Meltdown & Spectre CPU Bugs - Notfallpatches

[Marco31 33]

Bin mal gespannt ob von HP bei den Server noch mehr kommt; bisher nur FW-Updates für G9 und G10, wir haben hier noch G8 stehen die noch im Support sind und eigentlich noch ein bisschen laufen sollten..

[Revan 14]

Bei mir wird folgendes angezeigt obwohl ich sowohl Patch installiert habe als auch die Reg-Einträge gesetzt und die VMs heruntergefahren habe:

Speculation control settings for CVE-2017-5715 [branch target injection]

Hardware support for branch target injection mitigation is present: False
Windows OS support for branch target injection mitigation is present: True
Windows OS support for branch target injection mitigation is enabled: False
Windows OS support for branch target injection mitigation is disabled by system policy: False
Windows OS support for branch target injection mitigation is disabled by absence of hardware support: True

Speculation control settings for CVE-2017-5754 [rogue data cache load]

Hardware requires kernel VA shadowing: True
Windows OS support for kernel VA shadow is present: True
Windows OS support for kernel VA shadow is enabled: True
Windows OS support for PCID performance optimization is enabled: True [not required for security]

Es fehlt mir noch das UEFI Update für die Hosts.

 

Aber Windows OS support for branch target injection mitigation is enabled sollte doch eigentlich mit den Reg-Einträgen aktiviert werden oder?

 

 

Danach sind die Einträge grün

 

So, habe die UEFI aktualisiert. Leider bleibt das Ergebnis gleich.

[junioradm 1]

Hallo,

 

vielen Dank für euer Feedback. Besonderen Dank an NilsK, Norbert und alle anderen. Ich habe die Argumentation von NilsK übernommen und dem Kunden dann gegenüber auch den Mehraufwand in einem zusammengefassten Schreiben übermittelt. Leider sind alle Informationen so weit verstreut und man muss alles mühselig zusammen suchen. HP Server Updates, Citrix Netscaler, VMware ESX, MS Windows, usw. :-(

 

Gruß

[testperson 1.677]

Leider sind alle Informationen so weit verstreut und man muss alles mühselig zusammen suchen. HP Server Updates, Citrix Netscaler, VMware ESX, MS Windows, usw. :-(

 

Und genau dafür bezahlt dich der Kunde doch, damit _er_ das nicht machen muss ;)

Die gebratenen Täubchen fliegen einem halt nicht immer in den Mund. Hier dürfte es aber i.d.R. genügen, die entsprechenden Support-Kanäle der Hersteller zu befragen. Die können sicher mit direkten Links zu den Patches helfen.

[junioradm 1]

Und genau dafür bezahlt dich der Kunde doch, damit _er_ das nicht machen muss ;)

Die gebratenen Täubchen fliegen einem halt nicht immer in den Mund. Hier dürfte es aber i.d.R. genügen, die entsprechenden Support-Kanäle der Hersteller zu befragen. Die können sicher mit direkten Links zu den Patches helfen.

Ja - du hast recht. Das werden die Kunden. Wir sind hier schon proaktiv heran und haben das präventive Vorgehen schon an die Kunden kommuniziert. Auch die Recherche fließt hier in den gebuchten Gesamtaufwand ein. Dafür müssen Kunden dann auch zahlen. ^^

[zahni 554]

Vmware veröffentlicht u.a. Microcode-Update:

 

 

ID: ESXi550-201801401-BG  Impact: Important  Release date: 2018-01-09  Products: embeddedEsx 5.5.0
Updates esx-base VIB

ID: ESXi600-201801401-BG  Impact: Important  Release date: 2018-01-09  Products: embeddedEsx 6.0.0
Updates esx-base, vsan, and vsanhealth VIBs

ID: ESXi600-201801402-BG  Impact: Important  Release date: 2018-01-09  Products: embeddedEsx 6.0.0
Updates cpu-microcode VIB

ID: ESXi650-201801401-BG  Impact: Important  Release date: 2018-01-09  Products: embeddedEsx 6.5.0
Updates esx-base, esx-tboot, vsan, and vsanhealth VIBs

ID: ESXi650-201801402-BG  Impact: Important  Release date: 2018-01-09  Products: embeddedEsx 6.5.0
Updates cpu-microcode VIB

 

Siehe auch

 

https://www.vmware.com/security/advisories/VMSA-2018-0004.html

 

Da steht auch was  zum "Guest-OS". 

 

Für das VC gibt es auch Updates.

bearbeitet 10. Januar 2018 von zahni

[Lian 2.421]

Update zu dem Thema von Terry Myerson (Microsoft) auf Heise

 

Meltdown & Spectre unter Windows: Microsoft detailliert Patches und Leistungsschwund

https://www.heise.de/newsticker/meldung/Meltdown-Spectre-unter-Windows-Microsoft-detailliert-Patches-und-Leistungsschwund-3937462.html

 

In einem Blog-Beitrag erklärt Microsoft-Vizepräsident Terry Myerson die Updates für Windows genauer und gibt auch Schätzungen zu Leistungseinbußen ab: Die können unter Windows Server erheblich sein.

[Marco31 33]

Habe gerade zwei unserer Dell Optiplex 7010 mit Bios A26 (09.01.2018) gepatcht, komischerweise alles rot bis auf

 

Windows OS support for branch target injection mitigation is present: True

 

Bei allen neueren gestern was alles grün...

