Уязвимости Meltdown и Spectre.

Любые разговоры которые хоть как-то связаны с тематикой форума

Модератор: Модераторы разделов

Аватара пользователя
chitatel
Сообщения: 1476

Уязвимости Meltdown и Spectre.

Сообщение chitatel » 05.01.2018 06:16

Ко мне сегодня приплыли обновления linux-compiler-gcc-6-x86 linux-headers-amd64 linux-kbuild-4.9 linux-libc-dev

Правильно ли я понимаю, что это патчится вот это: https://www.opennet.ru/opennews/art.shtml?num=47856 ?
Спасибо сказали:

Аватара пользователя
Bizdelnick
Модератор
Сообщения: 13786
Статус: grammatikführer
ОС: Debian GNU/Linux

Re: Уязвимости Meltdown и Spectre.

Сообщение Bizdelnick » 05.01.2018 16:22

Код: Выделить всё

% zcat /usr/share/doc/linux-compiler-gcc-6-x86/changelog.Debian.gz | head -n50
linux (4.9.65-3+deb9u2) stretch-security; urgency=high

  * x86: setup PCID, preparation work for KPTI.
    - x86/mm/64: Fix reboot interaction with CR4.PCIDE
    - x86/mm: Add the 'nopcid' boot option to turn off PCID
    - x86/mm: Disable PCID on 32-bit kernels
    - x86/mm: Enable CR4.PCIDE on supported systems
  * [amd64] Implement Kernel Page Table Isolation (KPTI, aka KAISER)
    (CVE-2017-5754)
    - kaiser: add "nokaiser" boot option, using ALTERNATIVE
    - kaiser: align addition to x86/mm/Makefile
    - kaiser: asm/tlbflush.h handle noPGE at lower level
    - kaiser: cleanups while trying for gold link
    - kaiser: delete KAISER_REAL_SWITCH option
    - kaiser: disabled on Xen PV
    - kaiser: do not set _PAGE_NX on pgd_none
    - kaiser: drop is_atomic arg to kaiser_pagetable_walk()
    - kaiser: enhanced by kernel and user PCIDs
    - kaiser: ENOMEM if kaiser_pagetable_walk() NULL
    - kaiser: fix build and FIXME in alloc_ldt_struct()
    - kaiser: fix perf crashes
    - kaiser: fix regs to do_nmi() ifndef CONFIG_KAISER
    - kaiser: fix unlikely error in alloc_ldt_struct()
    - kaiser: KAISER depends on SMP
    - kaiser: kaiser_flush_tlb_on_return_to_user() check PCID
    - kaiser: kaiser_remove_mapping() move along the pgd
    - KAISER: Kernel Address Isolation
    - x86_64: KAISER - do not map kernel in user mode
    - kaiser: load_new_mm_cr3() let SWITCH_USER_CR3 flush user
    - kaiser: merged update
    - kaiser: name that 0x1000 KAISER_SHADOW_PGD_OFFSET
    - kaiser: paranoid_entry pass cr3 need to paranoid_exit
    - kaiser: PCID 0 for kernel and 128 for user
    - kaiser: stack map PAGE_SIZE at THREAD_SIZE-PAGE_SIZE
    - kaiser: tidied up asm/kaiser.h somewhat
    - kaiser: tidied up kaiser_add/remove_mapping slightly
    - kaiser: use ALTERNATIVE instead of x86_cr3_pcid_noflush
    - kaiser: vmstat show NR_KAISERTABLE as nr_overhead
    - kaiser: x86_cr3_pcid_noflush and x86_cr3_pcid_user
    - KPTI: Rename to PAGE_TABLE_ISOLATION
    - KPTI: Report when enabled
    - x86/boot: Add early cmdline parsing for options with arguments
    - x86/kaiser: Check boottime cmdline params
    - x86/kaiser: Move feature detection up
    - x86/kaiser: Reenable PARAVIRT
    - x86/kaiser: Rename and simplify X86_FEATURE_KAISER handling
    - x86/paravirt: Dont patch flush_tlb_single
  * Bump ABI to 5.

 -- Yves-Alexis Perez <corsac@debian.org>  Thu, 04 Jan 2018 12:12:40 +0100
%

Пишите правильно:
в консоли
вкупе (с чем-либо)
в общем
вообще
в течение (часа)
команда
новичок
нюанс
приемлемо
проблема
пробовать
трафик
Спасибо сказали:

Аватара пользователя
serzh-z
Бывший модератор
Сообщения: 6902
Статус: Маньяк
ОС: Android, GNU/Linux, Windows

Re: Уязвимости Meltdown и Spectre.

