Marco31 33 Geschrieben 9. Januar 2018 Melden Teilen Geschrieben 9. Januar 2018 Bin mal gespannt ob von HP bei den Server noch mehr kommt; bisher nur FW-Updates für G9 und G10, wir haben hier noch G8 stehen die noch im Support sind und eigentlich noch ein bisschen laufen sollten.. Zitieren Link zu diesem Kommentar
Revan 14 Geschrieben 9. Januar 2018 Melden Teilen Geschrieben 9. Januar 2018 Bei mir wird folgendes angezeigt obwohl ich sowohl Patch installiert habe als auch die Reg-Einträge gesetzt und die VMs heruntergefahren habe: Speculation control settings for CVE-2017-5715 [branch target injection] Hardware support for branch target injection mitigation is present: False Windows OS support for branch target injection mitigation is present: True Windows OS support for branch target injection mitigation is enabled: False Windows OS support for branch target injection mitigation is disabled by system policy: False Windows OS support for branch target injection mitigation is disabled by absence of hardware support: True Speculation control settings for CVE-2017-5754 [rogue data cache load] Hardware requires kernel VA shadowing: True Windows OS support for kernel VA shadow is present: True Windows OS support for kernel VA shadow is enabled: True Windows OS support for PCID performance optimization is enabled: True [not required for security] Es fehlt mir noch das UEFI Update für die Hosts. Aber Windows OS support for branch target injection mitigation is enabled sollte doch eigentlich mit den Reg-Einträgen aktiviert werden oder? Danach sind die Einträge grün So, habe die UEFI aktualisiert. Leider bleibt das Ergebnis gleich. Zitieren Link zu diesem Kommentar
junioradm 1 Geschrieben 9. Januar 2018 Melden Teilen Geschrieben 9. Januar 2018 Hallo, vielen Dank für euer Feedback. Besonderen Dank an NilsK, Norbert und alle anderen. Ich habe die Argumentation von NilsK übernommen und dem Kunden dann gegenüber auch den Mehraufwand in einem zusammengefassten Schreiben übermittelt. Leider sind alle Informationen so weit verstreut und man muss alles mühselig zusammen suchen. HP Server Updates, Citrix Netscaler, VMware ESX, MS Windows, usw. :-( Gruß Zitieren Link zu diesem Kommentar
testperson 1.713 Geschrieben 10. Januar 2018 Melden Teilen Geschrieben 10. Januar 2018 Leider sind alle Informationen so weit verstreut und man muss alles mühselig zusammen suchen. HP Server Updates, Citrix Netscaler, VMware ESX, MS Windows, usw. :-( Und genau dafür bezahlt dich der Kunde doch, damit _er_ das nicht machen muss ;) Die gebratenen Täubchen fliegen einem halt nicht immer in den Mund. Hier dürfte es aber i.d.R. genügen, die entsprechenden Support-Kanäle der Hersteller zu befragen. Die können sicher mit direkten Links zu den Patches helfen. Zitieren Link zu diesem Kommentar
junioradm 1 Geschrieben 10. Januar 2018 Melden Teilen Geschrieben 10. Januar 2018 Und genau dafür bezahlt dich der Kunde doch, damit _er_ das nicht machen muss ;) Die gebratenen Täubchen fliegen einem halt nicht immer in den Mund. Hier dürfte es aber i.d.R. genügen, die entsprechenden Support-Kanäle der Hersteller zu befragen. Die können sicher mit direkten Links zu den Patches helfen. Ja - du hast recht. Das werden die Kunden. Wir sind hier schon proaktiv heran und haben das präventive Vorgehen schon an die Kunden kommuniziert. Auch die Recherche fließt hier in den gebuchten Gesamtaufwand ein. Dafür müssen Kunden dann auch zahlen. ^^ Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 10. Januar 2018 Melden Teilen Geschrieben 10. Januar 2018 (bearbeitet) Vmware