Jump to content
Sign in to follow this  
Doso

Meltdown & Spectre CPU Bugs - Notfallpatches

Recommended Posts

Wenn dann -Pause. Aber wie gesagt, da müsste man dann eben testen oder wer will mal eben alle PCs in den sperrmodus setzen? ;)

 

Danke für die Info. Nächste Woche werde ich das gleich mal in Kombination probieren. 

 

 

Ps: wieso setzt man bitlocker nicht ein, wenn Mans kann?

 

In Schulungsräumen finde ich das nicht sinnvoll  ;) 

Share this post


Link to post
Share on other sites

Danke für die Info. Nächste Woche werde ich das gleich mal in Kombination probieren.

Kannst ja mal berichten. :)

 

 

In Schulungsräumen finde ich das nicht sinnvoll  ;)

Da hast du nicht Unrecht. :p

 

Bye

Norbert

Share this post


Link to post
Share on other sites

So, nachdem ich mal testweise einen Server aktualisiert habe und mir den MSKB Artikel nochmal angeschaut habe, stelle ich fest, dass man ja noch einiges an Nacharbeit hat.

https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution

Customers have to enable mitigations to help protect against speculative execution side-channel vulnerabilities.

Direkt nach der Installation des Updates (und des neuen BIOS) sieht das dann so aus:

Speculation control settings for CVE-2017-5715 [branch target injection]

Hardware support for branch target injection mitigation is present: True
Windows OS support for branch target injection mitigation is present: True
Windows OS support for branch target injection mitigation is enabled: False
Windows OS support for branch target injection mitigation is disabled by system policy: True
Windows OS support for branch target injection mitigation is disabled by absence of hardware support: False

Speculation control settings for CVE-2017-5754 [rogue data cache load]
Hat jemand eine Idee, was "Windows OS support for branch target injection mitigation is disabled by system policy: True" bedeutet? Welche Policy sollte das denn sein? Oder ist damit was anderes gemeint? So ganz eindeutig steht das leider nirgends.

 

 

Auch schön:

Virtual machines will not see the updated firmware capabilities until they go through a cold boot. This means the running VMs must completely power off before starting again. Rebooting from inside the guest operating system is not sufficient.

 

Danke.

Norbert

Edited by NorbertFe

Share this post


Link to post
Share on other sites

Entschuldigung, aber was für eine Argumentation wird erwartet?

Eine zielführende Argumentation. Dein Beitrag war nur Polemik, keine Argumentation.

 

Ein Kunde, der ersthaft eine Argumentation für die Installation der Patches erwartet, sollte sich Fragen ob er die Auswirkungen solcher Lücken verstanden hat. Inkl. der Auswirkungen und der Haftung für Geschäftsführer und Gesellschafter.

Siehst du, das wäre als Beitrag hilfreicher gewesen. ;-)

 

Darf ich dich bitten zukünftig bevor du schreibst zu überlegen ob dein Beitrag dem Fragesteller hilft sein Problem zu lösen. Wenn das der Fall ist schreibe deine Argumente und erläutere dem Fragesteller warum deine Argumente zur Lösung des Problems beitragen können.

 

Anderenfalls ist es IMHO besser nichts zu schreiben. ;-)

Share this post


Link to post
Share on other sites

Dr. Melzer, wirklich, bei allem notwendigen Respekt vor der als Person und deiner Leistung hier: Es wäre schön, wenn du diesen Maßstab bei ALLEN anlegen würdest.

Share this post


Link to post
Share on other sites

Dr. Melzer, wirklich, bei allem notwendigen Respekt vor der als Person und deiner Leistung hier: Es wäre schön, wenn du diesen Maßstab bei ALLEN anlegen würdest.

Das mache ich. Jetzt geht es aber um dich und dein verhalten und ich wäre dir dankbar, wenn du es hinterfragst und gegebenenfalls entsprechend anpasst. :-)

Share this post


Link to post
Share on other sites

Wie handhabt ihr das mit bitlocker?

