Уязвимости Meltdown и Spectre.

Любые разговоры которые хоть как-то связаны с тематикой форума

Модератор: Модераторы разделов

Аватара пользователя
chitatel
Сообщения: 2063

Уязвимости Meltdown и Spectre.

Сообщение chitatel »

Ко мне сегодня приплыли обновления linux-compiler-gcc-6-x86 linux-headers-amd64 linux-kbuild-4.9 linux-libc-dev

Правильно ли я понимаю, что это патчится вот это: https://www.opennet.ru/opennews/art.shtml?num=47856 ?
Спасибо сказали:
Аватара пользователя
Bizdelnick
Модератор
Сообщения: 20752
Статус: nulla salus bello
ОС: Debian GNU/Linux

Re: Уязвимости Meltdown и Spectre.

Сообщение Bizdelnick »

Shell

Код: Выделить всё

% zcat /usr/share/doc/linux-compiler-gcc-6-x86/changelog.Debian.gz | head -n50
linux (4.9.65-3+deb9u2) stretch-security; urgency=high

  * x86: setup PCID, preparation work for KPTI.
    - x86/mm/64: Fix reboot interaction with CR4.PCIDE
    - x86/mm: Add the 'nopcid' boot option to turn off PCID
    - x86/mm: Disable PCID on 32-bit kernels
    - x86/mm: Enable CR4.PCIDE on supported systems
  * [amd64] Implement Kernel Page Table Isolation (KPTI, aka KAISER)
    (CVE-2017-5754)
    - kaiser: add "nokaiser" boot option, using ALTERNATIVE
    - kaiser: align addition to x86/mm/Makefile
    - kaiser: asm/tlbflush.h handle noPGE at lower level
    - kaiser: cleanups while trying for gold link
    - kaiser: delete KAISER_REAL_SWITCH option
    - kaiser: disabled on Xen PV
    - kaiser: do not set _PAGE_NX on pgd_none
    - kaiser: drop is_atomic arg to kaiser_pagetable_walk()
    - kaiser: enhanced by kernel and user PCIDs
    - kaiser: ENOMEM if kaiser_pagetable_walk() NULL
    - kaiser: fix build and FIXME in alloc_ldt_struct()
    - kaiser: fix perf crashes
    - kaiser: fix regs to do_nmi() ifndef CONFIG_KAISER
    - kaiser: fix unlikely error in alloc_ldt_struct()
    - kaiser: KAISER depends on SMP
    - kaiser: kaiser_flush_tlb_on_return_to_user() check PCID
    - kaiser: kaiser_remove_mapping() move along the pgd
    - KAISER: Kernel Address Isolation
    - x86_64: KAISER - do not map kernel in user mode
    - kaiser: load_new_mm_cr3() let SWITCH_USER_CR3 flush user
    - kaiser: merged update
    - kaiser: name that 0x1000 KAISER_SHADOW_PGD_OFFSET
    - kaiser: paranoid_entry pass cr3 need to paranoid_exit
    - kaiser: PCID 0 for kernel and 128 for user
    - kaiser: stack map PAGE_SIZE at THREAD_SIZE-PAGE_SIZE
    - kaiser: tidied up asm/kaiser.h somewhat
    - kaiser: tidied up kaiser_add/remove_mapping slightly
    - kaiser: use ALTERNATIVE instead of x86_cr3_pcid_noflush
    - kaiser: vmstat show NR_KAISERTABLE as nr_overhead
    - kaiser: x86_cr3_pcid_noflush and x86_cr3_pcid_user
    - KPTI: Rename to PAGE_TABLE_ISOLATION
    - KPTI: Report when enabled
    - x86/boot: Add early cmdline parsing for options with arguments
    - x86/kaiser: Check boottime cmdline params
    - x86/kaiser: Move feature detection up
    - x86/kaiser: Reenable PARAVIRT
    - x86/kaiser: Rename and simplify X86_FEATURE_KAISER handling
    - x86/paravirt: Dont patch flush_tlb_single
  * Bump ABI to 5.

 -- Yves-Alexis Perez <corsac@debian.org>  Thu, 04 Jan 2018 12:12:40 +0100
%

Пишите правильно:
в консоли
вку́пе (с чем-либо)
в общем
вообще
в течение (часа)
новичок
нюанс
по умолчанию
приемлемо
проблема
пробовать
трафик
Спасибо сказали:
Аватара пользователя
serzh-z
Бывший модератор
Сообщения: 8259
Статус: Маньяк
ОС: Arch, Fedora, Ubuntu
Контактная информация:

Re: Уязвимости Meltdown и Spectre.

