Meltdown und Spectre

  • Kleines Update


    Scheinbar kommt es vereinzelt zu Abstürzen gepatchter Systeme. Speichert also eure Arbeiten öfters als bisher.

    https://www.heise.de/newsticke…l-Benchmarks-3945803.html

    Für die Zeit, die sie (Intel und AMD) zur Verfügung hatten, sieht das echt mies aus. Hoffe das wird bald mal besser.

    Google hat derweil die eigenen Systeme bereits im September gepatcht und kann zudem keine Leistungseinbussen verzeichnen, wie sie Intel in den eigenen Benchmarks vorweist.


    Habe noch eine Liste betroffener QNAP Geräte gefunden und hinzugefügt. Die Liste ist m.M.n. aber (noch) nicht vollständig, zumindest was alte Geräte betrifft.


    Weiterhin keine Updates gibt es für Hardware von Sophos, QNAP und Synology.

    Cisco hat derweil einige Updates: https://tools.cisco.com/securi…a-20180104-cpusidechannel

    Bei Fortinet hat, glaube ich, Updates veröffentlicht. Wer sowas hat, vielleicht mal überprüfen.


    Dann wünsch ich noch ne schöne Woche und speichert schön regelmässig :ugly:

  • Bei Sophos kann ich dich insofern Beruhigen, dass zumindest die Software (Endpoint Security, Server, etc.) aktualisiert wurde.


    Für die Hardware aber arbeiten sie noch am Linux Kernel. Kann also sein, dass du auf der Firewall ein Patternupdate für IPS hast (sofern du das lizenziert und aktiv hast) aber noch kein Update für UTM oder XG selbst. Das Update wird dann aber wohl nur für die letzte Version des jeweiligen OS zur verfügung stehen (die sind aber glaube ich eh immer aufeinander aufbauend, verstehe also nicht, warum sie das extra hervorheben)


    Details hier: https://community.sophos.com/kb/en-us/128053 (ist aber auch schon wieder 8 Tage alt, ist aber das neuste. Wobei die "Last Updated"-Zeit ein Tag vor dem Artikelrelease liegt...)



    Bei Synology ist seit 9 Tagen funkstille. Dabei haben sie sogar noch ein Intel ME Problem, welches im November zuletzt aktualisiert wurde. Kann mir vorstellen, dass die nach dem Atom-Bug, den ME Sicherheitslücken und dem Mist jetzt, die Nase ziemlich voll haben von Intel.

    Meltdown: https://www.synology.com/de-de…ecurity/Synology_SA_18_01

    ME: https://www.synology.com/de-de…ecurity/Synology_SA_17_73

    Und die allgemeine Übersicht: https://www.synology.com/de-de/support/security



    Edit: Ich habe von keinem Hersteller Deadlines gehört. Es gibt also scheinbar von niemandem Zeitpunkte, wann sie denken, dass sie langsam was haben könnten. Sehr unbefriedigende Situation, dafür das sie mit dem MS-Patchday die Lücke ja eh öffentlich machen wollten, scheint die Welt ziemlich unvorbereitet zu sein - trotz ~5 Monate Vorlaufzeit.

  • Die Firewalls sind alle volllizensiert soweit. :)

    Nur im Büro ist halt einmal Hardware. Mal schauen wann da was passiert.

    Du bist nicht im Zwang den Major Release zu Updaten. Daher wahrscheinlich die Information. In der Regel macht es keinen Sinn, wobei ich auch schon eins ausgelassen habe, da es auch da mal mit einer Version Probleme gibt. Und mal eben die Firewall Updaten ist halt auch nicht immer ganz so einfach.

  • Dann sind die Patterns eh schon aktuell und der Kernel kommt dann hoffentlich auch bald mal. Und ja, das mit den Firewallupdates ist mühsam. Da müsste man eine Master-Slave Konfiguration haben und das geht krass ins Geld.



    Microsoft hat ein korrigiertes Update rausgegeben, um die Probleme mit AMD Prozessoren zu beheben. Gesehen habe ich es zwar noch nicht, meine PCs sind aber auch nicht repräsentativ.

    Ausserdem gibt es die Patches jetzt scheinbar auch für 32bit Systeme, die mussten bis jetzt warten. Würde aber eh bezweifeln, dass ihr noch viele 32bit Systeme habt.

    Quelle: https://www.heise.de/security/…blem-behoben-3946613.html



    Das hier ist zwar OT aber AMD hätte auch einen neuen Treiber für die Grafikkarten, damit auch ältere Spiele wie

    "Command & Conquer 3 Tiberium Wars und Kane's Wrath, Command & Conquer Red Alert 3 und Read Alert 3 Uprising, Command & Conquer 4 Tiberian Twilight, The Lord of the Rings: Battle for Middle Earth 1 und 2 sowie das Rollenspiel The Witcher in der Enhanced Edition" wieder laufen.