veröffentlicht u.a. Microcode-Update: ID: ESXi550-201801401-BG Impact: Important Release date: 2018-01-09 Products: embeddedEsx 5.5.0Updates esx-base VIB ID: ESXi600-201801401-BG Impact: Important Release date: 2018-01-09 Products: embeddedEsx 6.0.0Updates esx-base, vsan, and vsanhealth VIBs ID: ESXi600-201801402-BG Impact: Important Release date: 2018-01-09 Products: embeddedEsx 6.0.0Updates cpu-microcode VIB ID: ESXi650-201801401-BG Impact: Important Release date: 2018-01-09 Products: embeddedEsx 6.5.0Updates esx-base, esx-tboot, vsan, and vsanhealth VIBs ID: ESXi650-201801402-BG Impact: Important Release date: 2018-01-09 Products: embeddedEsx 6.5.0Updates cpu-microcode VIB Siehe auch https://www.vmware.com/security/advisories/VMSA-2018-0004.html Da steht auch was zum "Guest-OS". Für das VC gibt es auch Updates. bearbeitet 10. Januar 2018 von zahni Zitieren Link zu diesem Kommentar
Lian 2.441 Geschrieben 10. Januar 2018 Melden Teilen Geschrieben 10. Januar 2018 Update zu dem Thema von Terry Myerson (Microsoft) auf Heise Meltdown & Spectre unter Windows: Microsoft detailliert Patches und Leistungsschwund https://www.heise.de/newsticker/meldung/Meltdown-Spectre-unter-Windows-Microsoft-detailliert-Patches-und-Leistungsschwund-3937462.html In einem Blog-Beitrag erklärt Microsoft-Vizepräsident Terry Myerson die Updates für Windows genauer und gibt auch Schätzungen zu Leistungseinbußen ab: Die können unter Windows Server erheblich sein. 1 Zitieren Link zu diesem Kommentar
Marco31 33 Geschrieben 10. Januar 2018 Melden Teilen Geschrieben 10. Januar 2018 Habe gerade zwei unserer Dell Optiplex 7010 mit Bios A26 (09.01.2018) gepatcht, komischerweise alles rot bis auf Windows OS support for branch target injection mitigation is present: True Bei allen neueren gestern was alles grün... Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 10. Januar 2018 Melden Teilen Geschrieben 10. Januar 2018 Update zu dem Thema von Terry Myerson (Microsoft) auf Heise Meltdown & Spectre unter Windows: Microsoft detailliert Patches und Leistungsschwund https://www.heise.de/newsticker/meldung/Meltdown-Spectre-unter-Windows-Microsoft-detailliert-Patches-und-Leistungsschwund-3937462.html Lt. Dem Blog Blog nur, wenn der Schutz gegen "untrusted code" aktiviert ist. Leider schweigt sich MS darüber aus, was genau "untrusted code" ist und wie man den erkennt. Zitieren Link zu diesem Kommentar
mwiederkehr 382 Geschrieben 10. Januar 2018 Melden Teilen Geschrieben 10. Januar 2018 Lt. Dem Blog Blog nur, wenn der Schutz gegen "untrusted code" aktiviert ist. Leider schweigt sich MS darüber aus, was genau "untrusted code" ist und wie man den erkennt. Mit "untrusted code" meinen sie wohl Code, welcher ungeprüft von aussen kommt und ausgeführt wird. Also zum Beispiel Terminalserver (Benutzer lädt Programm herunter) oder Webserver (Hostingkunde lädt PHP-Anwendung hoch). Ein Fileserver fällt nicht darunter und dort muss die Mitigation nicht aktiviert werden, wenn ich die Doku richtig verstanden habe. Wohl deshalb ist die Mitigation auf Servern nach der Installation des Updates nicht automatisch aktiviert, sondern muss per Registry aktiviert werden. Microsoft nennt unter https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution drei Fälle, in welchen die Mitigation aktiviert werden sollte: - Hyper-V Hosts: damit nicht von einer VM auf den Speicher einer anderen VM zugegriffen werden kann - Terminalserver: da läuft fast immer "untrusted code", und sei es nur JavaScript im Browser - Server, auf denen "untrusted code" läuft wie Webserver