[zahni 554]

Update zu dem Thema von Terry Myerson (Microsoft) auf Heise

 

Meltdown & Spectre unter Windows: Microsoft detailliert Patches und Leistungsschwund

https://www.heise.de/newsticker/meldung/Meltdown-Spectre-unter-Windows-Microsoft-detailliert-Patches-und-Leistungsschwund-3937462.html

 

Lt. Dem Blog Blog  nur, wenn der  Schutz gegen "untrusted code" aktiviert ist. Leider schweigt sich MS darüber aus, was genau "untrusted code"  ist und wie man den erkennt.

[mwiederkehr 373]

Lt. Dem Blog Blog  nur, wenn der  Schutz gegen "untrusted code" aktiviert ist. Leider schweigt sich MS darüber aus, was genau "untrusted code"  ist und wie man den erkennt.

Mit "untrusted code" meinen sie wohl Code, welcher ungeprüft von aussen kommt und ausgeführt wird. Also zum Beispiel Terminalserver (Benutzer lädt Programm herunter) oder Webserver (Hostingkunde lädt PHP-Anwendung hoch). Ein Fileserver fällt nicht darunter und dort muss die Mitigation nicht aktiviert werden, wenn ich die Doku richtig verstanden habe.

 

Wohl deshalb ist die Mitigation auf Servern nach der Installation des Updates nicht automatisch aktiviert, sondern muss per Registry aktiviert werden.

 

Microsoft nennt unter https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution drei Fälle, in welchen die Mitigation aktiviert werden sollte:

- Hyper-V Hosts: damit nicht von einer VM auf den Speicher einer anderen VM zugegriffen werden kann

- Terminalserver: da läuft fast immer "untrusted code", und sei es nur JavaScript im Browser

- Server, auf denen "untrusted code" läuft wie Webserver

 

Ganz allgemein halte ich die Aufregung für etwas übertrieben. Einerseits soll sich die Lücke nicht so gut ausnutzen lassen wie zuerst befürchtet (Meltdown soll nur auslesen können, was im L1-Cache ist) und andererseits sehe ich (noch) kein Szenario für flächendeckende Angriffe. Zielgerichtete Angriffe auf lohnenswerte Ziele auf jeden Fall, aber was bringt es einem Angreifer, wenn er mit viel Aufwand ein Zertifikat für kleinfirma.de aus dem Speicher extrahieren kann?

 

Vielleicht bin ich zu ängstlich, aber ich halte die Installation von frisch dem Compiler entschlüpften Microcode-Updates auf allen Hosts für das grössere Risiko für den stabilen Betrieb als die offenen Lücken. Habe deshalb nur die Hosts gepatcht, auf denen VMs mit "untrusted code" laufen und noch nicht ganze Cluster.

[zahni 554]

Mit "untrusted code" meinen sie wohl Code, welcher ungeprüft von aussen kommt und ausgeführt wird. Also zum Beispiel Terminalserver (Benutzer lädt Programm herunter) oder Webserver (Hostingkunde lädt PHP-Anwendung hoch). Ein Fileserver fällt nicht darunter und dort muss die Mitigation nicht aktiviert werden, wenn ich die Doku richtig verstanden habe.

 

 

Ich bin jetzt eher  auf dem Trichter gewesen: Nicht gültig signiert, oder so...

[Doso 77]

Auf Servern bzw. Geräten ohne Anti-Virus muss man diesen QualityCompat Registry Schlüssel manuell setzen. Sonst bekommt man das entsprechende Januar Cumulative Update gar nicht erst angezeigt. Das gilt sowohl für Windows Updates, WSUS als auch für SCCM. Bei uns wird im SCCM der Patch dann meist nicht mal "needed" für den Server angezeigt.

 

Zum aktivieren der Patches braucht es dann nochmal drei Registry Einstellungen. Überraschend kompliziert das alles... :(

 

Microsoft hat Links zu den Ankündigungen der Hardware Hersteller gesammelt: https://support.microsoft.com/en-us/help/4073757/protect-your-windows-devices-against-spectre-meltdown

 

Teilweise verlinken die dann direkt auf BIOS Updates die man in den normalen Support Kanälen noch gar nicht sieht.

bearbeitet 11. Januar 2018 von Doso

[zahni 554]

Für Vsphere:

 

Ihr solltet vor den ESXI-Updates erst das VCenter Updaten.

Sonst kann es passieren, dass VMotion nicht mehr funktioniert. Grund ist ein weiteres CPU-Feature, dass an die VMs durchgereicht wird:

In einem EVC-Cluster wird es erst dann auf allen Hosts aktiv, wenn alle Hosts gepacht sind. Neue Hosts ohne den Patchlevel können nicht mehr hinzugefügt werden.

 

https://kb.vmware.com/s/article/52085

[DocData 85]

Es sollte grundsätzlich IMMER erst das vCenter aktualisiert werden, dann die Hosts.

[Domo 4]

Hi zusammen

 

Ich habe diese Woche mal testweise das Update installiert, BIOS aktualisiert und die div. Schritte durchgeführt. Soweit alles grün im Powershell Skript. Die Performance auf einem Testclient ist nun aber absolut unterirdisch, die Anmeldung dauert nun doppelt wenn nicht dreimal so lange. Besteht die Möglichkeit dass Microsoft da nochmals nachbessert mit einem Update oder ist das nun einfach der neue Standard?

 

Grüsse