Этот сайт лучше всего просматривать в современном браузере с включённым JavaScript.

Вопрос по новым уязвимостям Meltdown и Spectre

buro

Доброго дня.

Достаточно ли будет поставить обновления на хост или же нужно так же ставить патчи и на гостевые ОС?

Спасибо.

Алексей Максимов

Здравствуйте, buro.

Установкой обновлений на хосте Вы предотвращаете возможность несанкционированного доступа к данным для процессов внутри самого хоста, в том числе и процессов виртуальных машин. Установкой обновлений на виртуальной машине Вы предотвращаете возможность несанкционированного доступа к данным для процессов внутри виртуальной машины. Поэтому обновления нужно ставить везде.

salavat

Доброго времени суток, Алексей.

Заметили ли сколь-нибудь заметное уменьшение производительности на серверах hyper-v 2012/R2/2016 после применения соответствующих патчей?

Алексей Максимов

Здравствуйте, Salavat.

Пока ещё не имел радости установки этих обновлений.

leu21

buro написал

Доброго дня.

Достаточно ли будет поставить обновления на хост или же нужно так же ставить патчи и на гостевые ОС?

Спасибо.

Кроме установки обновлений нужно проверить ключи реестра. При необходимости внести изменения.

Для упрощения по ссылке ниже есть Powershell скрипт для проверки всех требований по защите от уязвимостей.

Understanding the performance impact of Spectre and Meltdown mitigations on Windows Systems

https://cloudblogs.microsoft.com/microsoftsecure/2018/01/09/understanding-the-performance-impact-of-spectre-and-meltdown-mitigations-on-windows-systems/

-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

Несколько ссылок по новым уязвимостям начала 2018 года: #Spectre (2017-5753), Spectre ( 2017-5715) и #Meltdown ( 2017-5754), которые затрагивают все устройства на базе #Intel и #AMD.

На русском:

Microsoft выпустила обновления #Windows, исправляющие критические уязвимости в процессорах

https://www.comss.ru/page.php?id=4745

Как защититься от атак Meltdown и Spectre. Патчи и обновления

https://www.comss.ru/page.php?id=4744

#Google раскрыла подробности о новых уязвимостях Meltdown и Spectre процессоров Intel, AMD и #ARM

https://www.comss.ru/page.php?id=4743

На английском:

Understanding the performance impact of Spectre and Meltdown mitigations on Windows Systems

https://cloudblogs.microsoft.com/microsoftsecure/2018/01/09/understanding-the-performance-impact-of-spectre-and-meltdown-mitigations-on-windows-systems/

https://doublepulsar.com/important-information-about-microsoft-meltdown-cpu-security-fixes-antivirus-vendors-and-you-a852ba0292ec

Guidance for IT Pros to protect against speculative execution side-channel vulnerabilities

1) Windows Client

https://support.microsoft.com/en-us/help/4073119/protect-against-speculative-execution-side-channel-vulnerabilities-in

2) Windows Server

https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution

3) Azure

https://docs.microsoft.com/en-us/azure/virtual-machines/windows/mitigate-se

leu21

Salavat написал

Доброго времени суток, Алексей.

Заметили ли сколь-нибудь заметное уменьшение производительности на серверах hyper-v 2012/R2/2016 после применения соответствующих патчей?

Некоторые мои знакомые, установившие данные обновления, заметили уменьшение производительности на серверах на 10-30%.

В дополнение привожу ссылку по данной теме: "Как обновления для борьбы с уязвимостями Spectre и Meltdown влияют на производительность систем Windows" https://news.microsoft.com/ru-ru/understanding-the-performance-impact-of-spectre-and-meltdown-mitigations-on-windows-systems/https://news.microsoft.com/ru-ru/understanding-the-performance-impact-of-spectre-and-meltdown-mitigations-on-windows-systems/

leu21

Наиболее полная информация по #Meltdown и #Spectre на русском

https://justpaste.it/1fkrp

Несколько выдержек:

"Авторы исследования поясняют, что все выпускаемые патчи — это лишь софтовые костыли, затрудняющие эксплуатацию найденных уязвимостей, а точнее даже известных сценариев их использования. Полностью устранить эти дыры в безопасности можно только хардверным способом — выпустив новые процессоры без внеочередной обработки инструкций."

"Авторы исследования допускают, что они далеко не первые, кто обнаружил эту особенность. К примеру, осенью 2008 года Николай Лихачёв (известный под псевдонимом Крис Касперски) готовился выступить на конференции Hack In The Box с докладом о найденной им уязвимости, позволяющей взламывать компьютеры на базе процессоров Intel вне зависимости от используемой операционной системы. Звучит похоже, не правда ли?"

salavat

Спасибо.

Насколько понял, установка патча на серверную ОС (соотв. без обновленного BIOS/UEFI) не влиет на производительность. Проверка модулем SpeculationControl показывает наличие патча в системе, но не его активность. Для его включения необходимо внести 3 ключа в реестр системы с последующей перезагрузкой.

Еще момент: после включения патча и без обновления BIOS будет "ослаблен" только Meltdown (CVE-2017-5754); для Spectre (CVE-2017-5715) нужно обязательно обновление прошивки ЦП.