Ganz allgemein halte ich die Aufregung für etwas übertrieben. Einerseits soll sich die Lücke nicht so gut ausnutzen lassen wie zuerst befürchtet (Meltdown soll nur auslesen können, was im L1-Cache ist) und andererseits sehe ich (noch) kein Szenario für flächendeckende Angriffe. Zielgerichtete Angriffe auf lohnenswerte Ziele auf jeden Fall, aber was bringt es einem Angreifer, wenn er mit viel Aufwand ein Zertifikat für kleinfirma.de aus dem Speicher extrahieren kann? Vielleicht bin ich zu ängstlich, aber ich halte die Installation von frisch dem Compiler entschlüpften Microcode-Updates auf allen Hosts für das grössere Risiko für den stabilen Betrieb als die offenen Lücken. Habe deshalb nur die Hosts gepatcht, auf denen VMs mit "untrusted code" laufen und noch nicht ganze Cluster. Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 10. Januar 2018 Melden Teilen Geschrieben 10. Januar 2018 Mit "untrusted code" meinen sie wohl Code, welcher ungeprüft von aussen kommt und ausgeführt wird. Also zum Beispiel Terminalserver (Benutzer lädt Programm herunter) oder Webserver (Hostingkunde lädt PHP-Anwendung hoch). Ein Fileserver fällt nicht darunter und dort muss die Mitigation nicht aktiviert werden, wenn ich die Doku richtig verstanden habe. Ich bin jetzt eher auf dem Trichter gewesen: Nicht gültig signiert, oder so... Zitieren Link zu diesem Kommentar
Doso 77 Geschrieben 11. Januar 2018 Autor Melden Teilen Geschrieben 11. Januar 2018 (bearbeitet) Auf Servern bzw. Geräten ohne Anti-Virus muss man diesen QualityCompat Registry Schlüssel manuell setzen. Sonst bekommt man das entsprechende Januar Cumulative Update gar nicht erst angezeigt. Das gilt sowohl für Windows Updates, WSUS als auch für SCCM. Bei uns wird im SCCM der Patch dann meist nicht mal "needed" für den Server angezeigt. Zum aktivieren der Patches braucht es dann nochmal drei Registry Einstellungen. Überraschend kompliziert das alles... :( Microsoft hat Links zu den Ankündigungen der Hardware Hersteller gesammelt: https://support.microsoft.com/en-us/help/4073757/protect-your-windows-devices-against-spectre-meltdown Teilweise verlinken die dann direkt auf BIOS Updates die man in den normalen Support Kanälen noch gar nicht sieht. bearbeitet 11. Januar 2018 von Doso Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 11. Januar 2018 Melden Teilen Geschrieben 11. Januar 2018 Für Vsphere: Ihr solltet vor den ESXI-Updates erst das VCenter Updaten. Sonst kann es passieren, dass VMotion nicht mehr funktioniert. Grund ist ein weiteres CPU-Feature, dass an die VMs durchgereicht wird: In einem EVC-Cluster wird es erst dann auf allen Hosts aktiv, wenn alle Hosts gepacht sind. Neue Hosts ohne den Patchlevel können nicht mehr hinzugefügt werden. https://kb.vmware.com/s/article/52085 Zitieren Link zu diesem Kommentar
DocData 85 Geschrieben 11. Januar 2018 Melden Teilen Geschrieben 11. Januar 2018 Es sollte grundsätzlich IMMER erst das vCenter aktualisiert werden, dann die Hosts. Zitieren Link zu diesem Kommentar
Domo 4 Geschrieben 11. Januar 2018 Melden Teilen Geschrieben 11. Januar 2018 Hi zusammen Ich habe diese Woche mal testweise das Update installiert, BIOS aktualisiert und die div. Schritte durchgeführt. Soweit alles grün im Powershell Skript. Die Performance auf einem Testclient ist nun aber absolut unterirdisch, die Anmeldung dauert nun doppelt wenn nicht dreimal so lange. Besteht die Möglichkeit dass Microsoft da nochmals nachbessert mit einem Update oder ist das nun einfach der neue Standard? Grüsse Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.