Сообщение serzh-z » 06.01.2018 01:31

chitatel
Исправление планируется делать в ядре. libc и компилятор тут не причем.
Я проснулся сегодня в своей постели - сто лет назад. Кто я? Кто я...
Спасибо сказали:

Аватара пользователя
Bizdelnick
Модератор
Сообщения: 13786
Статус: grammatikführer
ОС: Debian GNU/Linux

Re: Уязвимости Meltdown и Spectre.

Сообщение Bizdelnick » 06.01.2018 11:35

serzh-z писал(а):
06.01.2018 01:31
chitatel
Исправление планируется делать в ядре. libc и компилятор тут не причем.

В debian пакеты, начинающиеся с linux-, относятся к ядру. Но таки да, должен обновиться ещё и linux-image-*. Если этого не произошло, надо сделать apt dist-upgrade.
Пишите правильно:
в консоли
вкупе (с чем-либо)
в общем
вообще
в течение (часа)
команда
новичок
нюанс
приемлемо
проблема
пробовать
трафик
Спасибо сказали:

Аватара пользователя
chitatel
Сообщения: 1476

Re: Уязвимости Meltdown и Spectre.

Сообщение chitatel » 06.01.2018 11:57

А вот сегодня обновилось и ядро

Код: Выделить всё

НОВЫЕ пакеты, которые будут установлены:
  linux-image-4.9.0-5-686-pae
Пакеты, которые будут обновлены:
  linux-image-686-pae
обновлено 1, установлено 1 новых пакетов, для удаления отмечено 0 пакетов, и 24 пакетов не обновлено.
Необходимо скачать 37,5 MБ архивов.
После данной операции, объём занятого дискового пространства возрастёт на 140 MB.
Хотите продолжить? [Д/н] y

Таким образом, это патчит сабжевые уязвимости?
Спасибо сказали:

Аватара пользователя
Bizdelnick
Модератор
Сообщения: 13786
Статус: grammatikführer
ОС: Debian GNU/Linux

Re: Уязвимости Meltdown и Spectre.

Сообщение Bizdelnick » 06.01.2018 14:16

chitatel писал(а):
06.01.2018 11:57
А вот сегодня обновилось и ядро

Вообще-то в репу все это пакеты прилетели одновременно, они ведь из одного исходного пакета собираются. У меня всё вчера обновилось, но понадобился dist-upgrade.
Пишите правильно:
в консоли
вкупе (с чем-либо)
в общем
вообще
в течение (часа)
команда
новичок
нюанс
приемлемо
проблема
пробовать
трафик
Спасибо сказали:

Аватара пользователя
chitatel
Сообщения: 1476

Re: Уязвимости Meltdown и Spectre.

Сообщение chitatel » 06.01.2018 14:26

А я всегда делаю apt-get update & apt-get dist-upgrade, но ядро новое приплыло только сегодня. Почему - ХЗ, репозитории "из коробки".
Спасибо сказали:

Topper
Бывший модератор
Сообщения: 2061
Статус: Насильник бабушек-педофилок
ОС: Windows 10

Re: Уязвимости Meltdown и Spectre.

Сообщение Topper » 06.01.2018 16:05

serzh-z писал(а):
06.01.2018 01:31
Исправление планируется делать в ядре. libc и компилятор тут не причем.

От Мелтдауна - да.
От Спектра надо патчить софт. Весь.
Хрю.
Спасибо сказали:

azsx
Сообщения: 1949
ОС: calculate linux, debian, ubuntu

Re: Уязвимости Meltdown и Spectre.

Сообщение azsx » 06.01.2018 16:44

то есть в дебиан всё уже хорошо, а в calculate нет???
От Спектра надо патчить софт. Весь.

патчить или перекомпилировать? Правильно ли я понимаю, что речь только о софте, в котором есть какие то секреты?
Спасибо сказали:

Аватара пользователя
chitatel
Сообщения: 1476

Re: Уязвимости Meltdown и Spectre.

Сообщение chitatel » 09.01.2018 19:24

В интернетах пишут, что для оффтопика запилили обновление, которое поломало компьютеры на АМДишных камнях. Тысячи их. Епик фейл.

Хотя... Не заработает камень - не сработает уязвимость. Так что эпик вин!

https://lenta.ru/news/2018/01/09/microsoft/
Спасибо сказали:

Аватара пользователя
devilr
Сообщения: 1278
ОС: Mandriva => Gentoo (~amd64)

Re: Уязвимости Meltdown и Spectre.

