Performance auf einem Testclient ist nun aber absolut unterirdisch, die Anmeldung dauert nun doppelt wenn nicht dreimal so lange. Besteht die Möglichkeit dass Microsoft da nochmals nachbessert mit einem Update oder ist das nun einfach der neue Standard?

 

Grüsse

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...