Уязвимости Meltdown и Spectre.
Модератор: Модераторы разделов
Уязвимости Meltdown и Spectre.
Ко мне сегодня приплыли обновления linux-compiler-gcc-6-x86 linux-headers-amd64 linux-kbuild-4.9 linux-libc-dev
Правильно ли я понимаю, что это патчится вот это: https://www.opennet.ru/opennews/art.shtml?num=47856 ?
Правильно ли я понимаю, что это патчится вот это: https://www.opennet.ru/opennews/art.shtml?num=47856 ?
- Bizdelnick
- Модератор
- Сообщения: 20794
- Статус: nulla salus bello
- ОС: Debian GNU/Linux
Re: Уязвимости Meltdown и Spectre.
Shell
Код: Выделить всё
% zcat /usr/share/doc/linux-compiler-gcc-6-x86/changelog.Debian.gz | head -n50
linux (4.9.65-3+deb9u2) stretch-security; urgency=high
* x86: setup PCID, preparation work for KPTI.
- x86/mm/64: Fix reboot interaction with CR4.PCIDE
- x86/mm: Add the 'nopcid' boot option to turn off PCID
- x86/mm: Disable PCID on 32-bit kernels
- x86/mm: Enable CR4.PCIDE on supported systems
* [amd64] Implement Kernel Page Table Isolation (KPTI, aka KAISER)
(CVE-2017-5754)
- kaiser: add "nokaiser" boot option, using ALTERNATIVE
- kaiser: align addition to x86/mm/Makefile
- kaiser: asm/tlbflush.h handle noPGE at lower level
- kaiser: cleanups while trying for gold link
- kaiser: delete KAISER_REAL_SWITCH option
- kaiser: disabled on Xen PV
- kaiser: do not set _PAGE_NX on pgd_none
- kaiser: drop is_atomic arg to kaiser_pagetable_walk()
- kaiser: enhanced by kernel and user PCIDs
- kaiser: ENOMEM if kaiser_pagetable_walk() NULL
- kaiser: fix build and FIXME in alloc_ldt_struct()
- kaiser: fix perf crashes
- kaiser: fix regs to do_nmi() ifndef CONFIG_KAISER
- kaiser: fix unlikely error in alloc_ldt_struct()
- kaiser: KAISER depends on SMP
- kaiser: kaiser_flush_tlb_on_return_to_user() check PCID
- kaiser: kaiser_remove_mapping() move along the pgd
- KAISER: Kernel Address Isolation
- x86_64: KAISER - do not map kernel in user mode
- kaiser: load_new_mm_cr3() let SWITCH_USER_CR3 flush user
- kaiser: merged update
- kaiser: name that 0x1000 KAISER_SHADOW_PGD_OFFSET
- kaiser: paranoid_entry pass cr3 need to paranoid_exit
- kaiser: PCID 0 for kernel and 128 for user
- kaiser: stack map PAGE_SIZE at THREAD_SIZE-PAGE_SIZE
- kaiser: tidied up asm/kaiser.h somewhat
- kaiser: tidied up kaiser_add/remove_mapping slightly
- kaiser: use ALTERNATIVE instead of x86_cr3_pcid_noflush
- kaiser: vmstat show NR_KAISERTABLE as nr_overhead
- kaiser: x86_cr3_pcid_noflush and x86_cr3_pcid_user
- KPTI: Rename to PAGE_TABLE_ISOLATION
- KPTI: Report when enabled
- x86/boot: Add early cmdline parsing for options with arguments
- x86/kaiser: Check boottime cmdline params
- x86/kaiser: Move feature detection up
- x86/kaiser: Reenable PARAVIRT
- x86/kaiser: Rename and simplify X86_FEATURE_KAISER handling
- x86/paravirt: Dont patch flush_tlb_single
* Bump ABI to 5.
-- Yves-Alexis Perez <corsac@debian.org> Thu, 04 Jan 2018 12:12:40 +0100
%
Пишите правильно:
в консоли вку́пе (с чем-либо) в общем вообще | в течение (часа) новичок нюанс по умолчанию | приемлемо проблема пробовать трафик |
- serzh-z
- Бывший модератор
- Сообщения: 8259
- Статус: Маньяк
- ОС: Arch, Fedora, Ubuntu
- Контактная информация:
Re: Уязвимости Meltdown и Spectre.
chitatel
Исправление планируется делать в ядре. libc и компилятор тут не причем.
