Jump to content

Meltdown & Spectre CPU Bugs - Notfallpatches


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Wenn dann -Pause. Aber wie gesagt, da müsste man dann eben testen oder wer will mal eben alle PCs in den sperrmodus setzen? ;)

 

Danke für die Info. Nächste Woche werde ich das gleich mal in Kombination probieren. 

 

 

Ps: wieso setzt man bitlocker nicht ein, wenn Mans kann?

 

In Schulungsräumen finde ich das nicht sinnvoll  ;) 

Link zu diesem Kommentar

So, nachdem ich mal testweise einen Server aktualisiert habe und mir den MSKB Artikel nochmal angeschaut habe, stelle ich fest, dass man ja noch einiges an Nacharbeit hat.

https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution

Customers have to enable mitigations to help protect against speculative execution side-channel vulnerabilities.

Direkt nach der Installation des Updates (und des neuen BIOS) sieht das dann so aus:

Speculation control settings for CVE-2017-5715 [branch target injection]

Hardware support for branch target injection mitigation is present: True
Windows OS support for branch target injection mitigation is present: True
Windows OS support for branch target injection mitigation is enabled: False
Windows OS support for branch target injection mitigation is disabled by system policy: True
Windows OS support for branch target injection mitigation is disabled by absence of hardware support: False

Speculation control settings for CVE-2017-5754 [rogue data cache load]
Hat jemand eine Idee, was "Windows OS support for branch target injection mitigation is disabled by system policy: True" bedeutet? Welche Policy sollte das denn sein? Oder ist damit was anderes gemeint? So ganz eindeutig steht das leider nirgends.

 

 

Auch schön:

Virtual machines will not see the updated firmware capabilities until they go through a cold boot. This means the running VMs must completely power off before starting again. Rebooting from inside the guest operating system is not sufficient.

 

Danke.

Norbert

bearbeitet von NorbertFe
Link zu diesem Kommentar

Entschuldigung, aber was für eine Argumentation wird erwartet?

Eine zielführende Argumentation. Dein Beitrag war nur Polemik, keine Argumentation.

 

Ein Kunde, der ersthaft eine Argumentation für die Installation der Patches erwartet, sollte sich Fragen ob er die Auswirkungen solcher Lücken verstanden hat. Inkl. der Auswirkungen und der Haftung für Geschäftsführer und Gesellschafter.

Siehst du, das wäre als Beitrag hilfreicher gewesen. ;-)

 

Darf ich dich bitten zukünftig bevor du schreibst zu überlegen ob dein Beitrag dem Fragesteller hilft sein Problem zu lösen. Wenn das der Fall ist schreibe deine Argumente und erläutere dem Fragesteller warum deine Argumente zur Lösung des Problems beitragen können.

 

Anderenfalls ist es IMHO besser nichts zu schreiben. ;-)

Link zu diesem Kommentar

Wie handhabt ihr das mit bitlocker?

 

Wir haben das nur auf Laptops an und mussten da vor kurzem an das BIOS ran. Haben wir auf Grund der geringen Anzahl der betroffenen Systeme "per Hand" gemacht.

 

Surface wird ja durch Windows Update gepatcht. Die BIOS Updates auf den Servern werde ich wohl. ggf. per Hand machem. Was mir mit den Desktop Rechnern und BIOS Updates machen.. hmmm.. mal schauen. Haben wir bisher eigentlich nicht aktualisiert...

bearbeitet von Doso
Link zu diesem Kommentar

Das könnte euch auch interessieren:

 

Verifying Spectre / Meltdown protections remotely

https://blogs.technet.microsoft.com/ralphkyttle/2018/01/05/verifying-spectre-meltdown-protections-remotely/


Speculation control settings for CVE-2017-5715 [branch target injection]

Hardware support for branch target injection mitigation is present: True
Windows OS support for branch target injection mitigation is present: True
Windows OS support for branch target injection mitigation is enabled: True

Lenovo hat das Bios-Update nicht wie gedacht über sein Utility "System Update" veröffentlicht, sondern NUR über die Webseite. Danach waren die Powershell-Abfragen sofort "grün".

Link zu diesem Kommentar

Wir haben das nur auf Laptops an und mussten da vor kurzem an das BIOS ran. Haben wir auf Grund der geringen Anzahl der betroffenen Systeme "per Hand" gemacht.

 

Surface wird ja durch Windows Update gepatcht. Die BIOS Updates auf den Servern werde ich wohl. ggf. per Hand machem. Was mir mit den Desktop Rechnern und BIOS Updates machen.. hmmm.. mal schauen. Haben wir bisher eigentlich nicht aktualisiert...

Ohne Bitlocker (Windows 7) hatte ich das damals bei Kunden so gelöst:

https://www.wsus.de/veroeffentlichen_von_hardwareupdates_mit_hilfe_von_wsus_package_publisher

 

Muß ich mal bei Gelegenheit testen, wie man das in einen Wrapper reinbekommt, der vorher noch Bitlocker pausiert. Falls jemand andere Lösungen hat, dann immer her damit. :)

 

Meine obige Frage kann nicht eventuell jemand beantworten?

http://www.mcseboard.de/topic/211979-meltdown-spectre-cpu-bugs-notfallpatches/page-3?do=findComment&comment=1346305

 

Danke

Norbert

Link zu diesem Kommentar

Würde ich nicht bestätigen können. Ich hab gestern die aktuelle Version 2.7 des Bios für M630er Server installiert und da oben ist der Auszug von einem Server der aktualisiert wurde. Die Registry-Änderungen konnte ich noch nicht machen, da ich dazu dann erstmal alle VMs ausschalten muss. Mal schauen, wie es danach aussieht.

bearbeitet von NorbertFe
Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...