Die Foren-SW läuft ohne erkennbare Probleme. Sollte doch etwas nicht funktionieren, bitte gerne hier jederzeit melden und wir kümmern uns zeitnah darum. Danke!
Massive-Luecke-in-Intel-CPUs-erfordert-umfassende-Patche
- MarroniJohny
- Profi
- Beiträge: 619
- Registriert: 20.10.2011, 17:55
Re: Massive-Luecke-in-Intel-CPUs-erfordert-umfassende-Patche
Muah, ich habe stundenlang probiert mein X79 BIOS zu flashen. Hätte dann auch geklappt am Schluss, aber das letzte uCode für nen 3930k CPU ID 206D7 Stepping C2 war von 2013. Da habe ich den ganzen Tag verplemmert, um Dir das zu glauben. Naja, wer lesen kann, ist klar im Vorteil.
Ich hoffe schwer, das Intel da noch nachlegt bei der ganzen v2 und v3 Desktophardware. Wie handhabt Ihr das mit alter Hardware?
Naja, ich habe mir ja ein C612 Board gekauft. Da werde ich wohl eine v4 CPU dazustecken müssen, die ja dann nur noch halb verkrüppelt ist. Aber da muss ich noch ne Weile sparen. Ich hoffe bis dann ist auch der RAM wieder ein wenig günstiger. Meine v2 und v3 Hardware wäre halt bis 2020 im Einsatz geplant gewesen.
Vielleicht baue ich dann Mal ein wenig ab, das Ganze. Das nimmt mir echt den Wind aus den Segeln.
Hier steht jedoch, dass das relativ zeitnah geschiet:
https://www.hardwareluxx.de/index.php/news/hardware/prozessoren/45319-intel-kaempft-mit-schwerer-sicherheitsluecke-im-prozessor-design.html?start=14
Ich hoffe schwer, das Intel da noch nachlegt bei der ganzen v2 und v3 Desktophardware. Wie handhabt Ihr das mit alter Hardware?
Naja, ich habe mir ja ein C612 Board gekauft. Da werde ich wohl eine v4 CPU dazustecken müssen, die ja dann nur noch halb verkrüppelt ist. Aber da muss ich noch ne Weile sparen. Ich hoffe bis dann ist auch der RAM wieder ein wenig günstiger. Meine v2 und v3 Hardware wäre halt bis 2020 im Einsatz geplant gewesen.
Vielleicht baue ich dann Mal ein wenig ab, das Ganze. Das nimmt mir echt den Wind aus den Segeln.
Hier steht jedoch, dass das relativ zeitnah geschiet:
https://www.hardwareluxx.de/index.php/news/hardware/prozessoren/45319-intel-kaempft-mit-schwerer-sicherheitsluecke-im-prozessor-design.html?start=14
- MarroniJohny
- Profi
- Beiträge: 619
- Registriert: 20.10.2011, 17:55
Re: Massive-Luecke-in-Intel-CPUs-erfordert-umfassende-Patche
Ich habe hier einen Guide geschrieben, wie das mit dem BIOS patchen gehen sollte:
https://www.hardwareluxx.de/community/f11/bios-mit-ucodes-patchen-meltdown-und-spectre-1189255.html
Gruss
https://www.hardwareluxx.de/community/f11/bios-mit-ucodes-patchen-meltdown-und-spectre-1189255.html
Gruss
Re: Massive-Luecke-in-Intel-CPUs-erfordert-umfassende-Patche
Noch mal zur Klarstellung:
Für die Spectre/Meltdown-Lücken braucht man unterschiedliche Patches, die nur die bisher bekannten Varianten ausbügeln. Das bleibt alles im Fluss und wir werden im Laufe dieses Jahres noch mehr Lücken und noch mehr oder optimierte Patches sehen.
Meltdown: Nur Intel CPUs & reine OS-Updates reichen. ESXi, Windows, Linux und OSX auf dem neuesten Stand halten. Ältere ESXi-Versionen (< 5.5) bleiben betroffen.
Spectre Variante 1: Auch AMD & ARM sind betroffen - darüber hinaus auch Grafikkartentreiber und Applikationen, die Code nachladen (Browser). Jede Software, die Code lädt (alle OS, Browser, etc.) muss gepatcht werden.
Spectre Variante 2: wie Variante 1, aber hier müssen als "Patch" Prozessorbefehle im kompilierten Code durch solche ersetzt werden, die nicht anfällig sind - diese beherrschen die CPUs aber erst nach einem Microcode-Update. Eingespielte Updates für Spectre 2 sind ohne passenden Microcode wirkungslos!
