Moin,

Diskussionen ber

http://www.heise.de/security/news/meldung/61584

sind hier zwar nicht ganz so OnT, allerdings ist die Umsetzung von

<zitat>
Verantwortlich fr den Fehler scheint die Bibliothek hal.dll zu sein.
Die Datei liegt normalerweise im Verzeichnis c:\WINNT\System32. Kopiert
man sie vor der Installation des Rollups zur Seite und spielt sie danach
wieder zurck, geht die CPU nach einem Reboot wieder korrekt in den
Halt-Modus. Wer das Rollup bereits installiert hat findet unter
Umstnden im Verzeichnis C:\WINNT\$NtUpdateRollupPackUninstall$ eine
Sicherungskopie der Bibliothek. Eventuelle Sicherheitspatches, die
Microsoft zum Update der hal.dll veranlasst haben, sind dann allerdings
nicht mehr wirksam.
</zitat>

wie beschrieben mglicherweise sicherheitsrelevant.

Kennt jemand einen besseren Wrgarround oder hat schon jemand getestet,
ob das zitierte Verfahren unbedenklich ist oder nicht?

ciao Ralph (vorab dankend)

"Ralph Lehmann"  schrieb:


> Moin,
>
> Diskussionen ber
>
> http://www.heise.de/security/news/meldung/61584
>
> sind hier zwar nicht ganz so OnT, allerdings ist die Umsetzung von
>
> <zitat>
> Verantwortlich fr den Fehler scheint die Bibliothek hal.dll zu sein.
> Die Datei liegt normalerweise im Verzeichnis c:\WINNT\System32. Kopiert
> man sie vor der Installation des Rollups zur Seite und spielt sie danach
> wieder zurck, geht die CPU nach einem Reboot wieder korrekt in den
> Halt-Modus. Wer das Rollup bereits installiert hat findet unter
> Umstnden im Verzeichnis C:\WINNT\$NtUpdateRollupPackUninstall$ eine
> Sicherungskopie der Bibliothek. Eventuelle Sicherheitspatches, die
> Microsoft zum Update der hal.dll veranlasst haben, sind dann allerdings
> nicht mehr wirksam.
> </zitat>
>
> wie beschrieben mglicherweise sicherheitsrelevant.


Und bringt 891861 eine HAL.DLL mit?

Nein, es enthaelt eine HALMACPI.DLL. Wenn ich dem Dateinamen trauen kann,
dann ist das die HAL.DLL fuer Multiprozessorrechner mit ACPI.
Aber dieses unwichtige Detail verschweigen die Idioten von Heise natuerlich,
die machen lieber die Pferde scheu.
Ebenso verschweigen sie, dass seit dem Service Pack 4 kein Sicherheitspatch
eine HAL*.DLL mitbrachte, die korrigierte HALMACPI.DLL demzufolge also keine
sicherheitsrelevante Korrektur enthaelt.


> Kennt jemand einen besseren Wrgarround oder hat schon jemand getestet,
> ob das zitierte Verfahren unbedenklich ist oder nicht?


Der vorgeschlagene Wuergaround ist OERKS!
Wenn ICH sowas mache, dann ersetzte ich nicht die von der Windows File
Protection ueberwachte HAL.DLL, sondern erzeuge in der \BOOT.INI eine
neue Zeile, der ich ein /HAL=HALMACPI.DLL anhaenge, und kopiere die
besagte Datei nach %SystemRoot%\SYSTEM32\. Das mache ich aber nur dann,
wenn ich ein Multiprozessorsystem mit ACPI habe.

Ich hoffe nur, dass genuegend Lemminge sich ihr System mit diesem Tipp der
c't unbrauchbar machen.

Stefan
[ 
-- 
Die unaufgeforderte Zusendung einer Werbemail an Privatleute verstoesst gegen
1 UWG und 823 I BGB. Beschluss des LG Berlin vom 2.4.1998 (AZ: 16 O 201/98)
Das unverlangte Versenden von Werbemail ist nach 1 UWG wettbewerbswidrig.
Beschluss des LG Traunstein vom 18.12.1997 (AZ: 2 HKO 3755/97)

Am Tue, 12 Jul 2005 19:43:21 +0200 schrieb Stefan Kanthak:


> Nein, es enthaelt eine HALMACPI.DLL. Wenn ich dem Dateinamen trauen kann,
> dann ist das die HAL.DLL fuer Multiprozessorrechner mit ACPI.


Danke fr die Aufklrung.

Gilt diese HAL auch fr Hyperthreading?


> Ich hoffe nur, dass genuegend Lemminge sich ihr System mit diesem Tipp der
> c't unbrauchbar machen.


Warum sollte das System dadurch unbrauchbar werden?

