Страница 1 из 1

Вопрос по новым уязвимостям Meltdown и Spectre

Добавлено: 11 янв 2018 15:23
buro
Доброго дня.

Достаточно ли будет поставить обновления на хост или же нужно так же ставить патчи и на гостевые ОС?

Спасибо.

Re: Вопрос по новым уязвимостям Meltdown и Spectre

Добавлено: 11 янв 2018 15:58
Алексей Максимов
Здравствуйте, buro.

Установкой обновлений на хосте Вы предотвращаете возможность несанкционированного доступа к данным для процессов внутри самого хоста, в том числе и процессов виртуальных машин. Установкой обновлений на виртуальной машине Вы предотвращаете возможность несанкционированного доступа к данным для процессов внутри виртуальной машины. Поэтому обновления нужно ставить везде.

Re: Вопрос по новым уязвимостям Meltdown и Spectre

Добавлено: 11 янв 2018 21:30
Salavat
Доброго времени суток, Алексей.

Заметили ли сколь-нибудь заметное уменьшение производительности на серверах hyper-v 2012/R2/2016 после применения соответствующих патчей?

Re: Вопрос по новым уязвимостям Meltdown и Spectre

Добавлено: 12 янв 2018 05:24
Алексей Максимов
Здравствуйте, Salavat.

Пока ещё не имел радости установки этих обновлений.

Re: Вопрос по новым уязвимостям Meltdown и Spectre

Добавлено: 12 янв 2018 08:27
leu21
buro писал(а): 11 янв 2018 15:23 Доброго дня.

Достаточно ли будет поставить обновления на хост или же нужно так же ставить патчи и на гостевые ОС?

Спасибо.
Кроме установки обновлений нужно проверить ключи реестра. При необходимости внести изменения.

Для упрощения по ссылке ниже есть Powershell скрипт для проверки всех требований по защите от уязвимостей.

Understanding the performance impact of Spectre and Meltdown mitigations on Windows Systems
https://cloudblogs.microsoft.com/micros ... s-systems/

-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

Несколько ссылок по новым уязвимостям начала 2018 года: #Spectre (2017-5753), Spectre ( 2017-5715) и #Meltdown ( 2017-5754), которые затрагивают все устройства на базе #Intel и #AMD.

На русском:
Microsoft выпустила обновления #Windows, исправляющие критические уязвимости в процессорах
https://www.comss.ru/page.php?id=4745

Как защититься от атак Meltdown и Spectre. Патчи и обновления
https://www.comss.ru/page.php?id=4744

#Google раскрыла подробности о новых уязвимостях Meltdown и Spectre процессоров Intel, AMD и #ARM
https://www.comss.ru/page.php?id=4743

На английском:
Understanding the performance impact of Spectre and Meltdown mitigations on Windows Systems
https://cloudblogs.microsoft.com/micros ... s-systems/

https://doublepulsar.com/important-info ... 52ba0292ec

Guidance for IT Pros to protect against speculative execution side-channel vulnerabilities

1) Windows Client
https://support.microsoft.com/en-us/hel ... ilities-in

2) Windows Server
https://support.microsoft.com/en-us/hel ... -execution

3) Azure
https://docs.microsoft.com/en-us/azure/ ... itigate-se

Re: Вопрос по новым уязвимостям Meltdown и Spectre

Добавлено: 12 янв 2018 08:30
leu21
Salavat писал(а): 11 янв 2018 21:30 Доброго времени суток, Алексей.

Заметили ли сколь-нибудь заметное уменьшение производительности на серверах hyper-v 2012/R2/2016 после применения соответствующих патчей?
Некоторые мои знакомые, установившие данные обновления, заметили уменьшение производительности на серверах на 10-30%.

В дополнение привожу ссылку по данной теме: "Как обновления для борьбы с уязвимостями Spectre и Meltdown влияют на производительность систем Windows" https://news.microsoft.com/ru-ru/unders ... s-systems/

Re: Вопрос по новым уязвимостям Meltdown и Spectre

Добавлено: 12 янв 2018 11:59
leu21
Наиболее полная информация по #Meltdown и #Spectre на русском

https://justpaste.it/1fkrp

Несколько выдержек:

"Авторы исследования поясняют, что все выпускаемые патчи — это лишь софтовые костыли, затрудняющие эксплуатацию найденных уязвимостей, а точнее даже известных сценариев их использования. Полностью устранить эти дыры в безопасности можно только хардверным способом — выпустив новые процессоры без внеочередной обработки инструкций."

"Авторы исследования допускают, что они далеко не первые, кто обнаружил эту особенность. К примеру, осенью 2008 года Николай Лихачёв (известный под псевдонимом Крис Касперски) готовился выступить на конференции Hack In The Box с докладом о найденной им уязвимости, позволяющей взламывать компьютеры на базе процессоров Intel вне зависимости от используемой операционной системы. Звучит похоже, не правда ли?"

Re: Вопрос по новым уязвимостям Meltdown и Spectre

Добавлено: 12 янв 2018 21:02
Salavat
Спасибо.

Насколько понял, установка патча на серверную ОС (соотв. без обновленного BIOS/UEFI) не влиет на производительность. Проверка модулем SpeculationControl показывает наличие патча в системе, но не его активность. Для его включения необходимо внести 3 ключа в реестр системы с последующей перезагрузкой.
Еще момент: после включения патча и без обновления BIOS будет "ослаблен" только Meltdown (CVE-2017-5754); для Spectre (CVE-2017-5715) нужно обязательно обновление прошивки ЦП.