none
Spectre and Meltdown - Hyper-V Windows 2012 Datacenter RRS feed

  • Domanda

  • Buonasera a tutti,

    in queste ore si parla molto del bug che coinvolge CPU Intel e AMD.

    Nella nostra architettura abbiamo Cluster Hyper-V con Windows 2012 Datacenter (non R2); la documentazione Microsoft che sono riuscito a trovare è la seguente:

    https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution

    https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002

    Su Forum:

    https://social.technet.microsoft.com/Forums/en-US/fa4d46a8-91ed-426a-a9aa-c3ae702ea59e/mitigating-spectre-and-meltdown-on-hyperv-hosts?forum=securityupdateguide

    https://social.technet.microsoft.com/Forums/windowsserver/en-US/9bcfb6da-0acf-446a-b2ed-cecb8d7c4ee6/meltdown-and-spectre-cpu-flaws?forum=winserver8gen

    Non ho ben capito:

     - Se per Windows 2012 Datacenter (non R2) sia stata pubblicata una patch, o almeno non l' ho trovata;

    -  Se il bug coinvolge solo gli hosts fisici o anche le VM a bordo;

     - Se ci sono altre informazioni più specifiche a riguardo, ovviamente per sistemi Microsoft;

    Grazie per il supporto.



    venerdì 5 gennaio 2018 13:51

Tutte le risposte

  • - No, per 2008 e 2012 al momento non ci sono patch. Trovi una risposta nella stessa KB:
    Q3: Why aren't Windows Server 2008 and Windows Server 2012 platforms getting an update? When can customers expect the fix?
    A3: Addressing a hardware vulnerability through a software update presents significant challenges, and mitigations for older operating systems require extensive architectural changes. Microsoft continues to work with affected chip manufacturers to investigate the best way to provide mitigations.
    - Anche le VM devono essere protette inoltre anche l'host che le ospita deve essere protetto. Per questo punto c'è indirettamente una risposta sulla KB:
    Q5: I am running Windows Server in a third-party hosted environment or cloud. What should I do?
    A5: In addition to the guidance above to address virtual machines, you need to contact your service provider to make sure that the hosts that are running your virtual machines are adequately protected.
    - Al momento le uniche informazioni sono quelle fornite qui: https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002
    In ogni caso probabilmente l'articolo verrà aggiornato con gli ultimi sviluppi.

    venerdì 5 gennaio 2018 14:04
    Moderatore
  • Buonasera Fabrizio,

    grazie per la risposta; quindi per ora su Windows 2012 Datacenter non hanno pubblicato nessuna patch, nella KB sezione "Enabling protections on server" parla delle modifica di due chiavi di registro per "mitigare" il bug:

    To enable the mitigations

    reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

    reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

    Secondo Te può essere applicato o si riferisce solo ai sistemi per i quali è prevista la patch?

    Infine, si conferma quindi, che sono impattate anche le VM create a bordo degli hosts fisici :(

    Grazie ancora per il supporto.

    venerdì 5 gennaio 2018 14:37
  • Da quello che mi risulta purtroppo la chiave funziona solo sui sistemi che hanno la patch.
    Se l'host è senza patch a mio parere anche tutte le VM ospitate sono a rischio, inoltre se sulle VM hai versioni più recenti di Windows Server in esecuzione è bene comunque eseguire un'aggiornamento dell'host (con una live migration dovrebbe essere piuttosto indolore, a patto di avere altro hardware a disposizione).
    venerdì 5 gennaio 2018 18:08
    Moderatore
  • Ciao Fabrizio,

    ho notato anche un altro particolare riportato nelle seguente nota:

    https://support.microsoft.com/en-us/help/4072699/important-january-3-2018-windows-security-updates-and-antivirus-softwa

    Windows 7, Windows Server 2008 R2, Windows Server 2012 Customers
    In Windows 7, Windows Server 2008 R2, and Windows Server 2012, an antivirus application is not installed by default. In these situations, Microsoft recommends installing a supported antivirus application such as Microsoft Security Essentials or a third-party antivirus application.

    Note Customers will not receive the January 3, 2018, security updates and will not be protected from current security vulnerabilities unless their antivirus software sets the following registry key:

    Key="HKEY_LOCAL_MACHINE" Subkey="SOFTWARE\Microsoft\Windows\CurrentVersion\QualityCompat" Value="cadca5fe-87d3-4b96-b7fb-a231484277cc" Type="REG_DWORD”

    In pratica, nella nostra Server farm abbiamo una Console Symantec; il sistema operativo degli hosts Hyper-V è Windows 2012 Datacenter (non R2) mentre per le VM a bordo abbiamo Windows 2008 R2 e Windows 2012 Datacenter (non R2); sia gli hosts fisici che le vm utilizzano la stessa versione di AV con le ultime definizioni.

    Il fatto strano è che mentre gli hosts fisici hanno la key  "QualityCompat" impostata a 0 (senza nessun nostro intervento), su nessuna VM è presente tale key.

    Quindi immagino, come anche riportato nella nota, che le VM non posso recepire gli update del 03/01, a differenza dei server fisici.

    Inoltre, per me resta il dubbio se, quando disponibile, installare la patch anche su tutte le VM oltre che su Hyper-V.

    Teniamoci aggiornati.

    Grazie ancora e buona epifania :)

    sabato 6 gennaio 2018 12:39
  • Ciao, da come ho intrepretato io la KB la patch va applicata anche ai sistemi operativi guest delle VM.
    Infatti ti confermo che sulle mie VM Hyper-V con System Center come antivirus ho la chiave QualityCompat, quindi secondo me la cosa che riscontri è dovuta a Symantec. Eventualmente prova a contattare il loro supporto tecnico.
    sabato 6 gennaio 2018 17:17
    Moderatore
  • Ciao Fabrizio,

    ok, contatterò il vendor per verificare le key.

    Ci aggiorniamo.

    Grazie ancora.

    venerdì 12 gennaio 2018 11:11