Gru Carsten
-- 
http://got.to/quote - richtig zitieren | http://oe-faq.de/ - OE im Usenet 
http://www.realname-diskussion.info - Realnames sind keine Pflicht
http://www.spamgourmet.com/ + http://www.despammed.com/ - Antispam-Email
cakruege (at) despammed (dot) com | http://www.geocities.com/mungfaq/

Hi,

Stefan Kanthak schrieb:


> Ich hoffe nur, dass genuegend Lemminge sich ihr System mit diesem Tipp der
> c't unbrauchbar machen.


Weil der Windows Dateischutz unter Umstnden die ersetzte Datei
bemngelt, auf den Originaldatentrger zurckgreifen mchte, um die
Datei zu ersetzen und dies letztendlich dann aber aus unerfindlichen
Grnden nicht funktioniert.

Besim

-- 
Besim at Karadeniz dot de >> Pforzheim/GER >>> http://www.karadeniz.de/
netplanet - Verstehen Sie mal das Internet! - http://www.netplanet.org/
 "Fr Kenner der Szene war es nur eine Frage der Zeit, bis Daniel
   Kblbck mit einem Gurkenlaster zusammenstt." -- Thomas Gottschalk

"Carsten Krueger"  schrieb:


> Am Tue, 12 Jul 2005 19:43:21 +0200 schrieb Stefan Kanthak:
>
> > Nein, es enthaelt eine HALMACPI.DLL. Wenn ich dem Dateinamen trauen kann,
> > dann ist das die HAL.DLL fuer Multiprozessorrechner mit ACPI.
>
> Danke fr die Aufklrung.
>
> Gilt diese HAL auch fr Hyperthreading?


Ja; HT ist fuer Windows ein "logischer" Multiprozessor.


> > Ich hoffe nur, dass genuegend Lemminge sich ihr System mit diesem Tipp der
> > c't unbrauchbar machen.
>
> Warum sollte das System dadurch unbrauchbar werden?


Auf der Installations-CD gibt's eine \I386\HAL.DL_. Die Windows File
Protection weiss nichts von der Umbenennung HAL*.DLL -> HAL.DLL und
stellt ggf. stur die HAL.DLL aus der HAL.DL_ her. Gute Nacht...

Stefan
[ 
-- 
Die unaufgeforderte Zusendung einer Werbemail an Privatleute verstoesst gegen
1 UWG und 823 I BGB. Beschluss des LG Berlin vom 2.4.1998 (AZ: 16 O 201/98)
Das unverlangte Versenden von Werbemail ist nach 1 UWG wettbewerbswidrig.
Beschluss des LG Traunstein vom 18.12.1997 (AZ: 2 HKO 3755/97)

Am Tue, 12 Jul 2005 21:19:17 +0200 schrieb Stefan Kanthak:


> Ja; HT ist fuer Windows ein "logischer" Multiprozessor.


ok, dann sind zumindest einige System betroffen, wobei sich auf nem P4
wahrscheinlich eher ein XP befindet.


> Auf der Installations-CD gibt's eine \I386\HAL.DL_. Die Windows File
> Protection weiss nichts von der Umbenennung HAL*.DLL -> HAL.DLL und
> stellt ggf. stur die HAL.DLL aus der HAL.DL_ her. Gute Nacht...


?

Dann ist doch der alte Zustand wieder hergestellt, warum soll das Krachen?
Der Austausch ist dann halt wieder rckgngig gemacht.

Gru Carsten
-- 
http://got.to/quote - richtig zitieren | http://oe-faq.de/ - OE im Usenet 
http://www.realname-diskussion.info - Realnames sind keine Pflicht
http://www.spamgourmet.com/ + http://www.despammed.com/ - Antispam-Email
cakruege (at) despammed (dot) com | http://www.geocities.com/mungfaq/

Stefan Kanthak schrieb:


> "Ralph Lehmann"  schrieb:

>> Diskussionen ber
>>
>> http://www.heise.de/security/news/meldung/61584
>>
>> sind hier zwar nicht ganz so OnT, allerdings ist die Umsetzung von
>>
>> <zitat>
....
>> </zitat>
>>
>> wie beschrieben mglicherweise sicherheitsrelevant.
> 
> Und bringt 891861 eine HAL.DLL mit?
> 
> Nein, es enthaelt eine HALMACPI.DLL. Wenn ich dem Dateinamen trauen kann,
> dann ist das die HAL.DLL fuer Multiprozessorrechner mit ACPI.


Hab's gerade nachgeprft, Du hast Recht.

Fazit: Auch jeder Bugreport darf von allen Betroffenen selbst
nachgestellt und getestet werden. Fragt sich nur, wann ...