Сообщение serzh-z »

chitatel
Исправление планируется делать в ядре. libc и компилятор тут не причем.
Спасибо сказали:
Аватара пользователя
Bizdelnick
Модератор
Сообщения: 20752
Статус: nulla salus bello
ОС: Debian GNU/Linux

Re: Уязвимости Meltdown и Spectre.

Сообщение Bizdelnick »

serzh-z писал(а):
06.01.2018 01:31
chitatel
Исправление планируется делать в ядре. libc и компилятор тут не причем.

В debian пакеты, начинающиеся с linux-, относятся к ядру. Но таки да, должен обновиться ещё и linux-image-*. Если этого не произошло, надо сделать apt dist-upgrade.
Пишите правильно:
в консоли
вку́пе (с чем-либо)
в общем
вообще
в течение (часа)
новичок
нюанс
по умолчанию
приемлемо
проблема
пробовать
трафик
Спасибо сказали:
Аватара пользователя
chitatel
Сообщения: 2063

Re: Уязвимости Meltdown и Spectre.

Сообщение chitatel »

А вот сегодня обновилось и ядро

Код: Выделить всё

НОВЫЕ пакеты, которые будут установлены:
  linux-image-4.9.0-5-686-pae
Пакеты, которые будут обновлены:
  linux-image-686-pae
обновлено 1, установлено 1 новых пакетов, для удаления отмечено 0 пакетов, и 24 пакетов не обновлено.
Необходимо скачать 37,5 MБ архивов.
После данной операции, объём занятого дискового пространства возрастёт на 140 MB.
Хотите продолжить? [Д/н] y

Таким образом, это патчит сабжевые уязвимости?
Спасибо сказали:
Аватара пользователя
Bizdelnick
Модератор
Сообщения: 20752
Статус: nulla salus bello
ОС: Debian GNU/Linux

Re: Уязвимости Meltdown и Spectre.

Сообщение Bizdelnick »

chitatel писал(а):
06.01.2018 11:57
А вот сегодня обновилось и ядро

Вообще-то в репу все это пакеты прилетели одновременно, они ведь из одного исходного пакета собираются. У меня всё вчера обновилось, но понадобился dist-upgrade.
Пишите правильно:
в консоли
вку́пе (с чем-либо)
в общем
вообще
в течение (часа)
новичок
нюанс
по умолчанию
приемлемо
проблема
пробовать
трафик
Спасибо сказали:
Аватара пользователя
chitatel
Сообщения: 2063

Re: Уязвимости Meltdown и Spectre.

Сообщение chitatel »

А я всегда делаю apt-get update & apt-get dist-upgrade, но ядро новое приплыло только сегодня. Почему - ХЗ, репозитории "из коробки".
Спасибо сказали:
Topper
Бывший модератор
Сообщения: 2087
Статус: Насильник бабушек-педофилок
ОС: Windows 10

Re: Уязвимости Meltdown и Spectre.

Сообщение Topper »

serzh-z писал(а):
06.01.2018 01:31
Исправление планируется делать в ядре. libc и компилятор тут не причем.

От Мелтдауна - да.
От Спектра надо патчить софт. Весь.
Хрю.
Спасибо сказали:
azsx
Сообщения: 3684
ОС: calculate linux, debian, ubuntu

Re: Уязвимости Meltdown и Spectre.

Сообщение azsx »

то есть в дебиан всё уже хорошо, а в calculate нет???
От Спектра надо патчить софт. Весь.

патчить или перекомпилировать? Правильно ли я понимаю, что речь только о софте, в котором есть какие то секреты?
Спасибо сказали:
Аватара пользователя
chitatel
Сообщения: 2063

Re: Уязвимости Meltdown и Spectre.

Сообщение chitatel »

В интернетах пишут, что для оффтопика запилили обновление, которое поломало компьютеры на АМДишных камнях. Тысячи их. Епик фейл.

Хотя... Не заработает камень - не сработает уязвимость. Так что эпик вин!

https://lenta.ru/news/2018/01/09/microsoft/
Спасибо сказали:
Аватара пользователя
devilr
Сообщения: 3665
ОС: Mandriva => Gentoo (~amd64)
Контактная информация:

Re: Уязвимости Meltdown и Spectre.

