Вопрос по новым уязвимостям Meltdown и Spectre
Вопрос по новым уязвимостям Meltdown и Spectre
Доброго дня.
Достаточно ли будет поставить обновления на хост или же нужно так же ставить патчи и на гостевые ОС?
Спасибо.
Достаточно ли будет поставить обновления на хост или же нужно так же ставить патчи и на гостевые ОС?
Спасибо.
- Алексей Максимов
- Администратор сайта
- Сообщения: 572
- Зарегистрирован: 14 сен 2012 06:50
- Откуда: г.Сыктывкар
- Контактная информация:
Re: Вопрос по новым уязвимостям Meltdown и Spectre
Здравствуйте, buro.
Установкой обновлений на хосте Вы предотвращаете возможность несанкционированного доступа к данным для процессов внутри самого хоста, в том числе и процессов виртуальных машин. Установкой обновлений на виртуальной машине Вы предотвращаете возможность несанкционированного доступа к данным для процессов внутри виртуальной машины. Поэтому обновления нужно ставить везде.
Установкой обновлений на хосте Вы предотвращаете возможность несанкционированного доступа к данным для процессов внутри самого хоста, в том числе и процессов виртуальных машин. Установкой обновлений на виртуальной машине Вы предотвращаете возможность несанкционированного доступа к данным для процессов внутри виртуальной машины. Поэтому обновления нужно ставить везде.
Re: Вопрос по новым уязвимостям Meltdown и Spectre
Доброго времени суток, Алексей.
Заметили ли сколь-нибудь заметное уменьшение производительности на серверах hyper-v 2012/R2/2016 после применения соответствующих патчей?
Заметили ли сколь-нибудь заметное уменьшение производительности на серверах hyper-v 2012/R2/2016 после применения соответствующих патчей?
- Алексей Максимов
- Администратор сайта
- Сообщения: 572
- Зарегистрирован: 14 сен 2012 06:50
- Откуда: г.Сыктывкар
- Контактная информация:
Re: Вопрос по новым уязвимостям Meltdown и Spectre
Здравствуйте, Salavat.
Пока ещё не имел радости установки этих обновлений.
Пока ещё не имел радости установки этих обновлений.
- leu21
- Постоялец
- Сообщения: 62
- Зарегистрирован: 04 окт 2013 09:23
- Откуда: Russia, Saint-Petersburg
- Контактная информация:
Re: Вопрос по новым уязвимостям Meltdown и Spectre
Кроме установки обновлений нужно проверить ключи реестра. При необходимости внести изменения.
Для упрощения по ссылке ниже есть Powershell скрипт для проверки всех требований по защите от уязвимостей.
Understanding the performance impact of Spectre and Meltdown mitigations on Windows Systems
https://cloudblogs.microsoft.com/micros ... s-systems/
-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
Несколько ссылок по новым уязвимостям начала 2018 года: #Spectre (2017-5753), Spectre ( 2017-5715) и #Meltdown ( 2017-5754), которые затрагивают все устройства на базе #Intel и #AMD.
На русском:
Microsoft выпустила обновления #Windows, исправляющие критические уязвимости в процессорах
https://www.comss.ru/page.php?id=4745
Как защититься от атак Meltdown и Spectre. Патчи и обновления
https://www.comss.ru/page.php?id=4744
#Google раскрыла подробности о новых уязвимостях Meltdown и Spectre процессоров Intel, AMD и #ARM
https://www.comss.ru/page.php?id=4743
На английском:
Understanding the performance impact of Spectre and Meltdown mitigations on Windows Systems
https://cloudblogs.microsoft.com/micros ... s-systems/
https://doublepulsar.com/important-info ... 52ba0292ec
Guidance for IT Pros to protect against speculative execution side-channel vulnerabilities
1) Windows Client
https://support.microsoft.com/en-us/hel ... ilities-in
2) Windows Server
https://support.microsoft.com/en-us/hel ... -execution
3) Azure
https://docs.microsoft.com/en-us/azure/ ... itigate-se
--------------------------------------------
Have a nice day! :)
https://blog.it-kb.ru/eugene-leitan/
Microsoft: Monitoring, Virtualization, Backup
Have a nice day! :)
https://blog.it-kb.ru/eugene-leitan/
Microsoft: Monitoring, Virtualization, Backup
- leu21
- Постоялец
- Сообщения: 62
- Зарегистрирован: 04 окт 2013 09:23
- Откуда: Russia, Saint-Petersburg
- Контактная информация:
Re: Вопрос по новым уязвимостям Meltdown и Spectre
Некоторые мои знакомые, установившие данные обновления, заметили уменьшение производительности на серверах на 10-30%.