Исправление планируется делать в ядре. libc и компилятор тут не причем.
- Bizdelnick
- Модератор
- Сообщения: 20794
- Статус: nulla salus bello
- ОС: Debian GNU/Linux
Re: Уязвимости Meltdown и Spectre.
В debian пакеты, начинающиеся с linux-, относятся к ядру. Но таки да, должен обновиться ещё и linux-image-*. Если этого не произошло, надо сделать apt dist-upgrade.
Пишите правильно:
в консоли вку́пе (с чем-либо) в общем вообще | в течение (часа) новичок нюанс по умолчанию | приемлемо проблема пробовать трафик |
Re: Уязвимости Meltdown и Spectre.
А вот сегодня обновилось и ядро
Таким образом, это патчит сабжевые уязвимости?
Код: Выделить всё
НОВЫЕ пакеты, которые будут установлены:
linux-image-4.9.0-5-686-pae
Пакеты, которые будут обновлены:
linux-image-686-pae
обновлено 1, установлено 1 новых пакетов, для удаления отмечено 0 пакетов, и 24 пакетов не обновлено.
Необходимо скачать 37,5 MБ архивов.
После данной операции, объём занятого дискового пространства возрастёт на 140 MB.
Хотите продолжить? [Д/н] y
Таким образом, это патчит сабжевые уязвимости?
- Bizdelnick
- Модератор
- Сообщения: 20794
- Статус: nulla salus bello
- ОС: Debian GNU/Linux
Re: Уязвимости Meltdown и Spectre.
Вообще-то в репу все это пакеты прилетели одновременно, они ведь из одного исходного пакета собираются. У меня всё вчера обновилось, но понадобился dist-upgrade.
Пишите правильно:
в консоли вку́пе (с чем-либо) в общем вообще | в течение (часа) новичок нюанс по умолчанию | приемлемо проблема пробовать трафик |
Re: Уязвимости Meltdown и Spectre.
А я всегда делаю apt-get update & apt-get dist-upgrade, но ядро новое приплыло только сегодня. Почему - ХЗ, репозитории "из коробки".
Re: Уязвимости Meltdown и Spectre.
От Мелтдауна - да.
От Спектра надо патчить софт. Весь.
Хрю.
Спасибо сказали:
Re: Уязвимости Meltdown и Spectre.
то есть в дебиан всё уже хорошо, а в calculate нет???
патчить или перекомпилировать? Правильно ли я понимаю, что речь только о софте, в котором есть какие то секреты?
От Спектра надо патчить софт. Весь.
патчить или перекомпилировать? Правильно ли я понимаю, что речь только о софте, в котором есть какие то секреты?
Re: Уязвимости Meltdown и Spectre.
В интернетах пишут, что для оффтопика запилили обновление, которое поломало компьютеры на АМДишных камнях. Тысячи их. Епик фейл.
Хотя... Не заработает камень - не сработает уязвимость. Так что эпик вин!
https://lenta.ru/news/2018/01/09/microsoft/
Хотя... Не заработает камень - не сработает уязвимость. Так что эпик вин!
https://lenta.ru/news/2018/01/09/microsoft/
Re: Уязвимости Meltdown и Spectre.
Та ладно вам. Meltdown и Spectre интересны сами по себе, вне зависимости от ОС. Сложность железа растет намного быстрее, чем можно снаружи охватить взором того же программиста. Не разработчика.
И сколько еще там подобных вещей - кто знает...
И сколько еще там подобных вещей - кто знает...
- Bizdelnick
- Модератор
- Сообщения: 20794
- Статус: nulla salus bello
- ОС: Debian GNU/Linux
Re: Уязвимости Meltdown и Spectre.
Перекомпилировать. Патченым компилятором.
Пишите правильно:
в консоли вку́пе (с чем-либо) в общем вообще | в течение (часа) новичок нюанс по умолчанию | приемлемо проблема пробовать трафик |
Re: Уязвимости Meltdown и Spectre.
Кому интересно, кстати, пример работющего meltdown.
Вроде как проверка на spectre. Но ради интереса позапускал на intel-cpu компьютере с ведром и прочим софтом с прошлого года, говорит, что я неуязвим )
Вроде как проверка на spectre. Но ради интереса позапускал на intel-cpu компьютере с ведром и прочим софтом с прошлого года, говорит, что я неуязвим )
UNIX is basically a simple operating system, but you have to be a genius to understand the simplicity. © Dennis Ritchie
The more you believe you don't do mistakes, the more bugs are in your code.