Ob aktuelle OS-Updates auch den "richtigen" Microcode für den jeweils verwendeten Prozessor bereitstellen, ist alles andere als einfach zu beantworten. Hat man ein BIOS-Update mit expliziter Angabe der Prozessoren, ist man auf der sicheren Seite.
Für die Spectre/Meltdown-Lücken braucht man unterschiedliche Patches, die nur die bisher bekannten Varianten ausbügeln. Das bleibt alles im Fluss und wir werden im Laufe dieses Jahres noch mehr Lücken und noch mehr oder optimierte Patches sehen.
Meltdown: Nur Intel CPUs & reine OS-Updates reichen. ESXi, Windows, Linux und OSX auf dem neuesten Stand halten. Ältere ESXi-Versionen (< 5.5) bleiben betroffen.
Spectre Variante 1: Auch AMD & ARM sind betroffen - darüber hinaus auch Grafikkartentreiber und Applikationen, die Code nachladen (Browser). Jede Software, die Code lädt (alle OS, Browser, etc.) muss gepatcht werden.
Spectre Variante 2: wie Variante 1, aber hier müssen als "Patch" Prozessorbefehle im kompilierten Code durch solche ersetzt werden, die nicht anfällig sind - diese beherrschen die CPUs aber erst nach einem Microcode-Update. Eingespielte Updates für Spectre 2 sind ohne passenden Microcode wirkungslos!
Ob aktuelle OS-Updates auch den "richtigen" Microcode für den jeweils verwendeten Prozessor bereitstellen, ist alles andere als einfach zu beantworten. Hat man ein BIOS-Update mit expliziter Angabe der Prozessoren, ist man auf der sicheren Seite.
-
- King of the Hill
- Beiträge: 13600
- Registriert: 01.10.2008, 12:54
- Wohnort: laut USV-Log am Ende der Welt...
Re: Massive-Luecke-in-Intel-CPUs-erfordert-umfassende-Patche
Mein T110ii mit E3-1220v2 steht bei Dell auf Wartestellung. Mehr als Abwarten und Tee trinken wird mir nicht übrigbleiben.
Re: Massive-Luecke-in-Intel-CPUs-erfordert-umfassende-Patche
Habe mich schon immer gefragt wo die Hauptursache der Performance-Sprünge von früheren Chip-Sätzen zu heutigen sein sollen bei gleicher Taktung der CPU. Jetzt wissen wir, dass es eben mit einem Sicherheits-Problem erkauft wurde. Ich behaupte ganz frech, die wussten um die Gefahr. Genauso wie man es bei AMT bewusst in Kauf nimmt.
Re: Massive-Luecke-in-Intel-CPUs-erfordert-umfassende-Patche
Es gibt Probleme mit den ursprünglichen Microcode-Updates von Intel.
VMWare hat die ESXi-Patches zurückgezogen und neue herausgebracht.
VMWare hat die ESXi-Patches zurückgezogen und neue herausgebracht.
-
- King of the Hill
- Beiträge: 12997
- Registriert: 02.08.2008, 15:06
- Wohnort: Hannover/Wuerzburg
- Kontaktdaten:
Re: Massive-Luecke-in-Intel-CPUs-erfordert-umfassende-Patche
Die Probleme gibt es seit 17.1 bzw. wurden dann bekannt. Allerdings hatte Intel und auch OEMs bis Dato die Empfehlung gegeben die Patchtes trotz Absturzgefahr einzuspielen.
Diese Empfehlung ist am 22.1 zurueck genommen worden. Es wird aber auch Hoffnung gemacht. Siehe auch https://newsroom.intel.com/news/root-ca ... -partners/
Gruss
Joerg
Diese Empfehlung ist am 22.1 zurueck genommen worden. Es wird aber auch Hoffnung gemacht. Siehe auch https://newsroom.intel.com/news/root-ca ... -partners/
Gruss
Joerg
- MarroniJohny
- Profi
- Beiträge: 619
- Registriert: 20.10.2011, 17:55
Re: Massive-Luecke-in-Intel-CPUs-erfordert-umfassende-Patche
Hi
Ich habe laut
https://lists.vmware.com/pipermail/security-announce/2018/000397.html
ESXi650-201712101-SG
insalliert. Ich habe jetzt im Moment Patchstand vSphere 6.5.0 Update 1 (Build 7388607).
War die oben genannte vib jetzt ein Versionssprung, oder wurden nur uCodes, bzw. gewisse Dienste aktualisiert? Es gab ja keine ISO mit den Updates.
Wie kriege ich jetzt die uCodes weg, bzw. wie patche ich jetzt? Meine CPU ist ja noch gar nicht unterstützt. Kann ich jetzt ESXi650-201712101-SG einfach so lassen?
