sabines
Goto Top

VMware Microcode Updates nicht installieren

Wegen der Probleme mit spontan bootenden CPUs hat VMware die Updates zum Schliessen der aktuellen Lücken zurückgezogen und empfiehlt stattdessen, auf die Updates ohne Microcode umzusteigen.

Exkurs: Normalerweise sollte ein BIOS Update die CPU Lücken schliessen, unter Unix OS kann jedoch auch ein Microcode Update (ohne das Firmware Update) eingespielt werden.
Die Empfehlung ist allerdings auch hier primär auf Firmware Updates zu setzen

Genaueres hier:
https://kb.vmware.com/s/article/52345

Und allgemeines hier:
Meltdown und Spectre How To

Content-Key: 361115

Url: https://administrator.de/contentid/361115

Ausgedruckt am: 19.03.2024 um 04:03 Uhr

Mitglied: max
max 15.01.2018 aktualisiert um 14:17:02 Uhr
Goto Top
Hi,

... und empfiehlt stattdessen, auf die Updates ohne Microcode umzusteigen.

die Frage ist aber, funktioniert ein Update ohne Microcode denn überhaupt? Müssen nicht beide Teile zusammenarbeiten um den Fehler zu beheben. Oder geht es nur darum, dass der Microcode nicht per BIOS sondern nur per OS aktiviert wird?

Gruß
max
Mitglied: SlainteMhath
SlainteMhath 15.01.2018 um 14:49:37 Uhr
Goto Top
Moin,

... funktioniert ein Update ohne Microcode denn überhaupt? ...
Soweit ich das verstanden habe: schützen die OS updartes ohne CPU Microcode nur teilweise.

Intel meint dazu:
https://newsroom.intel.com/news/intel-security-issue-update-addressing-r ...

HPE macht auch schon einen Rückzieher:
https://support.hpe.com/hpsc/doc/public/display?docId=emr_na-a00039784en ...

Ich hab' letzte Woche 15+ HPE Server gepatched, und bisher noch keinen reboot (*auf Holz klopf*) erlebt. Mal sehen ob da noch was komtmt

lg,
Slainte
Mitglied: clSchak
clSchak 15.01.2018 um 22:27:46 Uhr
Goto Top
Hi

Bis auf der Netscaler der nicht mehr lief und auf einen alten Server verschoben werden musste lief das Update anstandslos und bisher ohne Probleme (Version 11.x).

Gruß
@clSchak
Mitglied: C.R.S.
C.R.S. 16.01.2018 aktualisiert um 13:45:18 Uhr
Goto Top
Hallo,

Zitat von @max:

die Frage ist aber, funktioniert ein Update ohne Microcode denn überhaupt? Müssen nicht beide Teile zusammenarbeiten um den Fehler zu beheben. Oder geht es nur darum, dass der Microcode nicht per BIOS sondern nur per OS aktiviert wird?

Das MC-Update soll die Speculative-Execution-Funktion des Prozessors absichern, also diese Funktion (aus Performance-Gründen) erhalten. Das hat Intel noch nicht ohne größere Fehler hinbekommen.

Updates von OS und Anwendungen sind erforderlich, um die Instruktionen dafür tatsächlich zu nutzen. Das betrifft alle Anwendungen, die fremden Code ausführen, daher auch die Browser-Updates, Office-Updates etc. Im Prinzip alle Anwendungen, da Angriffe eben zum ungewollten Ausführen fremden Codes führt. Weil die Anwendungen offenkundig hinterher hinken werden, sollen die MC-Updates und OS-Updates auch die Exploitation über ungepatchte Anwendungen möglichst erschweren. Darauf beruhen die Probleme, die die MC-Updates machen, wenn SE nun unter einem aktualisierten OS von Software genutzt wird, die noch nicht neu kompiliert wurde.

Ein Hypervisor kann Speculative-Execution der Gäste unterbinden. Die obige Empfehlung von VMware ist, das mit dem entsprechenden Update zu tun. Der Stand des MC hat demnach auf die Gäste keinen (destabilisierenden) Einfluss mehr.

Grüße
Richard