Jump to content

Meltdown & Spectre CPU Bugs - Notfallpatches

Doso

Von Doso
in Windows Server Forum

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Doso Veteran

Doso   77

Geschrieben
  • Autor
Geschrieben

Es gibt wohl auch Fixes im CPU Microcode, Intel will da für viele CPUs entsprechende Updates veröffentlichen. Diese müssen dann von den Herstellern über BIOS/Firmware Updates verteilt werden. Bin mir noch nicht ganz schlüssig ob man letztlich beides braucht, also die Patches (mit Registry Eintrag) und die BIOS Updates oder ob eines davon schon reicht.

 

Wir wollen relativ zeitnah sowohl Server (alle! auch VMs) und Clients über SCCM patchen.

Link zu diesem Kommentar
coomooro Contributor

coomooro   1

Geschrieben
Geschrieben

Hallo zusammen,

 

wir messen derzeit ca. 10% Performance "Verlust" in unserer Cloud.

 

Grundlegend sollte man Meltdown und Spectre mal in zwei saubere "Probleme" aufspalten.

Bitte auch mal klar schreiben das es bisher keine "Patches" gibt - es gibt lediglich "Workarounds" die die aktive Ausnutzung unwahrscheinlicher machen.

Betroffen sind aus meiner Sicht alle Systeme auf denen jemand eigenen Code ausführen kann -> Klopt doch mal bei euren Hostern und Cloud Anbietern an, was die so gemacht haben (Shared Webhosting / VMs etc.)

Meltdown:

- betrifft alle Intel-CPUs und einzelne ARMs (Link von Intel)
- AMD ist nach meiner Info bisher nicht betroffen
- betrifft Standardfeatures, die für jedes Multitasking-System essentiell sind
- extrem leicht auszunutzen (hohe Erfolgswahrscheinlichkeit, hoher Durchsatz des Datenlecks)
- Betriebssysteme leicht abzusichern (durch getrennte Speichertabellen für Kernel und Prozesse)
- extreme Performanceprobleme durch die Workarounds (Context Switch bei jedem Syscall, betrifft I/O, Netzwerk, Platten usw.)

Spectre:

- betrifft qausi alle CPU Hersteller
- nur in bestimmten Grenzfällen anwendbar - daher schwer ausnutzbar
- Absicherung kompliziert (jede einzelne Anwendung muss abgesichert werden)
- Performanceprobleme durch Workarounds sind sicherlich überschaubar

 

Weil Hersteller das Problem so beheben wollen / müssen dass die Performance nicht völlig kaputt geht, wird es wiederum kompliziert. Bei den KPTI-Patches zum Beispiel macht jetzt das Betriebssystem manuell das Caching einzelner Speicherseiten. Hier sind also ganz sicher noch Bugs zu erwarten.

 

Gundlegend sind ja auch von MS schon PS Tests raus.

 

Denkt dran eure AV Lösung auf den aktuellen Stand zu bringen - die setzten dann



Key="HKEY_LOCAL_MACHINE"Subkey="SOFTWARE\Microsoft\Windows\CurrentVersion\QualityCompat"
Value Name="cadca5fe-87d3-4b96-b7fb-a231484277cc"
Type="REG_DWORD”
Data="0x00000000”

 

Und dann kommen auch die Updates von MS - sofern verfügbar (siehe Server 2016)

 

Tipp am Rande:

 

Falls jemand Chrome nutzt (Terminalserver) -> Site Isolation auf den Browsern einschalten!

 

 

 

 

Grüße!

  • Like 1
Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...