Ich habe laut
https://lists.vmware.com/pipermail/security-announce/2018/000397.html
ESXi650-201712101-SG
insalliert. Ich habe jetzt im Moment Patchstand vSphere 6.5.0 Update 1 (Build 7388607).
War die oben genannte vib jetzt ein Versionssprung, oder wurden nur uCodes, bzw. gewisse Dienste aktualisiert? Es gab ja keine ISO mit den Updates.
Wie kriege ich jetzt die uCodes weg, bzw. wie patche ich jetzt? Meine CPU ist ja noch gar nicht unterstützt. Kann ich jetzt ESXi650-201712101-SG einfach so lassen?
Re: Massive-Luecke-in-Intel-CPUs-erfordert-umfassende-Patche
MarroniJohny hat geschrieben:
Wie kriege ich jetzt die uCodes weg, bzw. wie patche ich jetzt? Meine CPU ist ja noch gar nicht unterstützt. Kann ich jetzt ESXi650-201712101-SG einfach so lassen?
Mit ein wenig google kann man/du eigentlich leicht rausfinden, dass erst mit 2018er Patches die µ-Code Updates dabei sind.
Was man machen muss, um diese zu revidieren, steht alles hier:
https://kb.vmware.com/s/article/52345
Wobei Laut : https://www.vmware.com/us/security/advi ... -0002.html auch in deinem Patchstand schon Anpassungen enthalten sind, die gegen die beiden Sicherheitslücken wirken. Ich gehe aber nur von Meltdown Patches aus.
Die gesammelten Werke von Vmware dazu hier beschrieben:
https://kb.vmware.com/s/article/52245
Bei deinem Sandy-E: würde ich den Patchstand so belassen und einen Tee extra zur Beruhigung trinken. Da ist aktuell viel zu viel Hektik und Panik dabei, ohne das ich damit die Problematik verharmlosen will. Nur die Patches sind aktuell solche sprichwörtlich: Flickwerk.
- MarroniJohny
- Profi
- Beiträge: 619
- Registriert: 20.10.2011, 17:55
Re: Massive-Luecke-in-Intel-CPUs-erfordert-umfassende-Patche
Supi, Danke!
Dann lass ich das mal so.
Dann lass ich das mal so.
-
- King of the Hill
- Beiträge: 13600
- Registriert: 01.10.2008, 12:54
- Wohnort: laut USV-Log am Ende der Welt...
Re: Massive-Luecke-in-Intel-CPUs-erfordert-umfassende-Patche
Ich laß mich mal überraschen, ob Intel das endlich für die neueren CPU gebacken bekommt, damit auch die älteren CPUs wie mein Ivy Bridge an die Reihe kommen. Linus hat Intel für den verschleiernden Müll, den sie in der LKML abgeliefert haben, ja gehörig den Marsch geblasen. Packt das Popcorn aus und lest bei https://lkml.org/lkml/2018/1/21/192 nach.
- MarroniJohny
- Profi
- Beiträge: 619
- Registriert: 20.10.2011, 17:55
Re: Massive-Luecke-in-Intel-CPUs-erfordert-umfassende-Patche
Ich habe Mal mein eigenes mod BIOS gebastelt.
https://www.hardwareluxx.de/community/f11/intel-microcodes-patchen-mod-bios-ucodes-bootloader-os-patch-1189255-6.html#post26212512
Um in vmware Workstation in den Genuss des Spectre 2 Schutzes zu kommen, muss der betreffende Gast ganz ausgeschaltet werden. Neustart reicht da nicht.
https://www.hardwareluxx.de/community/f11/intel-microcodes-patchen-mod-bios-ucodes-bootloader-os-patch-1189255-6.html#post26212512
Um in vmware Workstation in den Genuss des Spectre 2 Schutzes zu kommen, muss der betreffende Gast ganz ausgeschaltet werden. Neustart reicht da nicht.
-
- King of the Hill
- Beiträge: 13600
- Registriert: 01.10.2008, 12:54
- Wohnort: laut USV-Log am Ende der Welt...
Re: Massive-Luecke-in-Intel-CPUs-erfordert-umfassende-Patche
Ich würde vermuten, daß dein Patch nicht weiterhilft, weil die CPU halt nicht komplett durchgereicht wird. VMware wird daher mit neuen Release-Versionen gegensteuern müssen, aber ich lasse mich gern eines Besseren belehren.
