Вопрос по новым уязвимостям Meltdown и Spectre

Ответить
Аватара пользователя
buro
Постоялец
Сообщения: 63
Зарегистрирован: 02 авг 2016 12:34
Откуда: Киев

Вопрос по новым уязвимостям Meltdown и Spectre

Сообщение buro »

Доброго дня.

Достаточно ли будет поставить обновления на хост или же нужно так же ставить патчи и на гостевые ОС?

Спасибо.
Аватара пользователя
Алексей Максимов
Администратор сайта
Сообщения: 572
Зарегистрирован: 14 сен 2012 06:50
Откуда: г.Сыктывкар
Контактная информация:

Re: Вопрос по новым уязвимостям Meltdown и Spectre

Сообщение Алексей Максимов »

Здравствуйте, buro.

Установкой обновлений на хосте Вы предотвращаете возможность несанкционированного доступа к данным для процессов внутри самого хоста, в том числе и процессов виртуальных машин. Установкой обновлений на виртуальной машине Вы предотвращаете возможность несанкционированного доступа к данным для процессов внутри виртуальной машины. Поэтому обновления нужно ставить везде.
Salavat
Любопытный
Сообщения: 14
Зарегистрирован: 17 июн 2014 19:02

Re: Вопрос по новым уязвимостям Meltdown и Spectre

Сообщение Salavat »

Доброго времени суток, Алексей.

Заметили ли сколь-нибудь заметное уменьшение производительности на серверах hyper-v 2012/R2/2016 после применения соответствующих патчей?
Аватара пользователя
Алексей Максимов
Администратор сайта
Сообщения: 572
Зарегистрирован: 14 сен 2012 06:50
Откуда: г.Сыктывкар
Контактная информация:

Re: Вопрос по новым уязвимостям Meltdown и Spectre

Сообщение Алексей Максимов »

Здравствуйте, Salavat.

Пока ещё не имел радости установки этих обновлений.
Аватара пользователя
leu21
Постоялец
Сообщения: 62
Зарегистрирован: 04 окт 2013 09:23
Откуда: Russia, Saint-Petersburg
Контактная информация:

Re: Вопрос по новым уязвимостям Meltdown и Spectre

Сообщение leu21 »

buro писал(а): 11 янв 2018 15:23 Доброго дня.

Достаточно ли будет поставить обновления на хост или же нужно так же ставить патчи и на гостевые ОС?

Спасибо.
Кроме установки обновлений нужно проверить ключи реестра. При необходимости внести изменения.

Для упрощения по ссылке ниже есть Powershell скрипт для проверки всех требований по защите от уязвимостей.

Understanding the performance impact of Spectre and Meltdown mitigations on Windows Systems
https://cloudblogs.microsoft.com/micros ... s-systems/

-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

Несколько ссылок по новым уязвимостям начала 2018 года: #Spectre (2017-5753), Spectre ( 2017-5715) и #Meltdown ( 2017-5754), которые затрагивают все устройства на базе #Intel и #AMD.

На русском:
Microsoft выпустила обновления #Windows, исправляющие критические уязвимости в процессорах
https://www.comss.ru/page.php?id=4745

Как защититься от атак Meltdown и Spectre. Патчи и обновления
https://www.comss.ru/page.php?id=4744

#Google раскрыла подробности о новых уязвимостях Meltdown и Spectre процессоров Intel, AMD и #ARM
https://www.comss.ru/page.php?id=4743

На английском:
Understanding the performance impact of Spectre and Meltdown mitigations on Windows Systems
https://cloudblogs.microsoft.com/micros ... s-systems/

https://doublepulsar.com/important-info ... 52ba0292ec

Guidance for IT Pros to protect against speculative execution side-channel vulnerabilities

1) Windows Client
https://support.microsoft.com/en-us/hel ... ilities-in

2) Windows Server
https://support.microsoft.com/en-us/hel ... -execution

3) Azure
https://docs.microsoft.com/en-us/azure/ ... itigate-se
--------------------------------------------
Have a nice day! :)
https://blog.it-kb.ru/eugene-leitan/
Microsoft: Monitoring, Virtualization, Backup
Аватара пользователя
leu21
Постоялец
Сообщения: 62
Зарегистрирован: 04 окт 2013 09:23
Откуда: Russia, Saint-Petersburg
Контактная информация:

Re: Вопрос по новым уязвимостям Meltdown и Spectre

Сообщение leu21 »

Salavat писал(а): 11 янв 2018 21:30 Доброго времени суток, Алексей.

Заметили ли сколь-нибудь заметное уменьшение производительности на серверах hyper-v 2012/R2/2016 после применения соответствующих патчей?
Некоторые мои знакомые, установившие данные обновления, заметили уменьшение производительности на серверах на 10-30%.

В дополнение привожу ссылку по данной теме: "Как обновления для борьбы с уязвимостями Spectre и Meltdown влияют на производительность систем Windows" https://news.microsoft.com/ru-ru/unders ... s-systems/
--------------------------------------------
Have a nice day! :)
https://blog.it-kb.ru/eugene-leitan/
Microsoft: Monitoring, Virtualization, Backup
Аватара пользователя
leu21
Постоялец
Сообщения: 62
Зарегистрирован: 04 окт 2013 09:23
Откуда: Russia, Saint-Petersburg
Контактная информация:

Re: Вопрос по новым уязвимостям Meltdown и Spectre

Сообщение leu21 »

Наиболее полная информация по #Meltdown и #Spectre на русском

https://justpaste.it/1fkrp

Несколько выдержек:

"Авторы исследования поясняют, что все выпускаемые патчи — это лишь софтовые костыли, затрудняющие эксплуатацию найденных уязвимостей, а точнее даже известных сценариев их использования. Полностью устранить эти дыры в безопасности можно только хардверным способом — выпустив новые процессоры без внеочередной обработки инструкций."

"Авторы исследования допускают, что они далеко не первые, кто обнаружил эту особенность. К примеру, осенью 2008 года Николай Лихачёв (известный под псевдонимом Крис Касперски) готовился выступить на конференции Hack In The Box с докладом о найденной им уязвимости, позволяющей взламывать компьютеры на базе процессоров Intel вне зависимости от используемой операционной системы. Звучит похоже, не правда ли?"
--------------------------------------------
Have a nice day! :)
https://blog.it-kb.ru/eugene-leitan/
Microsoft: Monitoring, Virtualization, Backup
Salavat
Любопытный
Сообщения: 14
Зарегистрирован: 17 июн 2014 19:02

Re: Вопрос по новым уязвимостям Meltdown и Spectre

Сообщение Salavat »

Спасибо.

Насколько понял, установка патча на серверную ОС (соотв. без обновленного BIOS/UEFI) не влиет на производительность. Проверка модулем SpeculationControl показывает наличие патча в системе, но не его активность. Для его включения необходимо внести 3 ключа в реестр системы с последующей перезагрузкой.
Еще момент: после включения патча и без обновления BIOS будет "ослаблен" только Meltdown (CVE-2017-5754); для Spectre (CVE-2017-5715) нужно обязательно обновление прошивки ЦП.
Ответить

Вернуться в «Hyper-V»