Сообщение devilr »

Та ладно вам. Meltdown и Spectre интересны сами по себе, вне зависимости от ОС. Сложность железа растет намного быстрее, чем можно снаружи охватить взором того же программиста. Не разработчика.
И сколько еще там подобных вещей - кто знает...
Мудрость приходит с возрастом.
Иногда возраст приходит один.
Эхо разума
Спасибо сказали:
Аватара пользователя
Bizdelnick
Модератор
Сообщения: 20752
Статус: nulla salus bello
ОС: Debian GNU/Linux

Re: Уязвимости Meltdown и Spectre.

Сообщение Bizdelnick »

azsx писал(а):
06.01.2018 16:44
патчить или перекомпилировать?

Перекомпилировать. Патченым компилятором.
Пишите правильно:
в консоли
вку́пе (с чем-либо)
в общем
вообще
в течение (часа)
новичок
нюанс
по умолчанию
приемлемо
проблема
пробовать
трафик
Спасибо сказали:
Аватара пользователя
SLEDopit
Модератор
Сообщения: 4823
Статус: фанат консоли (=
ОС: GNU/Debian, RHEL

Re: Уязвимости Meltdown и Spectre.

Сообщение SLEDopit »

Кому интересно, кстати, пример работющего meltdown.
Вроде как проверка на spectre. Но ради интереса позапускал на intel-cpu компьютере с ведром и прочим софтом с прошлого года, говорит, что я неуязвим )
UNIX is basically a simple operating system, but you have to be a genius to understand the simplicity. © Dennis Ritchie
The more you believe you don't do mistakes, the more bugs are in your code.
Спасибо сказали:
Аватара пользователя
serzh-z
Бывший модератор
Сообщения: 8259
Статус: Маньяк
ОС: Arch, Fedora, Ubuntu
Контактная информация:

Re: Уязвимости Meltdown и Spectre.

Сообщение serzh-z »

Как хорошо иметь древний процессор. )
Спасибо сказали:
Аватара пользователя
chitatel
Сообщения: 2063

Re: Уязвимости Meltdown и Spectre.

Сообщение chitatel »

serzh-z писал(а):
10.01.2018 03:10
Как хорошо иметь древний процессор. )

+1 :)

Тут список уязвимых камней Intel: https://evrl.to/articles/5a506eb06ec7f749ed...down-i-spectre/

Yet another отчёт о состоянии дел на текущий момент: https://www.opennet.ru/opennews/art.shtml?num=47880

P.S. Я прочитал этот отчёт - всё плохо.
Спасибо сказали:
Аватара пользователя
serzh-z
Бывший модератор
Сообщения: 8259
Статус: Маньяк
ОС: Arch, Fedora, Ubuntu
Контактная информация:

Re: Уязвимости Meltdown и Spectre.

Сообщение serzh-z »

chitatel писал(а):
10.01.2018 04:43
Тут список уязвимых камней Intel: https://evrl.to/articles/5a506eb06ec7f749ed...down-i-spectre/
Упс... Оказывается, чтобы выйти из группы риска, нужно иметь еще более древний.

chitatel писал(а):
10.01.2018 04:43
P.S. Я прочитал этот отчёт - всё плохо.
Да в мире машин и механизмов никогда и не было все хорошо. =)
Спасибо сказали:
Аватара пользователя
Bizdelnick
Модератор
Сообщения: 20752
Статус: nulla salus bello
ОС: Debian GNU/Linux

Re: Уязвимости Meltdown и Spectre.

Сообщение Bizdelnick »

Ну говорили — едва ли не все камни с 1995 года подвержены, а выходит, даже первые core якобы безопасненькие.
Пишите правильно:
в консоли
вку́пе (с чем-либо)
в общем
вообще
в течение (часа)
новичок
нюанс
по умолчанию
приемлемо
проблема
пробовать
трафик
Спасибо сказали:
NickLion
Сообщения: 3408
Статус: аватар-невидимка
ОС: openSUSE Tumbleweed x86_64

Re: Уязвимости Meltdown и Spectre.

Сообщение NickLion »

Bizdelnick писал(а):
11.01.2018 20:56
Ну говорили — едва ли не все камни с 1995 года подвержены, а выходит, даже первые core якобы безопасненькие.

Потенциально, список больше. Intel написал, что список может меняться. Наверное, в списке сейчас подтвердженные.
Спасибо сказали:
Topper
Бывший модератор
Сообщения: 2087
Статус: Насильник бабушек-педофилок
ОС: Windows 10

Re: Уязвимости Meltdown и Spectre.