- MarroniJohny
- Profi
- Beiträge: 619
- Registriert: 20.10.2011, 17:55
Re: Massive-Luecke-in-Intel-CPUs-erfordert-umfassende-Patche
So sieht es nach einem Kaltstart des Gasts aus:
VMware Workstation 12.5.9 build-7535481
VMware Workstation 12.5.9 build-7535481
-
- King of the Hill
- Beiträge: 12997
- Registriert: 02.08.2008, 15:06
- Wohnort: Hannover/Wuerzburg
- Kontaktdaten:
Re: Massive-Luecke-in-Intel-CPUs-erfordert-umfassende-Patche
Andersherum wird ein Schuh draus. Ja die CPU wird durchgereicht... und weil sich ja die pCPU geaendert hat muss ein Kaltstart her damit die VM CPU die 3 neuen CPU Features "sehen" kann.
Gruss
Joerg
Gruss
Joerg
-
- Experte
- Beiträge: 1006
- Registriert: 30.10.2004, 12:41
Re: Massive-Luecke-in-Intel-CPUs-erfordert-umfassende-Patche
Habe gerade in meinem Lab einen Host + VM durchgepatcht; Get-SpeculationControlSettings sagt alles grün.
VCSA 6.5U1 über VAMI auf neuesten Stand gepatcht
Im Cluster EVC aktiviert
ESXi BIOS aktualisiert (HPE hat doch tatsächlich einen BIOS Update für DL380G7 veröffentlicht)
ESXi 6.0U3 mit Update Manager gepatcht (VMware + HPE alles was es gibt)
VM:
W2012R2
HW Version 11
AV Compatibility Registry Key gesetzt (sonst werden die erforderlichen Windowsupdates nicht installiert)
Windowsupdate solange bis Ruhe
Spectre Fixes etc enabled (https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution)
VM aus + ein
WMF 5.1
Install-Module SpeculationControl
VCSA 6.5U1 über VAMI auf neuesten Stand gepatcht
Im Cluster EVC aktiviert
ESXi BIOS aktualisiert (HPE hat doch tatsächlich einen BIOS Update für DL380G7 veröffentlicht)
ESXi 6.0U3 mit Update Manager gepatcht (VMware + HPE alles was es gibt)
VM:
W2012R2
HW Version 11
AV Compatibility Registry Key gesetzt (sonst werden die erforderlichen Windowsupdates nicht installiert)
Code: Alles auswählen
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\QualityCompat]
"cadca5fe-87d3-4b96-b7fb-a231484277cc"=dword:00000000
Windowsupdate solange bis Ruhe
Spectre Fixes etc enabled (https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution)
Code: Alles auswählen
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f
VM aus + ein
WMF 5.1
Install-Module SpeculationControl
Code: Alles auswählen
PS C:\Windows\system32> Get-SpeculationControlSettings
Speculation control settings for CVE-2017-5715 [branch target injection]
For more information about the output below, please refer to https://support.microsoft.com/en-in/help/4074629
Hardware support for branch target injection mitigation is present: True
Windows OS support for branch target injection mitigation is present: True
Windows OS support for branch target injection mitigation is enabled: True
Speculation control settings for CVE-2017-5754 [rogue data cache load]
Hardware requires kernel VA shadowing: True
Windows OS support for kernel VA shadow is present: True
Windows OS support for kernel VA shadow is enabled: True
Windows OS support for PCID performance optimization is enabled: False [not required for security]
BTIHardwarePresent : True
BTIWindowsSupportPresent : True
BTIWindowsSupportEnabled : True
BTIDisabledBySystemPolicy : False
BTIDisabledByNoHardwareSupport : False
KVAShadowRequired : True
KVAShadowWindowsSupportPresent : True
KVAShadowWindowsSupportEnabled : True
KVAShadowPcidEnabled : False
-
- King of the Hill
- Beiträge: 12997
- Registriert: 02.08.2008, 15:06
- Wohnort: Hannover/Wuerzburg
- Kontaktdaten:
Re: Massive-Luecke-in-Intel-CPUs-erfordert-umfassende-Patche
IIRC ist der letzte Key nur fuer den Hyper-V.
Gruss
Joerg
Gruss
Joerg
- MarroniJohny
- Profi
- Beiträge: 619
- Registriert: 20.10.2011, 17:55
Re: Massive-Luecke-in-Intel-CPUs-erfordert-umfassende-Patche
Hi
Habe jetzt neben meinem Desktop (mit VMware Workstation 12.5.9 build-7535481) auch für meinen ESXi (vSphere 6.5.0 Update 1 - Build 7388607) ein Mod BIOS gebastelt. In den Gästen wird überall die aktuelle uCU Version angezeigt.
Nun habe ich das Problem, dass laut Inspectre.exe in den Windows 7 und 8.1 Gästen der Spectre Schutz nicht aktiv scheint. In den Windows 7 Gästen nutze ich Microsoft Security Essentials, in den 8.1 Gästen den Windows Defender. Die OS sind komplett gepacht.