The more you believe you don't do mistakes, the more bugs are in your code.
Спасибо сказали:
- serzh-z
- Бывший модератор
- Сообщения: 8259
- Статус: Маньяк
- ОС: Arch, Fedora, Ubuntu
- Контактная информация:
Re: Уязвимости Meltdown и Spectre.
Как хорошо иметь древний процессор. )
Re: Уязвимости Meltdown и Spectre.
+1
Тут список уязвимых камней Intel: https://evrl.to/articles/5a506eb06ec7f749ed...down-i-spectre/
Yet another отчёт о состоянии дел на текущий момент: https://www.opennet.ru/opennews/art.shtml?num=47880
P.S. Я прочитал этот отчёт - всё плохо.
Спасибо сказали:
- serzh-z
- Бывший модератор
- Сообщения: 8259
- Статус: Маньяк
- ОС: Arch, Fedora, Ubuntu
- Контактная информация:
Re: Уязвимости Meltdown и Spectre.
Упс... Оказывается, чтобы выйти из группы риска, нужно иметь еще более древний.chitatel писал(а): ↑10.01.2018 04:43Тут список уязвимых камней Intel: https://evrl.to/articles/5a506eb06ec7f749ed...down-i-spectre/
Да в мире машин и механизмов никогда и не было все хорошо. =)
- Bizdelnick
- Модератор
- Сообщения: 20794
- Статус: nulla salus bello
- ОС: Debian GNU/Linux
Re: Уязвимости Meltdown и Spectre.
Ну говорили — едва ли не все камни с 1995 года подвержены, а выходит, даже первые core якобы безопасненькие.
Пишите правильно:
в консоли вку́пе (с чем-либо) в общем вообще | в течение (часа) новичок нюанс по умолчанию | приемлемо проблема пробовать трафик |
Re: Уязвимости Meltdown и Spectre.
Bizdelnick писал(а): ↑11.01.2018 20:56Ну говорили — едва ли не все камни с 1995 года подвержены, а выходит, даже первые core якобы безопасненькие.
Потенциально, список больше. Intel написал, что список может меняться. Наверное, в списке сейчас подтвердженные.
Re: Уязвимости Meltdown и Spectre.
Чтобы выйти из группы риска, надо иметь процессор без механизма предсказания ветвлений. Оный механизм появился в архитектуре P6, сиречь, Пентиум Про.
Так что тебе, уважаемый тёзка, нужен или первый Пентиум или что-то из основанных на оном самых ранних Атомов. Хотел было предложить тебе свой ЕЕЕ900, но вспомнил, что у него внутри не Атом, а обрезок на базе Туалатина, так что увы.
Хрю.
Re: Уязвимости Meltdown и Spectre.
Topper
Из более современных можно Raspberry Pi 3, там A53, он ещё не подвержен таким проблемам тоже.
Из более современных можно Raspberry Pi 3, там A53, он ещё не подвержен таким проблемам тоже.
Re: Уязвимости Meltdown и Spectre.
Тыгы-дым!
https://www.opennet.ru/opennews/art.shtml?num=47903
Уа-ха-ха-ха-ха...
Не ребутится.
P.S. Байкал спасёт нас: https://geektimes.ru/post/297217/
https://www.opennet.ru/opennews/art.shtml?num=47903
Уа-ха-ха-ха-ха...
Код: Выделить всё
intel-microcode:
Установлен: 3.20180108.0~ubuntu16.04.2
Кандидат: 3.20180108.0~ubuntu16.04.2
Таблица версий:
*** 3.20180108.0~ubuntu16.04.2 500
500 http://archive.ubuntu.com/ubuntu xenial-updates/main amd64 Packages
500 http://archive.ubuntu.com/ubuntu xenial-security/main amd64 Packages
100 /var/lib/dpkg/status
3.20151106.1 500
500 http://archive.ubuntu.com/ubuntu xenial/restricted amd64 Packages
P.S. Байкал спасёт нас: https://geektimes.ru/post/297217/
-
- Сообщения: 954
- Статус: дилетант широкого профиля
- ОС: Gentoo arm64 musl hardened
- Контактная информация:
Re: Уязвимости Meltdown и Spectre.
chitatel писал(а): ↑15.01.2018 13:13Тыгы-дым!
https://www.opennet.ru/opennews/art.shtml?num=47903
Уа-ха-ха-ха-ха...