Сообщение devilr » 09.01.2018 21:44

Та ладно вам. Meltdown и Spectre интересны сами по себе, вне зависимости от ОС. Сложность железа растет намного быстрее, чем можно снаружи охватить взором того же программиста. Не разработчика.
И сколько еще там подобных вещей - кто знает...
Мудрость приходит с возрастом.
Иногда возраст приходит один.
Спасибо сказали:

Аватара пользователя
Bizdelnick
Модератор
Сообщения: 13786
Статус: grammatikführer
ОС: Debian GNU/Linux

Re: Уязвимости Meltdown и Spectre.

Сообщение Bizdelnick » 09.01.2018 21:47

azsx писал(а):
06.01.2018 16:44
патчить или перекомпилировать?

Перекомпилировать. Патченым компилятором.
Пишите правильно:
в консоли
вкупе (с чем-либо)
в общем
вообще
в течение (часа)
команда
новичок
нюанс
приемлемо
проблема
пробовать
трафик
Спасибо сказали:

Аватара пользователя
SLEDopit
Модератор
Сообщения: 4442
Статус: фанат консоли (=
ОС: GNU/Debian, RHEL

Re: Уязвимости Meltdown и Spectre.

Сообщение SLEDopit » 09.01.2018 22:15

Кому интересно, кстати, пример работющего meltdown.
Вроде как проверка на spectre. Но ради интереса позапускал на intel-cpu компьютере с ведром и прочим софтом с прошлого года, говорит, что я неуязвим )
UNIX is basically a simple operating system, but you have to be a genius to understand the simplicity. © Dennis Ritchie
The more you believe you don't do mistakes, the more bugs are in your code.
Спасибо сказали:

Аватара пользователя
serzh-z
Бывший модератор
Сообщения: 6902
Статус: Маньяк
ОС: Android, GNU/Linux, Windows

Re: Уязвимости Meltdown и Spectre.

Сообщение serzh-z » 10.01.2018 03:10

Как хорошо иметь древний процессор. )
Я проснулся сегодня в своей постели - сто лет назад. Кто я? Кто я...
Спасибо сказали:

Аватара пользователя
chitatel
Сообщения: 1476

Re: Уязвимости Meltdown и Spectre.

Сообщение chitatel » 10.01.2018 04:43

serzh-z писал(а):
10.01.2018 03:10
Как хорошо иметь древний процессор. )

+1 :)

Тут список уязвимых камней Intel: https://evrl.to/articles/5a506eb06ec7f749ed...down-i-spectre/

Yet another отчёт о состоянии дел на текущий момент: https://www.opennet.ru/opennews/art.shtml?num=47880

P.S. Я прочитал этот отчёт - всё плохо.
Спасибо сказали:

Аватара пользователя
serzh-z
Бывший модератор
Сообщения: 6902
Статус: Маньяк
ОС: Android, GNU/Linux, Windows

Re: Уязвимости Meltdown и Spectre.

Сообщение serzh-z » 11.01.2018 20:30

chitatel писал(а):
10.01.2018 04:43
Тут список уязвимых камней Intel: https://evrl.to/articles/5a506eb06ec7f749ed...down-i-spectre/
Упс... Оказывается, чтобы выйти из группы риска, нужно иметь еще более древний.

chitatel писал(а):
10.01.2018 04:43
P.S. Я прочитал этот отчёт - всё плохо.
Да в мире машин и механизмов никогда и не было все хорошо. =)
Я проснулся сегодня в своей постели - сто лет назад. Кто я? Кто я...
Спасибо сказали:

Аватара пользователя
Bizdelnick
Модератор
Сообщения: 13786
Статус: grammatikführer
ОС: Debian GNU/Linux

Re: Уязвимости Meltdown и Spectre.

Сообщение Bizdelnick » 11.01.2018 20:56

Ну говорили — едва ли не все камни с 1995 года подвержены, а выходит, даже первые core якобы безопасненькие.
Пишите правильно:
в консоли
вкупе (с чем-либо)
в общем
вообще
в течение (часа)
команда
новичок
нюанс
приемлемо
проблема
пробовать
трафик
Спасибо сказали:

NickLion
Сообщения: 3376
Статус: аватар-невидимка
ОС: openSUSE Tumbleweed x86_64

Re: Уязвимости Meltdown и Spectre.

Сообщение NickLion » 12.01.2018 11:44

Bizdelnick писал(а):
11.01.2018 20:56
Ну говорили — едва ли не все камни с 1995 года подвержены, а выходит, даже первые core якобы безопасненькие.