Na dann - gute Nacht :-/

ciao Ralph

Carsten Krueger wrote:


>> Auf der Installations-CD gibt's eine \I386\HAL.DL_. Die Windows File
>> Protection weiss nichts von der Umbenennung HAL*.DLL -> HAL.DLL und
>> stellt ggf. stur die HAL.DLL aus der HAL.DL_ her. Gute Nacht...
> 
> ?
> 
> Dann ist doch der alte Zustand wieder hergestellt


Nein. Die hal.dll, die vorher auf der Platte lag, war fr
ACPI-Multiprocesser und befindet sich als halmacpi.dll auf der
Installations-CD. Zurckgespielt wird die fr Singleprozessor ohne ACPI.


> warum soll das Krachen?


Ohne da die ntoskrnl.exe noch die Treiberkonfiguration ausgetauscht wird,
kracht das garantiert.
-- 
Dieser Schrieb stellt eine private Meinungsuerung des Verfassers im
Sinne der gesetzlich garantierten Meinungsfreiheit dar. Wem das nicht
passt, der wende sich an das Bundesverfassungsgericht. Viel Erfolg!
Key: 0xA0E28D18 FP: 83AE 1136 1E2B 9767 8FB2 7594 4128 1A9E A0E2 8D18

Am Wed, 13 Jul 2005 00:29:43 +0200 schrieb Sebastian Gottschalk:


> Ohne da die ntoskrnl.exe noch die Treiberkonfiguration ausgetauscht wird,
> kracht das garantiert.


ok, das war mir nicht klar.

Gru Carsten
-- 
http://got.to/quote - richtig zitieren | http://oe-faq.de/ - OE im Usenet 
http://www.realname-diskussion.info - Realnames sind keine Pflicht
http://www.spamgourmet.com/ + http://www.despammed.com/ - Antispam-Email
cakruege (at) despammed (dot) com | http://www.geocities.com/mungfaq/

Sebastian Gottschalk wrote:

> Carsten Krueger wrote:
>>> Auf der Installations-CD gibt's eine \I386\HAL.DL_. Die Windows File
>>> Protection weiss nichts von der Umbenennung HAL*.DLL -> HAL.DLL und
>>> stellt ggf. stur die HAL.DLL aus der HAL.DL_ her. Gute Nacht...
>> 
>> Dann ist doch der alte Zustand wieder hergestellt
> 
> Nein. Die hal.dll, die vorher auf der Platte lag, war fr ACPI-Multi-
> processer und befindet sich als halmacpi.dll auf der Installations-CD.
> Zurckgespielt wird die fr Singleprozessor ohne ACPI.
> 
>> warum soll das Krachen?
> 
> Ohne da die ntoskrnl.exe noch die Treiberkonfiguration ausgetauscht
> wird, kracht das garantiert.


Nein. BTDT. Man muss danach zwar mit einiger Sicherheit smtliche
Treiber neu installieren, aber "krachen" (im Sinne von "System
funktioniert nicht mehr") tut es sehr wahrscheinlich nicht.

cu
59cobalt
-- 
"All vulnerabilities deserve a public fear period prior to patches
becoming available."
--Jason Coombs on Bugtraq

"Ralph Lehmann"  schrieb:


> Stefan Kanthak schrieb:


[http://www.heise.de/security/news/meldung/61584]


> > Und bringt 891861 eine HAL.DLL mit?
> >
> > Nein, es enthaelt eine HALMACPI.DLL. Wenn ich dem Dateinamen trauen kann,
> > dann ist das die HAL.DLL fuer Multiprozessorrechner mit ACPI.
>
> Hab's gerade nachgeprft, Du hast Recht.
>
> Fazit: Auch jeder Bugreport darf von allen Betroffenen selbst
> nachgestellt und getestet werden. Fragt sich nur, wann ...


Das Ueble ist eigentlich, dass ich fuer meine "Analyse" noch nicht 'mal eine
Minute gebraucht habe. Ein gezielter Blick auf meine W2K SP4 plus Patches
"slipstream" CD in Form von "DIR /S \I386\HAL*.DL?" genuegte!

Nicht 'mal dazu sind die Redakteure bei Heise mehr im Stande.


> Na dann - gute Nacht :-/


Ja, das ist traurig.
Stefan
[ 
-- 
Die unaufgeforderte Zusendung einer Werbemail an Privatleute verstoesst gegen
1 UWG und 823 I BGB. Beschluss des LG Berlin vom 2.4.1998 (AZ: 16 O 201/98)
Das unverlangte Versenden von Werbemail ist nach 1 UWG wettbewerbswidrig.
Beschluss des LG Traunstein vom 18.12.1997 (AZ: 2 HKO 3755/97)