Не ребутится.Код: Выделить всё
intel-microcode: Установлен: 3.20180108.0~ubuntu16.04.2 Кандидат: 3.20180108.0~ubuntu16.04.2 Таблица версий: *** 3.20180108.0~ubuntu16.04.2 500 500 http://archive.ubuntu.com/ubuntu xenial-updates/main amd64 Packages 500 http://archive.ubuntu.com/ubuntu xenial-security/main amd64 Packages 100 /var/lib/dpkg/status 3.20151106.1 500 500 http://archive.ubuntu.com/ubuntu xenial/restricted amd64 Packages
P.S. Байкал спасёт нас: https://geektimes.ru/post/297217/
T1 - сетевой процессор. Во-первых он не для того, он для всяких SAN'ов. Во-вторых, никто не проверял, подвержен ли он утечкам при спекулятивной работе с кешем.
А вот AMD, по итогам, радуют. Если они ещё смогут убедить дистростроителей патч от мелтдауна на все ядра не накладывать, то вообще великолепно будет.
С уважением,
Павел Алиев
Павел Алиев
- Bizdelnick
- Модератор
- Сообщения: 20794
- Статус: nulla salus bello
- ОС: Debian GNU/Linux
Re: Уязвимости Meltdown и Spectre.
Так в нём же отключили KPTI для AMD.
Но сдаётся мне, что в AMD могут быть дыры не меньше, просто там недостаточно хорошо искали (пока).
Пишите правильно:
в консоли вку́пе (с чем-либо) в общем вообще | в течение (часа) новичок нюанс по умолчанию | приемлемо проблема пробовать трафик |
Спасибо сказали:
-
- Сообщения: 954
- Статус: дилетант широкого профиля
- ОС: Gentoo arm64 musl hardened
- Контактная информация:
Re: Уязвимости Meltdown и Spectre.
Bizdelnick писал(а): ↑16.01.2018 15:29
Так в нём же отключили KPTI для AMD.
Но сдаётся мне, что в AMD могут быть дыры не меньше, просто там недостаточно хорошо искали (пока).
Так и есть. Google занято в основном разбором Intel'а. И их не трудно понять: на базе intel'а делаются все хром-коробки и лаптопы. Их изыскания обычно сильно правдивей, чем документация от intel. Собственно в том же coreboot'е почти весь код для платформ позже 945, - заслуга Google. Случается даже парадоксальное: мне проще портировать новую материнку на intel'е серии 6 или 7 (где всё NDA), чем на AMD Fam10, где всё открыто и доступно к прочтению.
Вот теперь они и до тестирования безопасности дошли. Молодцы!)
С уважением,
Павел Алиев
Павел Алиев
-
- Сообщения: 954
- Статус: дилетант широкого профиля
- ОС: Gentoo arm64 musl hardened
- Контактная информация:
Re: Уязвимости Meltdown и Spectre.
Ну не совсем. Это неттоп с ХромОсью. Очень маленький неттоп. На очень качественной начинке. Достаточно же будет упомянуть, что Гугль имеет для своего железа собственные SuperIO и EC?
С неприлично проработанной собственной реализацией БИОСа, на базе Coreboot'а.
Но по производительности ему далеко до полноценного настольника, конечно)
С уважением,
Павел Алиев
Павел Алиев
Спасибо сказали:
Re: Уязвимости Meltdown и Spectre.
Почитал https://3dnews.ru/963779 , увидел, что снижение производительности на ssd , также жалуются, что на серверах нагрузка на ресурсы возрастает после обнов. Вот я думаю,может ну его нафиг такие обновления в винде и linux? Как в calculate linux отказаться от обновлений для этих "дыр безопасности"?
Re: Уязвимости Meltdown и Spectre.
В долгосрочной перспективе отказаться не получится. Только если перестать обновляться. Ну или самостоятельно из ядра все эти патчи выпиливать.
PS.
Тем временем пошли разговоры про открытые процессоры.
UNIX is basically a simple operating system, but you have to be a genius to understand the simplicity. © Dennis Ritchie
The more you believe you don't do mistakes, the more bugs are in your code.
The more you believe you don't do mistakes, the more bugs are in your code.
Re: Уязвимости Meltdown и Spectre.
В долгосрочной перспективе отказаться не получится
очень плохо. Я хотел на али купить i5-2500 в конце месяца. А щас получается нафиг надо.