Am Desktop habe ich einen Windows 10 Gast, der ist laut Get-SpeculationControlSettings sicher. Siehe auch den Post oben, von mir.
Fehlen da noch Windows Updates?
Habe jetzt neben meinem Desktop (mit VMware Workstation 12.5.9 build-7535481) auch für meinen ESXi (vSphere 6.5.0 Update 1 - Build 7388607) ein Mod BIOS gebastelt. In den Gästen wird überall die aktuelle uCU Version angezeigt.
Nun habe ich das Problem, dass laut Inspectre.exe in den Windows 7 und 8.1 Gästen der Spectre Schutz nicht aktiv scheint. In den Windows 7 Gästen nutze ich Microsoft Security Essentials, in den 8.1 Gästen den Windows Defender. Die OS sind komplett gepacht.
Am Desktop habe ich einen Windows 10 Gast, der ist laut Get-SpeculationControlSettings sicher. Siehe auch den Post oben, von mir.
Fehlen da noch Windows Updates?
-
- King of the Hill
- Beiträge: 13600
- Registriert: 01.10.2008, 12:54
- Wohnort: laut USV-Log am Ende der Welt...
Re: Massive-Luecke-in-Intel-CPUs-erfordert-umfassende-Patche
Vermutlich ja. Schau doch mal nach, ob in beiden OS der "AV Compatibility Registry Key" gesetzt wurde. Eventuell ist Inspectre auch etwas veraltet und "Get-SpeculationControlSettings" liefert dir aktuellere Werte.
-
- King of the Hill
- Beiträge: 13600
- Registriert: 01.10.2008, 12:54
- Wohnort: laut USV-Log am Ende der Welt...
Re: Massive-Luecke-in-Intel-CPUs-erfordert-umfassende-Patche
Sieht gut aus bei mir:
C:\>SpecuCheck.exe
SpecuCheck v1.0.3 -- Copyright(c) 2018 Alex Ionescu
https://ionescu007.github.io/SpecuCheck/ -- @aionescu
-------------------------------------------------------
Mitigations for CVE-2017-5754 [rogue data cache load]
-------------------------------------------------------
[-] Kernel VA Shadowing Enabled: yes
+---> with User Pages Marked Global: yes
+---> with PCID Support: no
+---> with INVPCID Support: no
Mitigations for CVE-2017-5715 [branch target injection]
-------------------------------------------------------
[-] Branch Prediction Mitigations Enabled: no
+---> Disabled due to System Policy: no
+---> Disabled due to No Hardware Support: yes
[-] CPU Supports Speculation Control MSR: no
+---> IBRS Speculation Control MSR Enabled: no
[-] CPU Supports Speculation Command MSR: no
+---> STIBP Speculation Command MSR Enabled: no
~ # esxcli network firewall ruleset set -e true -r httpClient
~ # esxcli software profile update -p ESXi-5.5.0-20180304001-standard \
> -d https://hostupdate.vmware.com/software/ ... -index.xml
Update Result
Message: The update completed successfully, but the system needs to be rebooted for the changes to be effective.
Reboot Required: true
VIBs Installed: VMware_bootbank_cpu-microcode_5.5.0-3.114.7967571, VMware_bootbank_esx-base_5.5.0-3.114.7967571, VMware_bootbank_esx-xserver_5.5.0-3.103.6480267
VIBs Removed: VMware_bootbank_esx-base_5.5.0-3.101.5230635, VMware_bootbank_esx-xserver_5.5.0-0.0.1331820
VIBs Skipped: VMware_bootbank_ata-pata-amd_0.3.10-3vmw.550.0.0.1331820, VMware_bootbank_ata-pata-atiixp_0.4.6-4vmw.550.0.0.1331820, VMware_bootbank_ata-pata-cmd64x_0.2.5-3vmw.550.0.0.1331820, VMware_bootbank_ata-pata-hpt3x2n_0.3.4-3vmw.550.0.0.1331820, VMware_bootbank_ata-pata-pdc2027x_1.0-3vmw.550.0.0.1331820, VMware_bootbank_ata-pata-serverworks_0.4.3-3vmw.550.0.0.1331820, VMware_bootbank_ata-pata-sil680_0.4.8-3vmw.550.0.0.1331820, VMware_bootbank_ata-pata-via_0.3.3-2vmw.550.0.0.1331820, VMware_bootbank_block-cciss_3.6.14-10vmw.550.0.0.1331820, VMware_bootbank_ehci-ehci-hcd_1.0-3vmw.550.3.95.4345813, VMware_bootbank_elxnet_10.2.309.6v-1vmw.550.3.68.3029944, VMware_bootbank_esx-dvfilter-generic-fastpath_5.5.0-0.0.1331820, VMware_bootbank_esx-tboot_5.5.0-3.100.4722766, VMware_bootbank_esx-ui_1.21.0-5752109, VMware_bootbank_esx-xlibs_5.5.0-0.0.1331820, VMware_bootbank_ima-qla4xxx_2.01.31-1vmw.550.0.0.1331820, VMware_bootbank_ipmi-ipmi-devintf_39.1-4vmw.550.0.0.1331820, VMware_bootbank_ipmi-ipmi-msghandler_39.1-4vmw.550.0.0.1331820, VMware_bootbank_ipmi-ipmi-si-drv_39.1-4vmw.550.0.0.1331820, VMware_bootbank_lpfc_10.0.100.1-1vmw.550.0.0.1331820, VMware_bootbank_lsi-mr3_0.255.03.01-2vmw.550.3.68.3029944, VMware_bootbank_lsi-msgpt3_00.255.03.03-2vmw.550.3.78.3248547, VMware_bootbank_misc-cnic-register_1.72.1.v50.1i-1vmw.550.0.0.1331820, VMware_bootbank_misc-drivers_5.5.0-3.95.4345813, VMware_bootbank_mtip32xx-native_3.3.4-1vmw.550.1.15.1623387, VMware_bootbank_net-be2net_4.6.100.0v-1vmw.550.0.0.1331820, VMware_bootbank_net-bnx2_2.2.3d.v55.2-1vmw.550.0.0.1331820, VMware_bootbank_net-bnx2x_1.72.56.v55.2-1vmw.550.0.0.1331820, VMware_bootbank_net-cnic_1.72.52.v55.1-1vmw.550.0.0.1331820, VMware_bootbank_net-e1000_8.0.3.1-3vmw.550.0.0.1331820, VMware_bootbank_net-e1000e_3.2.2.1-2vmw.550.3.78.3248547, VMware_bootbank_net-enic_1.4.2.15a-1vmw.550.0.0.1331820, VMware_bootbank_net-forcedeth_0.61-2vmw.550.0.0.1331820, VMware_bootbank_net-igb_5.0.5.1.1-1vmw.550.2.54.2403361, VMware_bootbank_net-ixgbe_3.7.13.7.14iov-12vmw.550.2.62.2718055, VMware_bootbank_net-mlx4-core_1.9.7.0-1vmw.550.0.0.1331820, VMware_bootbank_net-mlx4-en_1.9.7.0-1vmw.550.0.0.1331820, VMware_bootbank_net-nx-nic_5.0.621-1vmw.550.0.0.1331820, VMware_bootbank_net-tg3_3.123c.v55.5-1vmw.550.2.33.2068190, VMware_bootbank_net-vmxnet3_1.1.3.0-3vmw.550.2.39.2143827, VMware_bootbank_ohci-usb-ohci_1.0-3vmw.550.0.0.1331820, VMware_bootbank_qlnativefc_1.0.12.0-1vmw.550.0.0.1331820, VMware_bootbank_rste_2.0.2.0088-4vmw.550.1.15.1623387, VMware_bootbank_sata-ahci_3.0-22vmw.550.3.89.4179633, VMware_bootbank_sata-ata-piix_2.12-10vmw.550.2.33.2068190, VMware_bootbank_sata-sata-nv_3.5-4vmw.550.0.0.1331820, VMware_bootbank_sata-sata-promise_2.12-3vmw.550.0.0.1331820, VMware_bootbank_sata-sata-sil24_1.1-1vmw.550.0.0.1331820, VMware_bootbank_sata-sata-sil_2.3-4vmw.550.0.0.1331820, VMware_bootbank_sata-sata-svw_2.3-3vmw.550.0.0.1331820, VMware_bootbank_scsi-aacraid_1.1.5.1-9vmw.550.0.0.1331820, VMware_bootbank_scsi-adp94xx_1.0.8.12-6vmw.550.0.0.1331820, VMware_bootbank_scsi-aic79xx_3.1-5vmw.550.0.0.1331820, VMware_bootbank_scsi-bnx2fc_1.72.53.v55.1-1vmw.550.0.0.1331820, VMware_bootbank_scsi-bnx2i_2.72.11.v55.4-1vmw.550.0.0.1331820, VMware_bootbank_scsi-fnic_1.5.0.4-1vmw.550.0.0.1331820, VMware_bootbank_scsi-hpsa_5.5.0-44vmw.550.0.0.1331820, VMware_bootbank_scsi-ips_7.12.05-4vmw.550.0.0.1331820, VMware_bootbank_scsi-lpfc820_8.2.3.1-129vmw.550.0.0.1331820, VMware_bootbank_scsi-megaraid-mbox_2.20.5.1-6vmw.550.0.0.1331820, VMware_bootbank_scsi-megaraid-sas_5.34-9vmw.550.3.68.3029944, VMware_bootbank_scsi-megaraid2_2.00.4-9vmw.550.0.0.1331820, VMware_bootbank_scsi-mpt2sas_14.00.00.00-3vmw.550.3.68.3029944, VMware_bootbank_scsi-mptsas_4.23.01.00-9vmw.550.3.68.3029944, VMware_bootbank_scsi-mptspi_4.23.01.00-9vmw.550.3.68.3029944, VMware_bootbank_scsi-qla2xxx_902.k1.1-12vmw.550.3.68.3029944, VMware_bootbank_scsi-qla4xxx_5.01.03.2-6vmw.550.0.0.1331820, VMware_bootbank_uhci-usb-uhci_1.0-3vmw.550.0.0.1331820, VMware_bootbank_xhci-xhci_1.0-3vmw.550.3.95.4345813, VMware_locker_tools-light_5.5.0-3.92.4345810