    Quelle: https://www.heise.de/newsticke…ieren-wieder-3946911.html


  • Der Witz ist, ich habe überall 2 Stück am laufen. Das Problem an der Stelle ist halt nur, wenn irgendwas schief geht und die Erfahrung habe ich leider schon gemacht, dann wird es sehr unangenehm für mich. Daher bin ich an der einen oder anderen Stelle schon etwas vorsichtiger und lasse auch mal ein Update aus, sofern es keine Änderungen gibt, welche mich direkt betreffen.


    Ich warte jetzt erst einmal ab bis die Jungs endlich mal die Hardware wieder sicher bekommen haben und dann gibt es mal wieder nen Updatetag.

  • Mal ein kurzes Update


    Intel musste mittlerweile einsehen, dass ihr eigener Microcodepatch zu Systemabstürzen führt. In den Medien wird das etwas verharmlosend als „plötzliche Neustarts“ geführt.


    Entsprechend sind alle BIOS und Microcode Updates für Intel CPUs fürn Arsch. Schlimmer noch, wer die Updates bereits gemacht hat, der muss jetzt damit rechnen, dass sein PC/Server abstürzen könnte. Weit verbreitet scheint das Problem aber nicht zu sein und mal ehrlich, wer hat überhaupt Geräte, die noch BIOS Updates bekommen und wer hat die dann auch noch eingespielt?

    Problematischer könnte da höchstens das Windows Update gegen Specture 2 sein, welches Microsoft mittlerweile deaktiviert hat – auch wegen mangelhaftem Code von Intel.


    Da Intel den Code liefern muss, wartet wieder alle Welt auf deren Freigabe. Updates für Sophos, Synology, QNAP, Server und PCs liegen also solange eh auf Eis.

    Überprüft also lieber eure Packliste für die Skiferien, denn ich rechne nicht damit, dass die das vorher wider auf die Reihe bekommen.



    AMD hat in der Zwischenzeit ein White Paper für Entwickler rausgegeben. Für die meisten von euch ist das aber irrelevant. Für die anderen wäre der Link hier: https://developer.amd.com/wp-c…ion-on-AMD-Processors.pdf

  • Infoupdate für Interessierte


    Das aktuelle Synology DSM Update beinhaltet keine Fixes für die Prozessorlücken (dafür Kernel und SMB Fixes)

    https://www.synology.com/de-de/releaseNote/DS718+ (DSM Changelog leider nicht Geräteunabhängig verfügbar, ist aber für alle gleich)



    Nun gibt es auch einen Horizont, ab dem man mit Hardwarefixes für die Lücken rechnen kann: 2019 :gemo:

    Die Angaben sind von AMD: https://www.heise.de/newsticke…n-und-Mining-3956955.html

    Nach meinem Wissensstand gibt es noch immer keinen funktionierenden Angriff auf AMD CPUs, wenn jemand etwas anderes weiss, würde mich das sehr interessieren :)


    Von Intel weiss ich derweil nichts Neues. Nur, dass immer mehr Malware auftaucht, die Meltdown und Specture ausnützen könnten. Ob die aber auch in real life funktioniert, ist glaube ich noch nicht ganz sicher. Und Intel arbeitet ja an einem Software Fix :ugly:

    Derweil schiesst Microsoft etwas schärfer. Wenn in eurem Programm "Squeamish Ossifrage" oder "malicious_x = %p" vor kommt, dann sieht der Microsoft Defender ab jetzt rot: https://www.heise.de/security/…oesartig-ein-3959995.html


    PS: Wenn ihr noch nach einem Scriptblocker sucht: uMatrix wäre ein Blick wert (Chrome, Firefox). Eine Alternative dazu wäre auch NoScript. Kann aber nicht so viel.

    Scriptblocker brauchen aber etwas Zeit, weil heutzutage ja viele Seiten nur noch funktionieren, wenn 100 Scripte von 20 Domains laufen. Auf dem Handy als sehr mühsam. Schaut also erst mal auf dem PC, wie das funktioniert ;)

  • uMatrix ist wirklich nicht verkehrt. Habe es installiert als Firefox Quantum veröffentlicht wurde und NoScript noch nicht für die Version verfügbar war. Es macht das Surfen im Netz zwar etwas umständlicher, da man halt immer schauen muss was aktiviert sein muss damit die Webseite halbwegs normal läuft. Im gegensatz zu NoScript wird hier aber nicht in regelmäßigen Abständen die eigene Webseite aufgerufen, die mMn. fragwürdig aussieht.

    Außerdem kann man mit uMatrix deutlich mehr als nur JavaScript blockieren. Unteranderem auch Grafiken und die CSS Dateien.

