Meltdown & Spectre CPU Bugs - Notfallpatches

[zahni 569]

Interessanter Thread bei Reddit

 

https://www.reddit.com/r/vmware/comments/7nvc7s/re_intel_vulnerability_anyone_know_if_vmware_is/

[Doso 77]

Es gibt wohl auch Fixes im CPU Microcode, Intel will da für viele CPUs entsprechende Updates veröffentlichen. Diese müssen dann von den Herstellern über BIOS/Firmware Updates verteilt werden. Bin mir noch nicht ganz schlüssig ob man letztlich beides braucht, also die Patches (mit Registry Eintrag) und die BIOS Updates oder ob eines davon schon reicht.

 

Wir wollen relativ zeitnah sowohl Server (alle! auch VMs) und Clients über SCCM patchen.

[zahni 569]

Der MicroCode kann auch per Software-Update verteilt werden. Wurde auch schon in der Vergangenheit gemacht.

80% der "normalen" PC-User werden eher selten das BIOS updaten. Es sei denn, der Hersteller hier irgendeinen Automatismus implementiert.

Und in großen Firmennetzen: Wer hat das am Client mal ernsthaft probiert?

[MurdocX 965]

 

Und in großen Firmennetzen: Wer hat das am Client mal ernsthaft probiert?

 

Das Bios zu patchen? Ich mache das regelmäßig mit Powershell u. den integrierten Tools von Fujitsu bei ca. 120 Computern.  ;) 

[NorbertFe 2.157]

Wie handhabt ihr das mit bitlocker?

[MurdocX 965]

Lizenztechnisch könnten wir, nutzen ihn aber nicht. Interessante Frage, ich werde das in der Kombination mal prüfen. Habt Ihr Probleme wenn Bitlocker aktiviert wurde?

[NorbertFe 2.157]

Na probier’s aus ein bios Update zu verteilen mit aktiviertem bitlocker. Muss man halt dran denken bitlocker vorher abzuhalten und dafür hab ich noch keine verlässliche Lösung gefunden.

 

Bye

Norbert

 

Ps: wieso setzt man bitlocker nicht ein, wenn Mans kann?

bearbeitet 6. Januar 2018 von NorbertFe

[Sunny61 816]

Ohne es selbst getestet zu haben:

 

manage-bde -off

Diesen Befehl *VORHER* laufen zu lassen geht nicht? Evtl. in einer Batch oder PS, anschließend dann das BIOS aktualisieren. bearbeitet 6. Januar 2018 von Sunny61

[NorbertFe 2.157]

Wenn dann -Pause. Aber wie gesagt, da müsste man dann eben testen oder wer will mal eben alle PCs in den sperrmodus setzen? ;)

[coomooro 1]

Hallo zusammen,

 

wir messen derzeit ca. 10% Performance "Verlust" in unserer Cloud.

 

Grundlegend sollte man Meltdown und Spectre mal in zwei saubere "Probleme" aufspalten.

Bitte auch mal klar schreiben das es bisher keine "Patches" gibt - es gibt lediglich "Workarounds" die die aktive Ausnutzung unwahrscheinlicher machen.

Betroffen sind aus meiner Sicht alle Systeme auf denen jemand eigenen Code ausführen kann -> Klopt doch mal bei euren Hostern und Cloud Anbietern an, was die so gemacht haben (Shared Webhosting / VMs etc.)

Meltdown:

- betrifft alle Intel-CPUs und einzelne ARMs (Link von Intel)
- AMD ist nach meiner Info bisher nicht betroffen
- betrifft Standardfeatures, die für jedes Multitasking-System essentiell sind
- extrem leicht auszunutzen (hohe Erfolgswahrscheinlichkeit, hoher Durchsatz des Datenlecks)
- Betriebssysteme leicht abzusichern (durch getrennte Speichertabellen für Kernel und Prozesse)
- extreme Performanceprobleme durch die Workarounds (Context Switch bei jedem Syscall, betrifft I/O, Netzwerk, Platten usw.)

Spectre:

- betrifft qausi alle CPU Hersteller
- nur in bestimmten Grenzfällen anwendbar - daher schwer ausnutzbar
- Absicherung kompliziert (jede einzelne Anwendung muss abgesichert werden)
- Performanceprobleme durch Workarounds sind sicherlich überschaubar

 

Weil Hersteller das Problem so beheben wollen / müssen dass die Performance nicht völlig kaputt geht, wird es wiederum kompliziert. Bei den KPTI-Patches zum Beispiel macht jetzt das Betriebssystem manuell das Caching einzelner Speicherseiten. Hier sind also ganz sicher noch Bugs zu erwarten.

 

Gundlegend sind ja auch von MS schon PS Tests raus.

 

Denkt dran eure AV Lösung auf den aktuellen Stand zu bringen - die setzten dann



Key="HKEY_LOCAL_MACHINE"Subkey="SOFTWARE\Microsoft\Windows\CurrentVersion\QualityCompat"
Value Name="cadca5fe-87d3-4b96-b7fb-a231484277cc"
Type="REG_DWORD”
Data="0x00000000”

 

Und dann kommen auch die Updates von MS - sofern verfügbar (siehe Server 2016)

 

Tipp am Rande:

 

Falls jemand Chrome nutzt (Terminalserver) -> Site Isolation auf den Browsern einschalten!

 

 

 

 

Grüße!

[DocData 85]

Leider brauch' ich eine Argumentation warum ich auch die Notfallpatches auch auf den VMs installiere. Hast du da eine qualitative Begründung?

WTF? Weil die sc*** IT-Welt in Flammen steht? Reicht das?

[Dr.Melzer 191]

WTF? Weil die sc*** IT-Welt in Flammen steht? Reicht das?

Inwiefern ist dein Beitrag hilfreich?

[DocData 85]

Entschuldigung, aber was für eine Argumentation wird erwartet? Ein Kunde, der ersthaft eine Argumentation für die Installation der Patches erwartet, sollte sich Fragen ob er die Auswirkungen solcher Lücken verstanden hat. Inkl. der Auswirkungen und der Haftung für Geschäftsführer und Gesellschafter.

[Sunny61 816]

Wenn dann -Pause. Aber wie gesagt, da müsste man dann eben testen oder wer will mal eben alle PCs in den sperrmodus setzen? ;)

Alle nicht, nur die, dessen BIOS ich aktualisieren möchte.

 

Danke für den Hinweis auf -Pause. ;)

[NorbertFe 2.157]

Naja im allgemeinen sollten das ja im Laufe ihres Lebenszyklus alle sein. :)