 

Wir haben das nur auf Laptops an und mussten da vor kurzem an das BIOS ran. Haben wir auf Grund der geringen Anzahl der betroffenen Systeme "per Hand" gemacht.

 

Surface wird ja durch Windows Update gepatcht. Die BIOS Updates auf den Servern werde ich wohl. ggf. per Hand machem. Was mir mit den Desktop Rechnern und BIOS Updates machen.. hmmm.. mal schauen. Haben wir bisher eigentlich nicht aktualisiert...

Edited by Doso

Share this post


Link to post
Share on other sites

Das könnte euch auch interessieren:

 

Verifying Spectre / Meltdown protections remotely

https://blogs.technet.microsoft.com/ralphkyttle/2018/01/05/verifying-spectre-meltdown-protections-remotely/


Speculation control settings for CVE-2017-5715 [branch target injection]

Hardware support for branch target injection mitigation is present: True
Windows OS support for branch target injection mitigation is present: True
Windows OS support for branch target injection mitigation is enabled: True

Lenovo hat das Bios-Update nicht wie gedacht über sein Utility "System Update" veröffentlicht, sondern NUR über die Webseite. Danach waren die Powershell-Abfragen sofort "grün".

Share this post


Link to post
Share on other sites

Glaub ich nicht. Die Software wird regelmäßig aktualisiert, im Support aktiv beworben und es kommen noch regelmäßig Software u. Treiberupdates darüber.

Share this post


Link to post
Share on other sites

Wir haben das nur auf Laptops an und mussten da vor kurzem an das BIOS ran. Haben wir auf Grund der geringen Anzahl der betroffenen Systeme "per Hand" gemacht.

 

Surface wird ja durch Windows Update gepatcht. Die BIOS Updates auf den Servern werde ich wohl. ggf. per Hand machem. Was mir mit den Desktop Rechnern und BIOS Updates machen.. hmmm.. mal schauen. Haben wir bisher eigentlich nicht aktualisiert...

Ohne Bitlocker (Windows 7) hatte ich das damals bei Kunden so gelöst:

https://www.wsus.de/veroeffentlichen_von_hardwareupdates_mit_hilfe_von_wsus_package_publisher

 

Muß ich mal bei Gelegenheit testen, wie man das in einen Wrapper reinbekommt, der vorher noch Bitlocker pausiert. Falls jemand andere Lösungen hat, dann immer her damit. :)

 

Meine obige Frage kann nicht eventuell jemand beantworten?

http://www.mcseboard.de/topic/211979-meltdown-spectre-cpu-bugs-notfallpatches/page-3?do=findComment&comment=1346305

 

Danke

Norbert

Share this post


Link to post
Share on other sites

Dieser Eintrag verschwindet automatisch, wenn das Firmware-Update erfolgreich war. Ich vermute es wird blockiert bis die CPU oder das BIOS die nötigen Voraussetzungen erfüllen.

Share this post


Link to post
Share on other sites

Würde ich nicht bestätigen können. Ich hab gestern die aktuelle Version 2.7 des Bios für M630er Server installiert und da oben ist der Auszug von einem Server der aktualisiert wurde. Die Registry-Änderungen konnte ich noch nicht machen, da ich dazu dann erstmal alle VMs ausschalten muss. Mal schauen, wie es danach aussieht.

Edited by NorbertFe

Share this post


Link to post
Share on other sites

Täusche ich mich oder sind da gerade noch Registry Einträge dazu gekommen bei den Server Patches? :(

 

Das man alle VMs neustarten muss und ggf. die Live Migration zwischen gepatchten und nicht gepatchten Hosts scheitert ist irgendwie nervig.

Edited by Doso

Share this post


Link to post
Share on other sites

Interessant. Bei mir war nach dem BIOS-Update alles grün (vorherige Rote) und der zweite Abschnitt hat nur noch 3 Einträge, siehe oben, beinhaltet.

Share this post


Link to post
Share on other sites
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

×
×
  • Create New...