Doso 77 Geschrieben 4. Januar 2018 Melden Teilen Geschrieben 4. Januar 2018 Hört sich ziemlich gruselig an. Sowohl Amazon als auch Microsoft führen gerade Notfallwartungsarbeiten an ihren Cloud Angeboten durch. Man kann nämlich über den Fehler die Isolierung von virtuellen Systemen aushebeln, also Speicher von fremden Systemen lesen. Microsoft und die Linux Community haben außer der Reihe Patches veröffentlicht. Meldung bei Heise: https://www.heise.de/security/meldung/Massive-Luecke-in-Intel-CPUs-erfordert-umfassende-Patches-3931562.html Beschreibung bei Intel: https://security.googleblog.com/2018/01/todays-cpu-vulnerability-what-you-need.html Allgemeine Infos: https://meltdownattack.com Mögliche Auswirkung, Passwörter auslesen: https://twitter.com/misc0110/status/948706387491786752 Microsft KB Artikel: Microsoft Guides für Server https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution-s Microsoft Guide für Desktop Betriebssysteme: https://support.microsoft.com/en-us/help/4073119/windows-client-guidance-for-it-pros-to-protect-against-speculative-exe 1 Zitieren Link zu diesem Kommentar
DocData 85 Geschrieben 4. Januar 2018 Melden Teilen Geschrieben 4. Januar 2018 Schöne neue Cloud-Welt... Zitieren Link zu diesem Kommentar
ssd_rider 2 Geschrieben 4. Januar 2018 Melden Teilen Geschrieben 4. Januar 2018 (bearbeitet) Gilt das wirklich für ALLE Prozessoren oder nur die aktuellen bzw. die von den letzten Jahren? Heise hat in diesem Artikel (https://www.heise.de/newsticker/meldung/Prozessor-Bug-Intel-Chef-stiess-hunderttausende-Aktien-ab-Boersenkurs-sackt-ab-3932649.html) geschrieben: "Berichten zufolge soll die Sicherheitslücke zahlreiche Intel-Prozessoren der letzten Dekade betreffen." Zahlreiche bedeutet für mich noch nicht alle :confused: Außerdem: Was ist eigentlich mit VMWare? Hier gibt es seit gestern ebenfalls einen Patch: https://www.vmware.com/us/security/advisories/VMSA-2018-0002.html Leider bin ich auf diesem Gebiet nicht sehr bewandert: Bedeutet das wenn ich diesen Patch in meiner VMWare Umgebung einspiele sind meine VMs sind nicht mehr gefährdet ?!? So wie ich das aus dem Heise Artikel lese sieht dann jeder Prozess/(VM?!?) nur sein Speicherbereich, wenn die Lücke geschlossen ist?!? bearbeitet 4. Januar 2018 von ssd_rider Zitieren Link zu diesem Kommentar
Doso 77 Geschrieben 5. Januar 2018 Autor Melden Teilen Geschrieben 5. Januar 2018 Der Fehler liegt letztlich an Verfahren in der CPU, und das ist länger drin. Daher kann man eigentlich davon ausgehen das quasi alles davon betroffen ist. Zitieren Link zu diesem Kommentar
kamikatze 84 Geschrieben 5. Januar 2018 Melden Teilen Geschrieben 5. Januar 2018 Hier ist die Liste von Intel Zitieren Link zu diesem Kommentar
thlsoft 10 Geschrieben 5. Januar 2018 Melden Teilen Geschrieben 5. Januar 2018 So wie ich gelesen habe, sind Computer und Geräte betroffen ab 1995. Zitieren Link zu diesem Kommentar
junioradm 1 Geschrieben 5. Januar 2018 Melden Teilen Geschrieben 5. Januar 2018 Dringend Frage zu dem Thema: Ich habe einen physischen Hyper-V-Host mit vielen VMs als Gastbetriebssysteme. Muss hier nur der physische Hyper-V-Host gepatcht werden oder jede einzelne VM? Es geht mir nur um die Sicherheitspatches für die CPU und den Chipsatz. Vielen Dank! Zitieren Link zu diesem Kommentar
