Jump to content
Sign in to follow this  
Doso

Meltdown & Spectre CPU Bugs - Notfallpatches

Recommended Posts

Es gibt wohl auch Fixes im CPU Microcode, Intel will da für viele CPUs entsprechende Updates veröffentlichen. Diese müssen dann von den Herstellern über BIOS/Firmware Updates verteilt werden. Bin mir noch nicht ganz schlüssig ob man letztlich beides braucht, also die Patches (mit Registry Eintrag) und die BIOS Updates oder ob eines davon schon reicht.

 

Wir wollen relativ zeitnah sowohl Server (alle! auch VMs) und Clients über SCCM patchen.

Share this post


Link to post
Share on other sites

Der MicroCode kann auch per Software-Update verteilt werden. Wurde auch schon in der Vergangenheit gemacht.

80% der "normalen" PC-User werden eher selten das BIOS updaten. Es sei denn, der Hersteller hier irgendeinen Automatismus implementiert.

Und in großen Firmennetzen: Wer hat das am Client mal ernsthaft probiert?

Share this post


Link to post
Share on other sites

 

Und in großen Firmennetzen: Wer hat das am Client mal ernsthaft probiert?

 

Das Bios zu patchen? Ich mache das regelmäßig mit Powershell u. den integrierten Tools von Fujitsu bei ca. 120 Computern.  ;) 

Share this post


Link to post
Share on other sites

Lizenztechnisch könnten wir, nutzen ihn aber nicht. Interessante Frage, ich werde das in der Kombination mal prüfen. Habt Ihr Probleme wenn Bitlocker aktiviert wurde?

Share this post


Link to post
Share on other sites

Na probier’s aus ein bios Update zu verteilen mit aktiviertem bitlocker. Muss man halt dran denken bitlocker vorher abzuhalten und dafür hab ich noch keine verlässliche Lösung gefunden.

 

Bye

Norbert

 

Ps: wieso setzt man bitlocker nicht ein, wenn Mans kann?

Edited by NorbertFe

Share this post


Link to post
Share on other sites

Ohne es selbst getestet zu haben:

 

manage-bde -off
Diesen Befehl *VORHER* laufen zu lassen geht nicht? Evtl. in einer Batch oder PS, anschließend dann das BIOS aktualisieren. Edited by Sunny61

Share this post


Link to post
Share on other sites

Hallo zusammen,

 

wir messen derzeit ca. 10% Performance "Verlust" in unserer Cloud.

 

Grundlegend sollte man Meltdown und Spectre mal in zwei saubere "Probleme" aufspalten.

Bitte auch mal klar schreiben das es bisher keine "Patches" gibt - es gibt lediglich "Workarounds" die die aktive Ausnutzung unwahrscheinlicher machen.

Betroffen sind aus meiner Sicht alle Systeme auf denen jemand eigenen Code ausführen kann -> Klopt doch mal bei euren Hostern und Cloud Anbietern an, was die so gemacht haben (Shared Webhosting / VMs etc.)

Meltdown:

- betrifft alle Intel-CPUs und einzelne ARMs (Link von Intel)
- AMD ist nach meiner Info bisher nicht betroffen
- betrifft Standardfeatures, die für jedes Multitasking-System essentiell sind
- extrem leicht auszunutzen (hohe Erfolgswahrscheinlichkeit, hoher Durchsatz des Datenlecks)
- Betriebssysteme leicht abzusichern (durch getrennte Speichertabellen für Kernel und Prozesse)
- extreme Performanceprobleme durch die Workarounds (Context Switch bei jedem Syscall, betrifft I/O, Netzwerk, Platten usw.)

Spectre:

- betrifft qausi alle CPU Hersteller
- nur in bestimmten Grenzfällen anwendbar - daher schwer ausnutzbar
- Absicherung kompliziert (jede einzelne Anwendung muss abgesichert werden)
- Performanceprobleme durch Workarounds sind sicherlich überschaubar

 

Weil Hersteller das Problem so beheben wollen / müssen dass die Performance nicht völlig kaputt geht, wird es wiederum kompliziert. Bei den KPTI-Patches zum Beispiel macht jetzt das Betriebssystem manuell das Caching einzelner Speicherseiten. Hier sind also ganz sicher noch Bugs zu erwarten.

 

Gundlegend sind ja auch von MS schon PS Tests raus.

 

Denkt dran eure AV Lösung auf den aktuellen Stand zu bringen - die setzten dann



Key="HKEY_LOCAL_MACHINE"Subkey="SOFTWARE\Microsoft\Windows\CurrentVersion\QualityCompat"
Value Name="cadca5fe-87d3-4b96-b7fb-a231484277cc"
Type="REG_DWORD”
Data="0x00000000”

 

Und dann kommen auch die Updates von MS - sofern verfügbar (siehe Server 2016)

 

Tipp am Rande:

 

Falls jemand Chrome nutzt (Terminalserver) -> Site Isolation auf den Browsern einschalten!

 

 

 

 

Grüße!

  • Like 1

Share this post


Link to post
Share on other sites

Leider brauch' ich eine Argumentation warum ich auch die Notfallpatches auch auf den VMs installiere. Hast du da eine qualitative Begründung?

WTF? Weil die sc*** IT-Welt in Flammen steht? Reicht das?

Share this post


Link to post
Share on other sites

Entschuldigung, aber was für eine Argumentation wird erwartet? Ein Kunde, der ersthaft eine Argumentation für die Installation der Patches erwartet, sollte sich Fragen ob er die Auswirkungen solcher Lücken verstanden hat. Inkl. der Auswirkungen und der Haftung für Geschäftsführer und Gesellschafter.

Share this post


Link to post
Share on other sites

Wenn dann -Pause. Aber wie gesagt, da müsste man dann eben testen oder wer will mal eben alle PCs in den sperrmodus setzen? ;)

Alle nicht, nur die, dessen BIOS ich aktualisieren möchte.

 

Danke für den Hinweis auf -Pause. ;)

Share this post


Link to post
Share on other sites
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

×
×
  • Create New...