~ # esxcli network firewall ruleset set -e false -r httpClient
~ # reboot
C:\>SpecuCheck.exe
SpecuCheck v1.0.3 -- Copyright(c) 2018 Alex Ionescu
https://ionescu007.github.io/SpecuCheck/ -- @aionescu
-------------------------------------------------------
Mitigations for CVE-2017-5754 [rogue data cache load]
-------------------------------------------------------
[-] Kernel VA Shadowing Enabled: yes
├───> with User Pages Marked Global: yes
├───> with PCID Support: no
└───> with INVPCID Support: no
Mitigations for CVE-2017-5715 [branch target injection]
-------------------------------------------------------
[-] Branch Prediction Mitigations Enabled: yes
├───> Disabled due to System Policy: no
└───> Disabled due to No Hardware Support: no
[-] CPU Supports Speculation Control MSR: yes
└───> IBRS Speculation Control MSR Enabled: yes
[-] CPU Supports Speculation Command MSR: yes
└───> STIBP Speculation Command MSR Enabled: yes
-
- King of the Hill
- Beiträge: 13600
- Registriert: 01.10.2008, 12:54
- Wohnort: laut USV-Log am Ende der Welt...
Re: Massive-Luecke-in-Intel-CPUs-erfordert-umfassende-Patche
Intel hat unter Update der "Microcode Revision Guidance" (PDF-Datei) seine CPU-Liste aktualisiert. Dabei gilt, daß alles älter als Skylake weiterhin ein Bios-Update direkt durch den MB-Hersteller benötigt und die wird es wohl nur in Einzelfällen geben. Intel selbst hat zudem die Arbeiten auch an für meist länger verfügbare Server-CPUs gestoppt. Zudem sind einige Einträge in der Liste auch etwas unverständlich, weil dort zwar die Server- aber nicht auch die Desktop-Version mit einem Patch bedacht werden.
Im Endeffekt bedeutet das, daß alle CPUs älter als Skylake als unsicher gelten und man von deren Weiterverwendung absehen sollte, wenn das System nicht völlig autark von der Aussenwelt arbeitet bzw keinen Code von Aussen bearbeitet und das dürfte nur auf einen verschwindend kleinen Teil zutreffen. Nachdem Freenet bereits mit seinem deutschen Alleingang und seiner Entscheidung bei DVB-T2 entgegen dem üblichen H264 auf das zugegeben fortschrittlichere H265 zu setzen, viele nicht nachrüstbare, aber ansonsten voll funktionsfähige Geräte für Schrott erklärte, wird also auch Intel den weltweiten Müllberg noch deutlicher Anschwellen lassen. Rechner werden ja meist länger genutzt und erlebten dann häufig ein weiteres Leben im Gebrauchtmarkt. Das dürfte nun auch Geschichte sein.
Im Endeffekt bedeutet das, daß alle CPUs älter als Skylake als unsicher gelten und man von deren Weiterverwendung absehen sollte, wenn das System nicht völlig autark von der Aussenwelt arbeitet bzw keinen Code von Aussen bearbeitet und das dürfte nur auf einen verschwindend kleinen Teil zutreffen. Nachdem Freenet bereits mit seinem deutschen Alleingang und seiner Entscheidung bei DVB-T2 entgegen dem üblichen H264 auf das zugegeben fortschrittlichere H265 zu setzen, viele nicht nachrüstbare, aber ansonsten voll funktionsfähige Geräte für Schrott erklärte, wird also auch Intel den weltweiten Müllberg noch deutlicher Anschwellen lassen. Rechner werden ja meist länger genutzt und erlebten dann häufig ein weiteres Leben im Gebrauchtmarkt. Das dürfte nun auch Geschichte sein.
