Обновления безопасности: Meltdown и Spectre

Аватара пользователя

slant
Сообщения: 1984
Зарегистрирован: 21 июн 2017, 15:09
Решено: 34
Благодарил (а): 16 раз
Поблагодарили: 851 раз

Обновления безопасности: Meltdown и Spectre

Сообщение slant » 15 янв 2018, 16:37

Chocobo писал(а):
15 янв 2018, 16:34
Думается теперь этот kaiser c нами надолго будет, без ручного вмешательства в конфиг ядра...
Так оно ведь может полностью отключаться параметром загрузки, вроде как? Как поняли, что будут заметные накладные расходы - так озаботились...

Аватара пользователя

Автор темы
Chocobo
Сообщения: 9268
Зарегистрирован: 27 авг 2016, 19:57
Решено: 200
Откуда: НН
Благодарил (а): 645 раз
Поблагодарили: 2677 раз

Обновления безопасности: Meltdown и Spectre

Сообщение Chocobo » 15 янв 2018, 16:40

slant, ага спс, сам еще не рылся в эту сторону :)
http://lkml.iu.edu/hypermail/linux/kern ... 02132.html - вроде как есть nokaiser директива
Изображение
   
Изображение

Аватара пользователя

AlexZ
Сообщения: 1327
Зарегистрирован: 06 янв 2018, 18:06
Решено: 3
Откуда: Горно-Алтайск
Благодарил (а): 195 раз
Поблагодарили: 168 раз

Обновления безопасности: Meltdown и Spectre

Сообщение AlexZ » 15 янв 2018, 17:33

Кто-нибудь пробовал-проверял?
https://github.com/speed47/spectre-melt ... r/releases

Аватара пользователя

Дядя Миша
Сообщения: 59
Зарегистрирован: 18 июл 2017, 13:20
Откуда: г. Хабаровск
Благодарил (а): 63 раза
Поблагодарили: 11 раз

Обновления безопасности: Meltdown и Spectre

Сообщение Дядя Миша » 16 янв 2018, 06:46

Всё печально?

git clone https://github.com/speed47/spectre-meltdown-checker.git
xxx@xxx-linux-pc ~ $ cd spectre-meltdown-checker/
xxx@xxx-linux-pc ~/spectre-meltdown-checker $ chmod +x spectre-meltdown-checker.sh
xxx@xxxlinux-pc ~/spectre-meltdown-checker $ sudo ./spectre-meltdown-checker.sh
Spectre and Meltdown mitigation detection tool v0.31

Checking for vulnerabilities against running kernel Linux 4.13.0-25-generic #29~16.04.2-Ubuntu SMP Tue Jan 9 12:16:39 UTC 2018 x86_64
CPU is AMD Athlon(tm) II X4 651 Quad-Core Processor

CVE-2017-5753 [bounds check bypass] aka 'Spectre Variant 1'
* Checking count of LFENCE opcodes in kernel: NO
> STATUS: VULNERABLE (only 29 opcodes found, should be >= 70, heuristic to be improved when official patches become available)

CVE-2017-5715 [branch target injection] aka 'Spectre Variant 2'
* Mitigation 1
* Hardware (CPU microcode) support for mitigation
* The SPEC_CTRL MSR is available: NO
* The SPEC_CTRL CPUID feature bit is set: NO
* Kernel support for IBRS: NO
* IBRS enabled for Kernel space: NO
* IBRS enabled for User space: NO
* Mitigation 2
* Kernel compiled with retpoline option: NO
* Kernel compiled with a retpoline-aware compiler: NO
> STATUS: VULNERABLE (IBRS hardware + kernel support OR kernel with retpoline are needed to mitigate the vulnerability)

CVE-2017-5754 [rogue data cache load] aka 'Meltdown' aka 'Variant 3'
* Kernel supports Page Table Isolation (PTI): YES
* PTI enabled and active: NO
* Checking if we're running under Xen PV (64 bits): NO
> STATUS: NOT VULNERABLE (your CPU vendor reported your CPU model as not vulnerable)

A false sense of security is worse than no security at all, see --disclaimer
OS: Linux Mint 19.1 x64. Kernel: 4.15.0-51-generic. DE: Cinnamon 4.0.10. CPU: Athlon II X4 651. GPU: GeForce GTX 650 Ti 1Gb. RAM: 8 Gb SSD: 120 Gb.

