Jump to content
Doso

Meltdown & Spectre CPU Bugs - Notfallpatches

Empfohlene Beiträge

Wenn dann -Pause. Aber wie gesagt, da müsste man dann eben testen oder wer will mal eben alle PCs in den sperrmodus setzen? ;)

 

Danke für die Info. Nächste Woche werde ich das gleich mal in Kombination probieren. 

 

 

Ps: wieso setzt man bitlocker nicht ein, wenn Mans kann?

 

In Schulungsräumen finde ich das nicht sinnvoll  ;) 

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Danke für die Info. Nächste Woche werde ich das gleich mal in Kombination probieren.

Kannst ja mal berichten. :)

 

 

In Schulungsräumen finde ich das nicht sinnvoll  ;)

Da hast du nicht Unrecht. :p

 

Bye

Norbert

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

So, nachdem ich mal testweise einen Server aktualisiert habe und mir den MSKB Artikel nochmal angeschaut habe, stelle ich fest, dass man ja noch einiges an Nacharbeit hat.

https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution

Customers have to enable mitigations to help protect against speculative execution side-channel vulnerabilities.

Direkt nach der Installation des Updates (und des neuen BIOS) sieht das dann so aus:

Speculation control settings for CVE-2017-5715 [branch target injection]

Hardware support for branch target injection mitigation is present: True
Windows OS support for branch target injection mitigation is present: True
Windows OS support for branch target injection mitigation is enabled: False
Windows OS support for branch target injection mitigation is disabled by system policy: True
Windows OS support for branch target injection mitigation is disabled by absence of hardware support: False

Speculation control settings for CVE-2017-5754 [rogue data cache load]
Hat jemand eine Idee, was "Windows OS support for branch target injection mitigation is disabled by system policy: True" bedeutet? Welche Policy sollte das denn sein? Oder ist damit was anderes gemeint? So ganz eindeutig steht das leider nirgends.

 

 

Auch schön:

Virtual machines will not see the updated firmware capabilities until they go through a cold boot. This means the running VMs must completely power off before starting again. Rebooting from inside the guest operating system is not sufficient.

 

Danke.

Norbert

bearbeitet von NorbertFe

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Entschuldigung, aber was für eine Argumentation wird erwartet?

Eine zielführende Argumentation. Dein Beitrag war nur Polemik, keine Argumentation.

 

Ein Kunde, der ersthaft eine Argumentation für die Installation der Patches erwartet, sollte sich Fragen ob er die Auswirkungen solcher Lücken verstanden hat. Inkl. der Auswirkungen und der Haftung für Geschäftsführer und Gesellschafter.

Siehst du, das wäre als Beitrag hilfreicher gewesen. ;-)

 

Darf ich dich bitten zukünftig bevor du schreibst zu überlegen ob dein Beitrag dem Fragesteller hilft sein Problem zu lösen. Wenn das der Fall ist schreibe deine Argumente und erläutere dem Fragesteller warum deine Argumente zur Lösung des Problems beitragen können.

 

Anderenfalls ist es IMHO besser nichts zu schreiben. ;-)

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Dr. Melzer, wirklich, bei allem notwendigen Respekt vor der als Person und deiner Leistung hier: Es wäre schön, wenn du diesen Maßstab bei ALLEN anlegen würdest.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Dr. Melzer, wirklich, bei allem notwendigen Respekt vor der als Person und deiner Leistung hier: Es wäre schön, wenn du diesen Maßstab bei ALLEN anlegen würdest.

Das mache ich. Jetzt geht es aber um dich und dein verhalten und ich wäre dir dankbar, wenn du es hinterfragst und gegebenenfalls entsprechend anpasst. :-)

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Wie handhabt ihr das mit bitlocker?

 

Wir haben das nur auf Laptops an und mussten da vor kurzem an das BIOS ran. Haben wir auf Grund der geringen Anzahl der betroffenen Systeme "per Hand" gemacht.

 

Surface wird ja durch Windows Update gepatcht. Die BIOS Updates auf den Servern werde ich wohl. ggf. per Hand machem. Was mir mit den Desktop Rechnern und BIOS Updates machen.. hmmm.. mal schauen. Haben wir bisher eigentlich nicht aktualisiert...

bearbeitet von Doso

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Das könnte euch auch interessieren:

 

Verifying Spectre / Meltdown protections remotely

https://blogs.technet.microsoft.com/ralphkyttle/2018/01/05/verifying-spectre-meltdown-protections-remotely/


Speculation control settings for CVE-2017-5715 [branch target injection]

Hardware support for branch target injection mitigation is present: True
Windows OS support for branch target injection mitigation is present: True
Windows OS support for branch target injection mitigation is enabled: True

Lenovo hat das Bios-Update nicht wie gedacht über sein Utility "System Update" veröffentlicht, sondern NUR über die Webseite. Danach waren die Powershell-Abfragen sofort "grün".

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Glaub ich nicht. Die Software wird regelmäßig aktualisiert, im Support aktiv beworben und es kommen noch regelmäßig Software u. Treiberupdates darüber.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Wir haben das nur auf Laptops an und mussten da vor kurzem an das BIOS ran. Haben wir auf Grund der geringen Anzahl der betroffenen Systeme "per Hand" gemacht.

 

Surface wird ja durch Windows Update gepatcht. Die BIOS Updates auf den Servern werde ich wohl. ggf. per Hand machem. Was mir mit den Desktop Rechnern und BIOS Updates machen.. hmmm.. mal schauen. Haben wir bisher eigentlich nicht aktualisiert...

Ohne Bitlocker (Windows 7) hatte ich das damals bei Kunden so gelöst:

https://www.wsus.de/veroeffentlichen_von_hardwareupdates_mit_hilfe_von_wsus_package_publisher

 

Muß ich mal bei Gelegenheit testen, wie man das in einen Wrapper reinbekommt, der vorher noch Bitlocker pausiert. Falls jemand andere Lösungen hat, dann immer her damit. :)

 

Meine obige Frage kann nicht eventuell jemand beantworten?

http://www.mcseboard.de/topic/211979-meltdown-spectre-cpu-bugs-notfallpatches/page-3?do=findComment&comment=1346305

 

Danke

Norbert

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Dieser Eintrag verschwindet automatisch, wenn das Firmware-Update erfolgreich war. Ich vermute es wird blockiert bis die CPU oder das BIOS die nötigen Voraussetzungen erfüllen.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Würde ich nicht bestätigen können. Ich hab gestern die aktuelle Version 2.7 des Bios für M630er Server installiert und da oben ist der Auszug von einem Server der aktualisiert wurde. Die Registry-Änderungen konnte ich noch nicht machen, da ich dazu dann erstmal alle VMs ausschalten muss. Mal schauen, wie es danach aussieht.

bearbeitet von NorbertFe

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Täusche ich mich oder sind da gerade noch Registry Einträge dazu gekommen bei den Server Patches? :(

 

Das man alle VMs neustarten muss und ggf. die Live Migration zwischen gepatchten und nicht gepatchten Hosts scheitert ist irgendwie nervig.

bearbeitet von Doso

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Interessant. Bei mir war nach dem BIOS-Update alles grün (vorherige Rote) und der zweite Abschnitt hat nur noch 3 Einträge, siehe oben, beinhaltet.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren

Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können

Benutzerkonto erstellen

Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!

Neues Benutzerkonto erstellen

Anmelden

Du hast bereits ein Benutzerkonto? Melde dich hier an.

Jetzt anmelden

×