Doso 77 Geschrieben 5. Januar 2018 Autor Melden Teilen Geschrieben 5. Januar 2018 (bearbeitet) Alles + ggf. Registry Einstellungen setzen. Wobei Patches aktuell teilweise noch gar nicht über Windows Update / WSUS zur Verfügung stehen bzw. noch gar nicht zur Verfügung stehen (Windows Server 2016). bearbeitet 5. Januar 2018 von Doso Zitieren Link zu diesem Kommentar
junioradm 1 Geschrieben 5. Januar 2018 Melden Teilen Geschrieben 5. Januar 2018 Alles + ggf. Registry Einstellungen setzen. Hallo Dosco, Danke für dein Feedback. Es wäre schön, wenn du das begründest. Eine VM besitzt doch nur einen vCPU mit virtuellen Kernen und wird in den virtuellen Geräteinformationen doch von den Integrationsdiensten von Hyper-V verwaltet. Gruß Zitieren Link zu diesem Kommentar
Doso 77 Geschrieben 5. Januar 2018 Autor Melden Teilen Geschrieben 5. Januar 2018 Du patcht den Host damit nicht eine VM die Daten einer anderen VM zu fassen bekommt. Aber in einer VM laufen ja auch Anwendungen die dann zumindest die Daten anderer Anwendungen zu gesicht bekommen. Ungepatchter Host: Webserver A liest die Daten der ERP Anwendung B aus. Gepatchter Host, ungepatchte VM Webserver A: Anwendung liest den privaten Schlüssel eines SSL Zertifikates der Anwendung Apache aus. So zumindest habe ich es verstanden. Zitieren Link zu diesem Kommentar
NorbertFe 2.034 Geschrieben 5. Januar 2018 Melden Teilen Geschrieben 5. Januar 2018 Spricht was dafür nur eins von beiden zu aktualisieren? Bitte jetzt nicht das bisher nicht bewertbare Performancethema. Zitieren Link zu diesem Kommentar
junioradm 1 Geschrieben 5. Januar 2018 Melden Teilen Geschrieben 5. Januar 2018 Spricht was dafür nur eins von beiden zu aktualisieren? Bitte jetzt nicht das bisher nicht bewertbare Performancethema. Hallo Norbert, ja :-) Über 100 virtuelle Systeme, verteilt auf 4-5 physischen Hosts. Den Host patchen geht ja fix, aber gleich 100 virtuelle Gastsysteme....außerdem möchte der Kunde ja auch eine fundierte Aussage haben. Wie handelst du das so? Gruß Zitieren Link zu diesem Kommentar
NorbertFe 2.034 Geschrieben 5. Januar 2018 Melden Teilen Geschrieben 5. Januar 2018 Ich patche beides. Und zwar im nächsten patchzyklus. 100vms auf einem Host? Zitieren Link zu diesem Kommentar
junioradm 1 Geschrieben 5. Januar 2018 Melden Teilen Geschrieben 5. Januar 2018 Ich patche beides. Und zwar im nächsten patchzyklus. 100vms auf einem Host? 20 VMs pro performanter Host. 5 Hosts insgesamt = 100 VMs. Leider brauch' ich eine Argumentation warum ich auch die Notfallpatches auch auf den VMs installiere. Hast du da eine qualitative Begründung? Zitieren Link zu diesem Kommentar
NilsK 2.934 Geschrieben 5. Januar 2018 Melden Teilen Geschrieben 5. Januar 2018 Moin, solage die Patches das Betriebssystem betreffen und nicht die Firmware der betroffenen CPUs (was schwerlich gelingen dürfte), müssen wohl alle Betriebssysteme gepatcht werden, die möglicherweise eine der betroffenen CPU-Funktionen nutzen. Da auch VMs direkt mit der CPU kommunizieren (sie werden vom Hypervisor ja nur gesteuert, aber er führt nicht die Instruktionen für die VMs aus), müssen ziemlich sicher auch die VMs gepatcht werden. Gruß, Nils 1 Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.