Аватара пользователя

Автор темы
Chocobo
Сообщения: 9268
Зарегистрирован: 27 авг 2016, 19:57
Решено: 200
Откуда: НН
Благодарил (а): 645 раз
Поблагодарили: 2677 раз

Обновления безопасности: Meltdown и Spectre

Сообщение Chocobo » 16 янв 2018, 07:32

Дядя Миша, meltdown на твоем проце не взлетит, по заверениям от AMD.
Как там со спектром - я не уверен, помню только попадалась инфа что на софтварном уровне от него полностью никак не избавишься и нужны будут именно аппаратные фиксы.
То чем патчится ядро и ПО - усложняют возможность использования этой дряни, но дают не 100% защиты.
Комплексом обнов на микрокод железяки, патчами на ядро, и заплатками в софте - вроде как можно опасаться вероятности использования spectre в разы меньше
Изображение
   
Изображение

Аватара пользователя

vir0id
Сообщения: 2206
Зарегистрирован: 19 дек 2017, 15:48
Решено: 13
Откуда: Рига
Благодарил (а): 149 раз
Поблагодарили: 235 раз

Обновления безопасности: Meltdown и Spectre

Сообщение vir0id » 16 янв 2018, 12:10

Chocobo писал(а):
16 янв 2018, 07:32
meltdown на твоем проце не взлетит, по заверениям от AMD
Разработчики из Google Project Zero опубликовали детали уязвимостей, которые затрагивают не только процессоры Intel и ARM64, но и AMD тоже (есть сообщения, что только при включении BPF JIT в ядре, что по умолчанию выключено). Названия им дали: Meltdown и Spectre (расплавление ядерного реактора и призрак).
А кск вообще проверить, включен ли BPF JIT ? И как его переключать вообще? Где смотреть? Вдруг кто включит. Или что такое BPF JIT? Компилятор что ли?

Аватара пользователя

Автор темы
Chocobo
Сообщения: 9268
Зарегистрирован: 27 авг 2016, 19:57
Решено: 200
Откуда: НН
Благодарил (а): 645 раз
Поблагодарили: 2677 раз

Обновления безопасности: Meltdown и Spectre

Сообщение Chocobo » 16 янв 2018, 14:28

vir0id писал(а):
16 янв 2018, 12:10
А кск вообще проверить, включен ли BPF JIT ? И как его переключать вообще?

Код: Выделить всё

$ cat /proc/sys/net/core/bpf_jit_enable
0
также и закрепить в sysctl.conf, если хочется:

Код: Выделить всё

net.core.bpf_jit_enable = 0
Но поддержка его в ядре смотрю везде исходно задействована, c пересбором можно и выпилить

Код: Выделить всё

$ cat /usr/src/linux-headers-4.13.0-26-generic/.config | grep BPF_JIT
CONFIG_BPF_JIT=y
vir0id писал(а):
16 янв 2018, 12:10
Или что такое BPF JIT? Компилятор что ли?
https://www.kernel.org/doc/Documentatio ... filter.txt
Изображение
   
Изображение

Аватара пользователя

vir0id
Сообщения: 2206
Зарегистрирован: 19 дек 2017, 15:48
Решено: 13
Откуда: Рига
Благодарил (а): 149 раз
Поблагодарили: 235 раз

Обновления безопасности: Meltdown и Spectre

Сообщение vir0id » 16 янв 2018, 14:39

Chocobo писал(а):
16 янв 2018, 14:28
также и закрепить в sysctl.conf, если хочется:
КОД: ВЫДЕЛИТЬ ВСЁ

net.core.bpf_jit_enable = 1
Нет уж... увольте :joke: Или есть смысл?

