Jump to content
Sign in to follow this  
Doso

Meltdown & Spectre CPU Bugs - Notfallpatches

Recommended Posts

Das ist nicht nur „nervig“, sondern der Grund, warum das auch wieder alles länger dauert. ;) ein reboot reicht ja nicht. Sonst wärs im nächsten patchzyklus ja automatisch erledigt. Und ja die Ergänzungen kamen erst später dazu. Ich würde auch erwarten, dass demnächst dafür entsprechende policy Vorlagen geliefert werden.

Share this post


Link to post
Share on other sites

Auf meinem Arbeitsplatzrechner mit Windows 10 konnte ich den Patch einfach so online per Windows Update installieren. Ich habe eine VM mit Server 2012R2 manuell mit Patch aus dem Update Katalog aktualisiert und dann die Registry Einstellungen gesetzt. Soweit alles wie erwartet.

 

Ich versuche nun einen physischen Server mit Windows Server 2012R2 und Hyper-V den Patch über Windows Update zu installieren. Leider wird mir der Patch dann nicht angeboten. Auf dem Server gibt es keinen Virenscanner, entsprechend habe ich wie hier angegeben den Registry Schlüssel manuell gesetzt: https://support.microsoft.com/en-us/help/4072699

 

Leider wird mir das Update immer noch nicht angeboten. Ich vermute daher die Patches kommen erst regulär am Patch Tuesday in das normale Windows Update rein.

 

Krass finde ich folgende Aussage. Letztlich werden dadurch Geräte ohne Virenscanner wo der Admin nicht eingreift schlicht keine Windows Updates mehr erhalten.

 

Note: Customers will not receive the January 2018 security updates (or any subsequent security updates) and will not be protected from security vulnerabilities unless their antivirus software vendor sets the following registry key.
Edited by Doso

Share this post


Link to post
Share on other sites

Bei mir wird folgendes angezeigt obwohl ich sowohl Patch installiert habe als auch die Reg-Einträge gesetzt und die VMs heruntergefahren habe:

Speculation control settings for CVE-2017-5715 [branch target injection]

Hardware support for branch target injection mitigation is present: False
Windows OS support for branch target injection mitigation is present: True
Windows OS support for branch target injection mitigation is enabled: False
Windows OS support for branch target injection mitigation is disabled by system policy: False
Windows OS support for branch target injection mitigation is disabled by absence of hardware support: True

Speculation control settings for CVE-2017-5754 [rogue data cache load]

Hardware requires kernel VA shadowing: True
Windows OS support for kernel VA shadow is present: True
Windows OS support for kernel VA shadow is enabled: True
Windows OS support for PCID performance optimization is enabled: True [not required for security]

Es fehlt mir noch das UEFI Update für die Hosts.

 

Aber Windows OS support for branch target injection mitigation is enabled sollte doch eigentlich mit den Reg-Einträgen aktiviert werden oder?

Edited by Revan

Share this post


Link to post
Share on other sites

Kann ich bestätigen, heute morgen nen Dell R330 mit Windows Update gepatcht, Registry-Einträge gesetzt und das BIOS-Update gemacht. Danach alles grün bei der PS-Abfrage :)

 

Weiß schon jemand was bei Client-Rechnern zu tun sein wird außer Windows Update? Zumindest bei Dell habe ich noch kein diesbezügliches Bios-Update gefunden...

Share this post


Link to post
Share on other sites

OK, nach setzen der Registry Werte sieht das jetzt auf einem R530 so aus:
 



Get-SpeculationControlSettings

Speculation control settings for CVE-2017-5715 [branch target injection]



Hardware support for branch target injection mitigation is present: True

Windows OS support for branch target injection mitigation is present: True

Windows OS support for branch target injection mitigation is enabled: True



Speculation control settings for CVE-2017-5754 [rogue data cache load]



Hardware requires kernel VA shadowing: True

Windows OS support for kernel VA shadow is present: True

Windows OS support for kernel VA shadow is enabled: True

Windows OS support for PCID performance optimization is enabled: True [not required for security]





BTIHardwarePresent : True

BTIWindowsSupportPresent : True

BTIWindowsSupportEnabled : True

BTIDisabledBySystemPolicy : False

BTIDisabledByNoHardwareSupport : False

KVAShadowRequired : True

KVAShadowWindowsSupportPresent : True

KVAShadowWindowsSupportEnabled : True

KVAShadowPcidEnabled : True

Damit hat sich die Frage bzgl. Systempolicy auch erledigt, damit ist dann wohl was anderes gemeint als eine "Policy" im Sinne von Sicherheitsrichtlinie oder GPO.

 

Bye

Norbert

Share this post


Link to post
Share on other sites

Stellt sich eher die Frage wann bzw. ob überhaupt man seine Gerätschaften aktualisieren kann mit den nötigen Firmware/BIOS Updates die die Microcode Updates mitbringen. Ich habe mal bei unseren Servern (Fujitsu) und unseren üblichen Client Gerätschaften (Lenovo Laptop, HP und Fujitsu Desktop) geschaut. Bisher keine Updates zu finden.

 

Letztlich wird auch ein Teil der Geräte gar keine Updates bekommen, weil aus dem Support raus.

Edited by Doso

Share this post


Link to post
Share on other sites

Also Dell hat zumindest angefangen die Server zu versorgen. Bei PCs meine ich auch schon einige Updates bei Dell gesehen zu haben, aber ich vermute, da werden bei den Herstellern aktuell die Server Vorrang haben.

Share this post


Link to post
Share on other sites

Der eigentliche Embargo Termin war ja wohl erst der 9.1.2018. Daher kann ich mir vorstellen das viele Hersteller erst etwas später dran sind als diese Woche.

Share this post


Link to post
Share on other sites
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

×
×
  • Create New...