Потенциально, список больше. Intel написал, что список может меняться. Наверное, в списке сейчас подтвердженные.
Спасибо сказали:

Topper
Бывший модератор
Сообщения: 2061
Статус: Насильник бабушек-педофилок
ОС: Windows 10

Re: Уязвимости Meltdown и Spectre.

Сообщение Topper » 15.01.2018 00:00

serzh-z писал(а):
11.01.2018 20:30
Упс... Оказывается, чтобы выйти из группы риска, нужно иметь еще более древний.

Чтобы выйти из группы риска, надо иметь процессор без механизма предсказания ветвлений. Оный механизм появился в архитектуре P6, сиречь, Пентиум Про.
Так что тебе, уважаемый тёзка, нужен или первый Пентиум или что-то из основанных на оном самых ранних Атомов. Хотел было предложить тебе свой ЕЕЕ900, но вспомнил, что у него внутри не Атом, а обрезок на базе Туалатина, так что увы.
Хрю.
Спасибо сказали:

NickLion
Сообщения: 3376
Статус: аватар-невидимка
ОС: openSUSE Tumbleweed x86_64

Re: Уязвимости Meltdown и Spectre.

Сообщение NickLion » 15.01.2018 00:07

Topper
Из более современных можно Raspberry Pi 3, там A53, он ещё не подвержен таким проблемам тоже.
Спасибо сказали:

Topper
Бывший модератор
Сообщения: 2061
Статус: Насильник бабушек-педофилок
ОС: Windows 10

Re: Уязвимости Meltdown и Spectre.

Сообщение Topper » 15.01.2018 01:04

Ну кстати да :)
Хрю.
Спасибо сказали:

Аватара пользователя
chitatel
Сообщения: 1476

Re: Уязвимости Meltdown и Spectre.

Сообщение chitatel » 15.01.2018 13:13

Тыгы-дым!

https://www.opennet.ru/opennews/art.shtml?num=47903

Уа-ха-ха-ха-ха...

Код: Выделить всё

intel-microcode:
  Установлен: 3.20180108.0~ubuntu16.04.2
  Кандидат:   3.20180108.0~ubuntu16.04.2
  Таблица версий:
 *** 3.20180108.0~ubuntu16.04.2 500
        500 http://archive.ubuntu.com/ubuntu xenial-updates/main amd64 Packages
        500 http://archive.ubuntu.com/ubuntu xenial-security/main amd64 Packages
        100 /var/lib/dpkg/status
     3.20151106.1 500
        500 http://archive.ubuntu.com/ubuntu xenial/restricted amd64 Packages
Не ребутится.

P.S. Байкал спасёт нас: https://geektimes.ru/post/297217/
Спасибо сказали:

Аватара пользователя
Aliech
Сообщения: 210
ОС: Debian testing/unstable

Re: Уязвимости Meltdown и Spectre.

Сообщение Aliech » 16.01.2018 14:29

chitatel писал(а):
15.01.2018 13:13
Тыгы-дым!

https://www.opennet.ru/opennews/art.shtml?num=47903

Уа-ха-ха-ха-ха...

Код: Выделить всё

intel-microcode:
  Установлен: 3.20180108.0~ubuntu16.04.2
  Кандидат:   3.20180108.0~ubuntu16.04.2
  Таблица версий:
 *** 3.20180108.0~ubuntu16.04.2 500
        500 http://archive.ubuntu.com/ubuntu xenial-updates/main amd64 Packages
        500 http://archive.ubuntu.com/ubuntu xenial-security/main amd64 Packages
        100 /var/lib/dpkg/status
     3.20151106.1 500
        500 http://archive.ubuntu.com/ubuntu xenial/restricted amd64 Packages
Не ребутится.

P.S. Байкал спасёт нас: https://geektimes.ru/post/297217/


T1 - сетевой процессор. Во-первых он не для того, он для всяких SAN'ов. Во-вторых, никто не проверял, подвержен ли он утечкам при спекулятивной работе с кешем.

А вот AMD, по итогам, радуют. Если они ещё смогут убедить дистростроителей патч от мелтдауна на все ядра не накладывать, то вообще великолепно будет.
С уважением, Zerg
Спасибо сказали:

Аватара пользователя
Bizdelnick
Модератор
Сообщения: 13786
Статус: grammatikführer
ОС: Debian GNU/Linux

Re: Уязвимости Meltdown и Spectre.

Сообщение Bizdelnick » 16.01.2018 15:29

Aliech писал(а):
16.01.2018 14:29
А вот AMD, по итогам, радуют. Если они ещё смогут убедить дистростроителей патч от мелтдауна на все ядра не накладывать, то вообще великолепно будет.