Аватара пользователя

Автор темы
Chocobo
Сообщения: 9268
Зарегистрирован: 27 авг 2016, 19:57
Решено: 200
Откуда: НН
Благодарил (а): 645 раз
Поблагодарили: 2677 раз

Обновления безопасности: Meltdown и Spectre

Сообщение Chocobo » 16 янв 2018, 14:41

vir0id, ну а че, будем на тебе тестить :-D
Изображение
   
Изображение

Аватара пользователя

vir0id
Сообщения: 2206
Зарегистрирован: 19 дек 2017, 15:48
Решено: 13
Откуда: Рига
Благодарил (а): 149 раз
Поблагодарили: 235 раз

Обновления безопасности: Meltdown и Spectre

Сообщение vir0id » 16 янв 2018, 14:44

Chocobo писал(а):
16 янв 2018, 14:41
vir0id, ну а че, будем на тебе тестить
А почему бы и нет? Ну так... поржать. У меня и машинка где-то в подвале есть

Аватара пользователя

Автор темы
Chocobo
Сообщения: 9268
Зарегистрирован: 27 авг 2016, 19:57
Решено: 200
Откуда: НН
Благодарил (а): 645 раз
Поблагодарили: 2677 раз

Обновления безопасности: Meltdown и Spectre

Сообщение Chocobo » 16 янв 2018, 14:47

Я не встречал ни одного эксплойта пока под них в сети, который бы что-нибудь путного показал, для наглядности своей работы)
Изображение
   
Изображение

Аватара пользователя

vir0id
Сообщения: 2206
Зарегистрирован: 19 дек 2017, 15:48
Решено: 13
Откуда: Рига
Благодарил (а): 149 раз
Поблагодарили: 235 раз

Обновления безопасности: Meltdown и Spectre

Сообщение vir0id » 16 янв 2018, 14:53

Chocobo писал(а):
16 янв 2018, 14:47
Я не встречал ни одного эксплойта пока под них в сети, который бы что-нибудь путного показал, для наглядности своей работы)
Врядли его, ближайщее время, кто-либо встретит, кроме тех, кто его смастерит.

Аватара пользователя

vir0id
Сообщения: 2206
Зарегистрирован: 19 дек 2017, 15:48
Решено: 13
Откуда: Рига
Благодарил (а): 149 раз
Поблагодарили: 235 раз

Обновления безопасности: Meltdown и Spectre

Сообщение vir0id » 16 янв 2018, 14:57

Есть PoC (п.4.3) , демонстрирующий атаку с этой уязвимостью через JavaScript.
демонстрация


s681
Сообщения: 16
Зарегистрирован: 24 янв 2018, 10:22
Благодарил (а): 4 раза
Поблагодарили: 1 раз

Обновления безопасности: Meltdown и Spectre

Сообщение s681 » 20 фев 2018, 00:52

Chocobo, LTS 4.4 допустимо для процессора Haswel (Pentium G3220)?

Аватара пользователя

colonel
Сообщения: 1549
Зарегистрирован: 18 дек 2016, 09:08
Решено: 19
Благодарил (а): 37 раз
Поблагодарили: 416 раз

Обновления безопасности: Meltdown и Spectre

Сообщение colonel » 20 фев 2018, 04:01

Дядя Миша писал(а):
16 янв 2018, 06:46
Всё печально?
да....
:cray2: мы все умрём...
17237523.jpg
У вас нет необходимых прав для просмотра вложений в этом сообщении.
"Не ты выбираешь Linux, а Linux выбирает тебя"
(с)Себастьян Перейра, торговец чёрным деревом

Аватара пользователя

Автор темы
Chocobo
Сообщения: 9268
Зарегистрирован: 27 авг 2016, 19:57
Решено: 200
Откуда: НН
Благодарил (а): 645 раз
Поблагодарили: 2677 раз

Обновления безопасности: Meltdown и Spectre

Сообщение Chocobo » 20 фев 2018, 07:47

s681, почему бы и нет
проц g3220 писал(а): Дата выпуска Q3'13
ядро 4.4 писал(а): Released 2016-01-10
и 3.16 будет себя еще норм чувствовать на пятилетней железке.
Изображение
   
Изображение

Аватара пользователя

Dja
Сообщения: 6224
Зарегистрирован: 27 авг 2016, 17:03
Решено: 27
Откуда: Voskresensk
Благодарил (а): 921 раз
Поблагодарили: 661 раз

Обновления безопасности: Meltdown и Spectre

Сообщение Dja » 27 фев 2018, 07:35

Chocobo писал(а):
13 янв 2018, 10:59
4.13 (Linux Mint 18 HWE): закрыто в 4.13.0-25
4.13.0-32-generic значит у меня закрытое чтоль?
P.S. не верю я в эти байки. Linux всегда был неприступной крепостью.

Вернуться в «Новости Linux Mint»