Сообщение Topper »

serzh-z писал(а):
11.01.2018 20:30
Упс... Оказывается, чтобы выйти из группы риска, нужно иметь еще более древний.

Чтобы выйти из группы риска, надо иметь процессор без механизма предсказания ветвлений. Оный механизм появился в архитектуре P6, сиречь, Пентиум Про.
Так что тебе, уважаемый тёзка, нужен или первый Пентиум или что-то из основанных на оном самых ранних Атомов. Хотел было предложить тебе свой ЕЕЕ900, но вспомнил, что у него внутри не Атом, а обрезок на базе Туалатина, так что увы.
Хрю.
Спасибо сказали:
NickLion
Сообщения: 3408
Статус: аватар-невидимка
ОС: openSUSE Tumbleweed x86_64

Re: Уязвимости Meltdown и Spectre.

Сообщение NickLion »

Topper
Из более современных можно Raspberry Pi 3, там A53, он ещё не подвержен таким проблемам тоже.
Спасибо сказали:
Topper
Бывший модератор
Сообщения: 2087
Статус: Насильник бабушек-педофилок
ОС: Windows 10

Re: Уязвимости Meltdown и Spectre.

Сообщение Topper »

Ну кстати да :)
Хрю.
Спасибо сказали:
Аватара пользователя
chitatel
Сообщения: 2063

Re: Уязвимости Meltdown и Spectre.

Сообщение chitatel »

Тыгы-дым!

https://www.opennet.ru/opennews/art.shtml?num=47903

Уа-ха-ха-ха-ха...

Код: Выделить всё

intel-microcode:
  Установлен: 3.20180108.0~ubuntu16.04.2
  Кандидат:   3.20180108.0~ubuntu16.04.2
  Таблица версий:
 *** 3.20180108.0~ubuntu16.04.2 500
        500 http://archive.ubuntu.com/ubuntu xenial-updates/main amd64 Packages
        500 http://archive.ubuntu.com/ubuntu xenial-security/main amd64 Packages
        100 /var/lib/dpkg/status
     3.20151106.1 500
        500 http://archive.ubuntu.com/ubuntu xenial/restricted amd64 Packages
Не ребутится.

P.S. Байкал спасёт нас: https://geektimes.ru/post/297217/
Спасибо сказали:
Aliech
Сообщения: 952
Статус: дилетант широкого профиля
ОС: Gentoo arm64 musl hardened
Контактная информация:

Re: Уязвимости Meltdown и Spectre.

Сообщение Aliech »

chitatel писал(а):
15.01.2018 13:13
Тыгы-дым!

https://www.opennet.ru/opennews/art.shtml?num=47903

Уа-ха-ха-ха-ха...

Код: Выделить всё

intel-microcode:
  Установлен: 3.20180108.0~ubuntu16.04.2
  Кандидат:   3.20180108.0~ubuntu16.04.2
  Таблица версий:
 *** 3.20180108.0~ubuntu16.04.2 500
        500 http://archive.ubuntu.com/ubuntu xenial-updates/main amd64 Packages
        500 http://archive.ubuntu.com/ubuntu xenial-security/main amd64 Packages
        100 /var/lib/dpkg/status
     3.20151106.1 500
        500 http://archive.ubuntu.com/ubuntu xenial/restricted amd64 Packages
Не ребутится.

P.S. Байкал спасёт нас: https://geektimes.ru/post/297217/


T1 - сетевой процессор. Во-первых он не для того, он для всяких SAN'ов. Во-вторых, никто не проверял, подвержен ли он утечкам при спекулятивной работе с кешем.

А вот AMD, по итогам, радуют. Если они ещё смогут убедить дистростроителей патч от мелтдауна на все ядра не накладывать, то вообще великолепно будет.
С уважением,
Павел Алиев
Спасибо сказали:
Аватара пользователя
Bizdelnick
Модератор
Сообщения: 20752
Статус: nulla salus bello
ОС: Debian GNU/Linux

Re: Уязвимости Meltdown и Spectre.

Сообщение Bizdelnick »

Aliech писал(а):
16.01.2018 14:29
А вот AMD, по итогам, радуют. Если они ещё смогут убедить дистростроителей патч от мелтдауна на все ядра не накладывать, то вообще великолепно будет.