  • Mal ein kleines Update

    • Nachdem Intel die Microcode Updates zurückgezogen hatte, wurden sie mittlerweile wieder freigegeben.
    • Mittlerweile sind Updates für Intel und AMD verfügbar (wenn auch nach wie vor nicht für alle Prozessoren/Mainboards)
      • Weil viele Mainboard Hersteller sich nicht um die älteren Geräte kümmern, rollt jetzt Microsoft die Updates aus. Denn sowohl das Mainboard als auch das Betriebssystem können der CPU Microcode zuschieben.
    • Bei Windows 7 64Bit (und Server 2008 R2) ist Microsoft ein Fehler unterlaufen, wodurch alle diese Geräte noch schlimmer angreifbar waren als ohne das Meltdown Update. Installiert also unbedingt das Update von diesem Monat. (Admins sollten auf ihre virtuellen Netzwerkkarten achten)
    • Intel will scheinbar schon Ende 2018 fehlerbereinigte CPUs ausliefern können. Die Funktion, mit der sie die Prozessoren absichern wollen, scheint aber selbst auch schon über Lücken zu verfügen. Mich machen ausserdem die bisherigen Fehlerbereinigungen von Intel Sorgen, sehr sauber waren die bisher ja nicht.
    • Die Specture Angriffe auf AMD scheinen nach wie vor nur theoretischer Natur zu sein, trotzdem werden alle neuen CPUs mit einem Software Update ausgeliefert.Ab wann AMD fehlermereinigte CPUs anbieten kann ist mir nicht bekannt.
    • Zu den neueren AMD Lücken (Ryzenfall und co.) wird es von AMD Updates geben. Meines Wissens waren alle diese Lücken aber nur mit lokalen Adminrechten ausnutzbar und sobald ein Angreifer die hat, ist eh sense. AMD wird die Software jetzt wohl mehr verschlüsseln und signieren (also so wie Intel). Was noch im Raum steht, ist ob die Veröffentlichung der Lücken hauptsächlich für Aktienmanipulationen verwendet wurde, auf jeden Fall eine komische Sache das Ganze.



    User mit Sophos SOFTWARE (also Clientsoftware, die auf Win/Lin/OSX läuft)

    Ihr habt seit Januar die nötigen Update


    User mit Sophos HARDWARE (Firewalls, Appliandes, SFM, SWA, SEA, etc.)

    Wir warten nach wie vor. Die Produkte werden noch immer unter „Products under investigation“ geführt. Keine neuen Infos mehr seit Januar… https://community.sophos.com/kb/en-us/128053 Woran das liegt weiss ich nicht. In den UTM Changelogs der Updates 9.507, 9.508 und 9.509 werden die Lücken zumindest nicht als behoben aufgeführt. Werden also noch offen sein.


    User mit Synology Hardware

    3 Mal dürft ihr raten… Status ist „ongoing“ keine neuen Informationen seit Januar. https://www.synology.com/de-de…ecurity/Synology_SA_18_01 in den drei DSM Updates seit Januar 6.1.5-15254, 6.1.5-15254-1 und 6.1.6-15266 sind die Lücken auch nicht aufgeführt. Werden also noch offen sein.

  • Wie viele vermutet hatten, kommt mehr unschönes Zeugs raus, wenn man sich Prozessoren mal genauer anschaut. Daher hoffe ich, ihr habt euch mittlerweile gut erholt vom Patchen, denn bald kommt die nächste Runde :)

    https://www.heise.de/security/…aufgeschoben-4043790.html


    Intel ist sicher betroffen, bei ARM scheint es Anzeichen dafür zu geben und AMD untersucht noch.


    Und damit es nicht langweilig wird, sollen die neu gefundenen Lücken einfach auszunutzen sein, als die vom Januar. Hat man jetzt noch im Hinterkopf, dass sie da über 6 Monate Zeit hatten zum Vorbereiten und trotzdem dermassen viel in die Hose ging, kann es jetzt mit weniger Vorbereitungszeit ja nur noch besser kommen. Das Jahr bleibt also weiterhin spannend.


    Die Probleme endgültig lösen, kann aber nur eine neue CPU Generation und darauf werden wir noch etwas länger warten dürfen und wer weiss was dann dort drin schlummert...



    Windows hat übrigens bei Win10 den Specture-V2 Schutz wieder rausgehauen, darauf ist also auch nicht wirklich verlass. (Richtig wären aber eh BIOS Updates, Microsoft half da einfach aus, um das Ausmass etwas zu reduzieren)

    https://www.heise.de/security/…n-Spectre-V2-4039062.html

  • Ich hatte meine Zweifel doch jetzt meint Synology die Meltdown und Specture Probleme doch noch angegangen zu haben:

    2. Fixed multiple security vulnerabilities regarding Linux kernel (Synology-SA-18:01).


    Die Sicherheitsanweisung (wie sie es nennen) haben sie zwar (noch) nicht aktualisiert aber vielleicht kommt auch das noch

    https://www.synology.com/de-de…ecurity/Synology_SA_18_01 (Last Updated: 2018-01-09 18:00:16 UTC+8)