Jump to content
Doso

Meltdown & Spectre CPU Bugs - Notfallpatches

Empfohlene Beiträge

Es gibt wohl auch Fixes im CPU Microcode, Intel will da für viele CPUs entsprechende Updates veröffentlichen. Diese müssen dann von den Herstellern über BIOS/Firmware Updates verteilt werden. Bin mir noch nicht ganz schlüssig ob man letztlich beides braucht, also die Patches (mit Registry Eintrag) und die BIOS Updates oder ob eines davon schon reicht.

 

Wir wollen relativ zeitnah sowohl Server (alle! auch VMs) und Clients über SCCM patchen.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Der MicroCode kann auch per Software-Update verteilt werden. Wurde auch schon in der Vergangenheit gemacht.

80% der "normalen" PC-User werden eher selten das BIOS updaten. Es sei denn, der Hersteller hier irgendeinen Automatismus implementiert.

Und in großen Firmennetzen: Wer hat das am Client mal ernsthaft probiert?

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

 

Und in großen Firmennetzen: Wer hat das am Client mal ernsthaft probiert?

 

Das Bios zu patchen? Ich mache das regelmäßig mit Powershell u. den integrierten Tools von Fujitsu bei ca. 120 Computern.  ;) 

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Lizenztechnisch könnten wir, nutzen ihn aber nicht. Interessante Frage, ich werde das in der Kombination mal prüfen. Habt Ihr Probleme wenn Bitlocker aktiviert wurde?

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Na probier’s aus ein bios Update zu verteilen mit aktiviertem bitlocker. Muss man halt dran denken bitlocker vorher abzuhalten und dafür hab ich noch keine verlässliche Lösung gefunden.

 

Bye

Norbert

 

Ps: wieso setzt man bitlocker nicht ein, wenn Mans kann?

bearbeitet von NorbertFe

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Ohne es selbst getestet zu haben:

 

manage-bde -off
Diesen Befehl *VORHER* laufen zu lassen geht nicht? Evtl. in einer Batch oder PS, anschließend dann das BIOS aktualisieren. bearbeitet von Sunny61

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Hallo zusammen,

 

wir messen derzeit ca. 10% Performance "Verlust" in unserer Cloud.

 

Grundlegend sollte man Meltdown und Spectre mal in zwei saubere "Probleme" aufspalten.

Bitte auch mal klar schreiben das es bisher keine "Patches" gibt - es gibt lediglich "Workarounds" die die aktive Ausnutzung unwahrscheinlicher machen.

Betroffen sind aus meiner Sicht alle Systeme auf denen jemand eigenen Code ausführen kann -> Klopt doch mal bei euren Hostern und Cloud Anbietern an, was die so gemacht haben (Shared Webhosting / VMs etc.)

Meltdown:

- betrifft alle Intel-CPUs und einzelne ARMs (Link von Intel)
- AMD ist nach meiner Info bisher nicht betroffen
- betrifft Standardfeatures, die für jedes Multitasking-System essentiell sind
- extrem leicht auszunutzen (hohe Erfolgswahrscheinlichkeit, hoher Durchsatz des Datenlecks)
- Betriebssysteme leicht abzusichern (durch getrennte Speichertabellen für Kernel und Prozesse)
- extreme Performanceprobleme durch die Workarounds (Context Switch bei jedem Syscall, betrifft I/O, Netzwerk, Platten usw.)

Spectre:

- betrifft qausi alle CPU Hersteller
- nur in bestimmten Grenzfällen anwendbar - daher schwer ausnutzbar
- Absicherung kompliziert (jede einzelne Anwendung muss abgesichert werden)
- Performanceprobleme durch Workarounds sind sicherlich überschaubar

 

Weil Hersteller das Problem so beheben wollen / müssen dass die Performance nicht völlig kaputt geht, wird es wiederum kompliziert. Bei den KPTI-Patches zum Beispiel macht jetzt das Betriebssystem manuell das Caching einzelner Speicherseiten. Hier sind also ganz sicher noch Bugs zu erwarten.

 

Gundlegend sind ja auch von MS schon PS Tests raus.

 

Denkt dran eure AV Lösung auf den aktuellen Stand zu bringen - die setzten dann



Key="HKEY_LOCAL_MACHINE"Subkey="SOFTWARE\Microsoft\Windows\CurrentVersion\QualityCompat"
Value Name="cadca5fe-87d3-4b96-b7fb-a231484277cc"
Type="REG_DWORD”
Data="0x00000000”

 

Und dann kommen auch die Updates von MS - sofern verfügbar (siehe Server 2016)

 

Tipp am Rande:

 

Falls jemand Chrome nutzt (Terminalserver) -> Site Isolation auf den Browsern einschalten!

 

 

 

 

Grüße!

  • Like 1

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Leider brauch' ich eine Argumentation warum ich auch die Notfallpatches auch auf den VMs installiere. Hast du da eine qualitative Begründung?

WTF? Weil die sc*** IT-Welt in Flammen steht? Reicht das?

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Entschuldigung, aber was für eine Argumentation wird erwartet? Ein Kunde, der ersthaft eine Argumentation für die Installation der Patches erwartet, sollte sich Fragen ob er die Auswirkungen solcher Lücken verstanden hat. Inkl. der Auswirkungen und der Haftung für Geschäftsführer und Gesellschafter.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Wenn dann -Pause. Aber wie gesagt, da müsste man dann eben testen oder wer will mal eben alle PCs in den sperrmodus setzen? ;)

Alle nicht, nur die, dessen BIOS ich aktualisieren möchte.

 

Danke für den Hinweis auf -Pause. ;)

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren

Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können

Benutzerkonto erstellen

Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!

Neues Benutzerkonto erstellen

Anmelden

Du hast bereits ein Benutzerkonto? Melde dich hier an.

Jetzt anmelden

×