Так в нём же отключили KPTI для AMD.
Но сдаётся мне, что в AMD могут быть дыры не меньше, просто там недостаточно хорошо искали (пока).
Пишите правильно:
в консоли
вкупе (с чем-либо)
в общем
вообще
в течение (часа)
команда
новичок
нюанс
приемлемо
проблема
пробовать
трафик
Спасибо сказали:

Аватара пользователя
Aliech
Сообщения: 210
ОС: Debian testing/unstable

Re: Уязвимости Meltdown и Spectre.

Сообщение Aliech » 17.01.2018 12:20

Bizdelnick писал(а):
16.01.2018 15:29
Aliech писал(а):
16.01.2018 14:29
А вот AMD, по итогам, радуют. Если они ещё смогут убедить дистростроителей патч от мелтдауна на все ядра не накладывать, то вообще великолепно будет.

Так в нём же отключили KPTI для AMD.
Но сдаётся мне, что в AMD могут быть дыры не меньше, просто там недостаточно хорошо искали (пока).


Так и есть. Google занято в основном разбором Intel'а. И их не трудно понять: на базе intel'а делаются все хром-коробки и лаптопы. Их изыскания обычно сильно правдивей, чем документация от intel. Собственно в том же coreboot'е почти весь код для платформ позже 945, - заслуга Google. Случается даже парадоксальное: мне проще портировать новую материнку на intel'е серии 6 или 7 (где всё NDA), чем на AMD Fam10, где всё открыто и доступно к прочтению.

Вот теперь они и до тестирования безопасности дошли. Молодцы!)
С уважением, Zerg
Спасибо сказали:

Аватара пользователя
serzh-z
Бывший модератор
Сообщения: 6902
Статус: Маньяк
ОС: Android, GNU/Linux, Windows

Re: Уязвимости Meltdown и Spectre.

Сообщение serzh-z » 18.01.2018 01:52

Aliech писал(а):
17.01.2018 12:20
хром-коробки
Кажется, я что-то пропустил. Это полноценный ПК от Google?
Я проснулся сегодня в своей постели - сто лет назад. Кто я? Кто я...
Спасибо сказали:

Аватара пользователя
Aliech
Сообщения: 210
ОС: Debian testing/unstable

Re: Уязвимости Meltdown и Spectre.

Сообщение Aliech » 18.01.2018 03:40

serzh-z писал(а):
18.01.2018 01:52
Aliech писал(а):
17.01.2018 12:20
хром-коробки
Кажется, я что-то пропустил. Это полноценный ПК от Google?

Ну не совсем. Это неттоп с ХромОсью. Очень маленький неттоп. На очень качественной начинке. Достаточно же будет упомянуть, что Гугль имеет для своего железа собственные SuperIO и EC?
С неприлично проработанной собственной реализацией БИОСа, на базе Coreboot'а.

Но по производительности ему далеко до полноценного настольника, конечно)
С уважением, Zerg
Спасибо сказали:

azsx
Сообщения: 1949
ОС: calculate linux, debian, ubuntu

Re: Уязвимости Meltdown и Spectre.

Сообщение azsx » 19.01.2018 05:18

Почитал https://3dnews.ru/963779 , увидел, что снижение производительности на ssd , также жалуются, что на серверах нагрузка на ресурсы возрастает после обнов. Вот я думаю,может ну его нафиг такие обновления в винде и linux? Как в calculate linux отказаться от обновлений для этих "дыр безопасности"?
Спасибо сказали:

Аватара пользователя
SLEDopit
Модератор
Сообщения: 4442
Статус: фанат консоли (=
ОС: GNU/Debian, RHEL

Re: Уязвимости Meltdown и Spectre.

Сообщение SLEDopit » 19.01.2018 12:30

azsx писал(а):
19.01.2018 05:18
Как в calculate linux отказаться от обновлений для этих "дыр безопасности"?
В долгосрочной перспективе отказаться не получится. Только если перестать обновляться. Ну или самостоятельно из ядра все эти патчи выпиливать.

PS.
Тем временем пошли разговоры про открытые процессоры.
UNIX is basically a simple operating system, but you have to be a genius to understand the simplicity. © Dennis Ritchie
The more you believe you don't do mistakes, the more bugs are in your code.
Спасибо сказали:

azsx
Сообщения: 1949
ОС: calculate linux, debian, ubuntu

Re: Уязвимости Meltdown и Spectre.

Сообщение azsx » 19.01.2018 13:00

В долгосрочной перспективе отказаться не получится

очень плохо. Я хотел на али купить i5-2500 в конце месяца. А щас получается нафиг надо.
Спасибо сказали:

Вернуться в «Прочие тематические беседы»