-
- King of the Hill
- Beiträge: 12997
- Registriert: 02.08.2008, 15:06
- Wohnort: Hannover/Wuerzburg
- Kontaktdaten:
Re: Massive-Luecke-in-Intel-CPUs-erfordert-umfassende-Patche
Aehhh.......nunja.
VMware liefert Micropatches mit Stand 20.3 aus. Da ich aber nicht nachlesen wollte welche CPU da mit drin ist und wir eh regelmaessig FW Updates machen hab ich die BIOS Patches eingespielt. DellEMC hat auch am 20.3 fuer viele alte Systeme Updates heraus gebracht. In unseren gemischten Cluster ist von Westmere bis Sklylake gepatcht (11 - 14Gen. (noch nicht alle Modelle)). Das ein der andere GuestOS nun auch schon. Das Specucheck gibts mittlerweile in 1.0.5. Da ich aber eine Scriptversion brauche verwende ich das Microsoft Powershell Script welche ich angepasst habe.
Gruss
Joerg
VMware liefert Micropatches mit Stand 20.3 aus. Da ich aber nicht nachlesen wollte welche CPU da mit drin ist und wir eh regelmaessig FW Updates machen hab ich die BIOS Patches eingespielt. DellEMC hat auch am 20.3 fuer viele alte Systeme Updates heraus gebracht. In unseren gemischten Cluster ist von Westmere bis Sklylake gepatcht (11 - 14Gen. (noch nicht alle Modelle)). Das ein der andere GuestOS nun auch schon. Das Specucheck gibts mittlerweile in 1.0.5. Da ich aber eine Scriptversion brauche verwende ich das Microsoft Powershell Script welche ich angepasst habe.
Gruss
Joerg
- MarroniJohny
- Profi
- Beiträge: 619
- Registriert: 20.10.2011, 17:55
Re: Massive-Luecke-in-Intel-CPUs-erfordert-umfassende-Patche
Da gibts wohl wieder neue uCU von Intel. Meine LGA 2011 Sandys sind da schon dabei, von 713 auf 714.
Aber keine Ahnung, ob da Fehler von dem ersten Update ausgebügelt worden sind, oder ob die neuen uCU für die weiteren aufgetauchten Lücken sind.
https://www.intel.com/content/dam/www/p ... idance.pdf
Aber keine Ahnung, ob da Fehler von dem ersten Update ausgebügelt worden sind, oder ob die neuen uCU für die weiteren aufgetauchten Lücken sind.
https://www.intel.com/content/dam/www/p ... idance.pdf
Re: Massive-Luecke-in-Intel-CPUs-erfordert-umfassende-Patche
Spectre-NG: "Foreshadow" / L1 Terminal Fault
https://www.heise.de/security/meldung/S ... 37209.html
https://kb.vmware.com/s/article/55636
https://kb.vmware.com/s/article/55806
https://www.vmware.com/security/advisor ... -0020.html
https://kb.vmware.com/s/article/55767
Na dann viel Spass beim Patchen. Da bin ich doch froh, dass ich aktuell aus dem Thema raus bin.
Theoretisch müsste es doch da eine kostenlose Hardware-FLAT von Intel geben als "Kompensation". Quasi wie bei Monsanto und Roundup. Wer jahrelang Intel eingesetzt hat, bekommt jetzt Schadenersatz für die Risiken, denen man mit Intel HW ausgesetzt worden ist.
https://www.heise.de/security/meldung/S ... 37209.html
https://kb.vmware.com/s/article/55636
https://kb.vmware.com/s/article/55806
https://www.vmware.com/security/advisor ... -0020.html
https://kb.vmware.com/s/article/55767
Note: It may be necessary to acquire additional hardware, or rebalance existing workloads, before enablement of the ESXi Side-Channel-Aware Scheduler. Organizations can choose not to enable the ESXi Side-Channel-Aware Scheduler after performing a risk assessment and accepting the risk posed by the Concurrent-context attack vector. This is NOT RECOMMENDED and VMware cannot make this decision on behalf of an organization
Na dann viel Spass beim Patchen. Da bin ich doch froh, dass ich aktuell aus dem Thema raus bin.
Theoretisch müsste es doch da eine kostenlose Hardware-FLAT von Intel geben als "Kompensation". Quasi wie bei Monsanto und Roundup. Wer jahrelang Intel eingesetzt hat, bekommt jetzt Schadenersatz für die Risiken, denen man mit Intel HW ausgesetzt worden ist.
Zurück zu „Allgemeines, Feedback & Smalltalk“
Wer ist online?
Mitglieder in diesem Forum: 0 Mitglieder und 4 Gäste