В дополнение привожу ссылку по данной теме: "Как обновления для борьбы с уязвимостями Spectre и Meltdown влияют на производительность систем Windows" https://news.microsoft.com/ru-ru/unders ... s-systems/
--------------------------------------------
Have a nice day! :)
https://blog.it-kb.ru/eugene-leitan/
Microsoft: Monitoring, Virtualization, Backup
Have a nice day! :)
https://blog.it-kb.ru/eugene-leitan/
Microsoft: Monitoring, Virtualization, Backup
- leu21
- Постоялец
- Сообщения: 62
- Зарегистрирован: 04 окт 2013 09:23
- Откуда: Russia, Saint-Petersburg
- Контактная информация:
Re: Вопрос по новым уязвимостям Meltdown и Spectre
Наиболее полная информация по #Meltdown и #Spectre на русском
https://justpaste.it/1fkrp
Несколько выдержек:
"Авторы исследования поясняют, что все выпускаемые патчи — это лишь софтовые костыли, затрудняющие эксплуатацию найденных уязвимостей, а точнее даже известных сценариев их использования. Полностью устранить эти дыры в безопасности можно только хардверным способом — выпустив новые процессоры без внеочередной обработки инструкций."
"Авторы исследования допускают, что они далеко не первые, кто обнаружил эту особенность. К примеру, осенью 2008 года Николай Лихачёв (известный под псевдонимом Крис Касперски) готовился выступить на конференции Hack In The Box с докладом о найденной им уязвимости, позволяющей взламывать компьютеры на базе процессоров Intel вне зависимости от используемой операционной системы. Звучит похоже, не правда ли?"
https://justpaste.it/1fkrp
Несколько выдержек:
"Авторы исследования поясняют, что все выпускаемые патчи — это лишь софтовые костыли, затрудняющие эксплуатацию найденных уязвимостей, а точнее даже известных сценариев их использования. Полностью устранить эти дыры в безопасности можно только хардверным способом — выпустив новые процессоры без внеочередной обработки инструкций."
"Авторы исследования допускают, что они далеко не первые, кто обнаружил эту особенность. К примеру, осенью 2008 года Николай Лихачёв (известный под псевдонимом Крис Касперски) готовился выступить на конференции Hack In The Box с докладом о найденной им уязвимости, позволяющей взламывать компьютеры на базе процессоров Intel вне зависимости от используемой операционной системы. Звучит похоже, не правда ли?"
--------------------------------------------
Have a nice day! :)
https://blog.it-kb.ru/eugene-leitan/
Microsoft: Monitoring, Virtualization, Backup
Have a nice day! :)
https://blog.it-kb.ru/eugene-leitan/
Microsoft: Monitoring, Virtualization, Backup
Re: Вопрос по новым уязвимостям Meltdown и Spectre
Спасибо.
Насколько понял, установка патча на серверную ОС (соотв. без обновленного BIOS/UEFI) не влиет на производительность. Проверка модулем SpeculationControl показывает наличие патча в системе, но не его активность. Для его включения необходимо внести 3 ключа в реестр системы с последующей перезагрузкой.
Еще момент: после включения патча и без обновления BIOS будет "ослаблен" только Meltdown (CVE-2017-5754); для Spectre (CVE-2017-5715) нужно обязательно обновление прошивки ЦП.
Насколько понял, установка патча на серверную ОС (соотв. без обновленного BIOS/UEFI) не влиет на производительность. Проверка модулем SpeculationControl показывает наличие патча в системе, но не его активность. Для его включения необходимо внести 3 ключа в реестр системы с последующей перезагрузкой.
Еще момент: после включения патча и без обновления BIOS будет "ослаблен" только Meltdown (CVE-2017-5754); для Spectre (CVE-2017-5715) нужно обязательно обновление прошивки ЦП.