Jump to content
Doso

Meltdown & Spectre CPU Bugs - Notfallpatches

Empfohlene Beiträge

Moin,

 

Demnach schränkt die Firmware die CPU-Geschwindigkeit ein (Event-ID 37, Kernel-Processor-Power) und es gibt "interne Paritätsfehler" (Event-ID 19, WHEA-Logger).

 

der Rechner lief noch mit 1703. Gestern Abend habe ich manuell auf 1709 aktualisiert, und die WHEA-Warnungen (Event-ID 19) sind jetzt weg. Die 37 (CPU-Geschwindigkeit) bleibt, aber das scheint mir tatsächlich eine direkte Folge der neuen Firmware zu sein.

 

Gruß, Nils

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Hi,

Mein Lenovo Testclient legt seit dem BIOS / Windows Update auch gerne mal nen BSOD hin... Hoffe ja immer noch auf Folgeupdates...

LG

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Soweit ich das verstanden habe, und das ist alles etwas komplex: Die Windows und Betriebssystemupdates, ggf. mit Registry Keys für die Server, gehen die Meltdown Lücke an. Sie schaffen zusätzlich ggf. Voraussetzungen für Spectre Fixes.

 

Die BIOS/UEFI/Firmware Updates sorgen dafür das eine der Spectre Varianten schwieriger auszunutzen sind. Das ist aber auch kein 100%iger Schutz, für eine der Spectre Lücken gibt es wohl aktuell gar keinen Schutz.

 

Wie man liest hat Intel auch einige der CPU Microcode Updates zurückgezogen da es zu Systemabstürzen kommt. Darauf hin haben auch einige Hersteller ihre BIOS Updates zurückgezogen. Andere Hersteller wie Fujitsu haben noch gar nicht damit angefangen Updates zu veröffentlichen.

 

Bei uns hat der erste Versuch die Windows Updates per SCCM auf unsere Windows Server zu verteilen schon mal nicht geklappt. Im SCCM hat kaum ein System die Patches als notwendig erkannt. Ich hoffe mal das klappt jetzt am nächsten Wochenende. Einige Testgeräte unter Windows 10 haben dafür den Patch mehrfach installiert o_O

 

Totales Chaos irgendwie :(

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Bei uns hat der erste Versuch die Windows Updates per SCCM auf unsere Windows Server zu verteilen schon mal nicht geklappt. Im SCCM hat kaum ein System die Patches als notwendig erkannt. Ich hoffe mal das klappt jetzt am nächsten Wochenende. Einige Testgeräte unter Windows 10 haben dafür den Patch mehrfach installiert o_O

 

Bei uns wurde sofort nach dem Setzen der Registry-Keys von den Servern (2012 R2) und Cliens 7-10 die Januar-Updates erkannt und dadurch am WSUS angezeigt. Hierbei gab es bei uns keine Probleme. 

bearbeitet von MurdocX

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

...für eine der Spectre Lücken gibt es wohl aktuell gar keinen Schutz.

...

 

Nicht ganz, für Spectre Variant 1 muss die Software die die Funktion explizit nutzt (z.B. Firefox) einzeln gepatcht werden.

 

D.h.

Spectre Variant 1: Patchen von Anwendersoftware

Spectre Variant 2: Microcode Updates seitens Intel (z.B. über BIOS/UEFI Updates)

Meltdown Variant 3: Windows Update

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Hallo,

 

für einen unserer ESXi Hosts (Xeon Scalable Purley Platform) ist jetzt auch ein BIOS Update verfügbar.

 

Ich wollte mal nachfragen, wie ihr das aktuell mit euren Servern handhabt, denn ich bin leicht verunsichert. Hersteller die ihre BIOS Updates zurückziehen, Intel mit Fehlern in ihren Microcode, Berichte über BSOD und unerklärlichen Neustarts. Fakt ist, ein instabiles System, was eigentlich unter Volllast im täglichen produktiven Einsatz ist, würde mir vermutlich mehr Probleme machen als ein EVENTUELL angreifbares System (die Windows Uodates + Regkeys have ich in allen VMs drin)

 

Vielen Dank für eure Erfahrungen.

Ps: Mainboard Intel S2600WF

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Das Problem stellt sich bei uns nicht, Fujitsu hat noch keine Updates herausgegeben. Weiß nicht ob ich das gut oder schlecht finde :)

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
Am ‎12‎.‎01‎.‎2018 um 11:23 schrieb testperson:

Für alle "DATEV geplagten": Sollte hier jemand das aktuelle DATEV Update (11.1 (Januar) evtl auch 11.0) auf der To-Do-Liste haben und bereits gepatched haben bzw. KB4056890 installiert haben, der sollte vorerst vom DATEV Update absehen.

 

[ UPDATE zu DATEV ]

 

Nach einem Update des Artikels vom 19.01.2018, sind die Unverträglichkeiten für die Version DATEV Version 11.1 nicht durch den Windows Patch, sondern durch andere Software verursacht worden. Leider wurde nicht spezifiziert was die "andere Software" ist.

https://www.datev.de/web/de/aktuelles/datev-news/sicherheitsluecke-bei-prozessoren/

 

Das Update kann demnach durchgeführt werden.

 

 

 

 

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Contra-Update: https://support.microsoft.com/en-us/help/4078130/update-to-disable-mitigation-against-spectre-variant-2

 

Zitat

Intel has reported issues with recently released microcode meant to address Spectre variant 2 (CVE 2017-5715 Branch Target Injection) – specifically Intel noted that this microcode can cause “higher than expected reboots and other unpredictable system behavior” and then noted that situations like this may result in “data loss or corruption. Our own experience is that system instability can in some circumstances cause data loss or corruption.

 

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
Am ‎22‎.‎01‎.‎2018 um 17:12 schrieb MurdocX:

[ UPDATE zu DATEV ]

Das Update kann demnach durchgeführt werden.

 

Installation von DATEV v11.1 auf Windows 1709 incl. dem letzten CU im Januar verlief ohne Probleme.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Da ich hier gerade ein Problem mit einem  HP BL465 B7 habe (ja ich weis, nicht ganz taufrisch, reicht aber als DC):

Da gibt es wohl noch weitere Probleme mit 2018-01 in Verbindung mit 2012R2/Windows 8.

Der Support von Microsoft hat mich jetzt angewiesen diesen Patch zu installieren:

https://support.microsoft.com/en-us/help/4077561/stop-errors-caused-by-spurious-interrupt-on-systems-pic-and-apic-inter

Mal sehen, ob der Bugcheck 133 damit weg geht.

 

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Gestern war Patch Tuesday, könnte man eigentlich gleich das nächste CU probieren. Bin mal gespannt wie lange Microsoft die Hinweise bezgl. der Registry Einstellungen zur Aktivierung/Installation der Patches mitziehen will. Das müsste ja theoretisch viele Jahre so gehen.

bearbeitet von Doso

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren

Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können

Benutzerkonto erstellen

Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!

Neues Benutzerkonto erstellen

Anmelden

Du hast bereits ein Benutzerkonto? Melde dich hier an.

Jetzt anmelden

×