Так в нём же отключили KPTI для AMD.
Но сдаётся мне, что в AMD могут быть дыры не меньше, просто там недостаточно хорошо искали (пока).
Пишите правильно:
в консоли
вку́пе (с чем-либо)
в общем
вообще
в течение (часа)
новичок
нюанс
по умолчанию
приемлемо
проблема
пробовать
трафик
Спасибо сказали:
Aliech
Сообщения: 952
Статус: дилетант широкого профиля
ОС: Gentoo arm64 musl hardened
Контактная информация:

Re: Уязвимости Meltdown и Spectre.

Сообщение Aliech »

Bizdelnick писал(а):
16.01.2018 15:29
Aliech писал(а):
16.01.2018 14:29
А вот AMD, по итогам, радуют. Если они ещё смогут убедить дистростроителей патч от мелтдауна на все ядра не накладывать, то вообще великолепно будет.

Так в нём же отключили KPTI для AMD.
Но сдаётся мне, что в AMD могут быть дыры не меньше, просто там недостаточно хорошо искали (пока).


Так и есть. Google занято в основном разбором Intel'а. И их не трудно понять: на базе intel'а делаются все хром-коробки и лаптопы. Их изыскания обычно сильно правдивей, чем документация от intel. Собственно в том же coreboot'е почти весь код для платформ позже 945, - заслуга Google. Случается даже парадоксальное: мне проще портировать новую материнку на intel'е серии 6 или 7 (где всё NDA), чем на AMD Fam10, где всё открыто и доступно к прочтению.

Вот теперь они и до тестирования безопасности дошли. Молодцы!)
С уважением,
Павел Алиев
Спасибо сказали:
Аватара пользователя
serzh-z
Бывший модератор
Сообщения: 8259
Статус: Маньяк
ОС: Arch, Fedora, Ubuntu
Контактная информация:

Re: Уязвимости Meltdown и Spectre.

Сообщение serzh-z »

Aliech писал(а):
17.01.2018 12:20
хром-коробки
Кажется, я что-то пропустил. Это полноценный ПК от Google?
Спасибо сказали:
Aliech
Сообщения: 952
Статус: дилетант широкого профиля
ОС: Gentoo arm64 musl hardened
Контактная информация:

Re: Уязвимости Meltdown и Spectre.

Сообщение Aliech »

serzh-z писал(а):
18.01.2018 01:52
Aliech писал(а):
17.01.2018 12:20
хром-коробки
Кажется, я что-то пропустил. Это полноценный ПК от Google?

Ну не совсем. Это неттоп с ХромОсью. Очень маленький неттоп. На очень качественной начинке. Достаточно же будет упомянуть, что Гугль имеет для своего железа собственные SuperIO и EC?
С неприлично проработанной собственной реализацией БИОСа, на базе Coreboot'а.

Но по производительности ему далеко до полноценного настольника, конечно)
С уважением,
Павел Алиев
Спасибо сказали:
azsx
Сообщения: 3684
ОС: calculate linux, debian, ubuntu

Re: Уязвимости Meltdown и Spectre.

Сообщение azsx »

Почитал https://3dnews.ru/963779 , увидел, что снижение производительности на ssd , также жалуются, что на серверах нагрузка на ресурсы возрастает после обнов. Вот я думаю,может ну его нафиг такие обновления в винде и linux? Как в calculate linux отказаться от обновлений для этих "дыр безопасности"?
Спасибо сказали:
Аватара пользователя
SLEDopit
Модератор
Сообщения: 4823
Статус: фанат консоли (=
ОС: GNU/Debian, RHEL

Re: Уязвимости Meltdown и Spectre.

Сообщение SLEDopit »

azsx писал(а):
19.01.2018 05:18
Как в calculate linux отказаться от обновлений для этих "дыр безопасности"?
В долгосрочной перспективе отказаться не получится. Только если перестать обновляться. Ну или самостоятельно из ядра все эти патчи выпиливать.

PS.
Тем временем пошли разговоры про открытые процессоры.
UNIX is basically a simple operating system, but you have to be a genius to understand the simplicity. © Dennis Ritchie
The more you believe you don't do mistakes, the more bugs are in your code.
Спасибо сказали:
azsx
Сообщения: 3684
ОС: calculate linux, debian, ubuntu

Re: Уязвимости Meltdown и Spectre.

Сообщение azsx »

В долгосрочной перспективе отказаться не получится

очень плохо. Я хотел на али купить i5-2500 в конце месяца. А щас получается нафиг надо.
Спасибо сказали:
Ответить