Обновления безопасности: Meltdown и Spectre

Модератор: LinuxNEWS
Аватара пользователя

slant
Сообщения: 4469
Зарегистрирован: 21 июн 2017, 18:09
Решено: 95
Благодарил (а): 51 раз
Поблагодарили: 1965 раз
Контактная информация:

Обновления безопасности: Meltdown и Spectre

#21

15 янв 2018, 19:37

Chocobo писал(а):
15 янв 2018, 19:34
Думается теперь этот kaiser c нами надолго будет, без ручного вмешательства в конфиг ядра...
Так оно ведь может полностью отключаться параметром загрузки, вроде как? Как поняли, что будут заметные накладные расходы - так озаботились...

Аватара пользователя

Автор темы
Chocobo
Сообщения: 10015
Зарегистрирован: 27 авг 2016, 22:57
Решено: 215
Откуда: НН
Благодарил (а): 815 раз
Поблагодарили: 3008 раз
Контактная информация:

Обновления безопасности: Meltdown и Spectre

#22

15 янв 2018, 19:40

slant, ага спс, сам еще не рылся в эту сторону :)
http://lkml.iu.edu/hypermail/linux/kern ... 02132.html - вроде как есть nokaiser директива
Изображение
   
Изображение

Аватара пользователя

AlexZ
Сообщения: 1395
Зарегистрирован: 06 янв 2018, 21:06
Решено: 3
Откуда: Горно-Алтайск
Благодарил (а): 212 раз
Поблагодарили: 177 раз
Контактная информация:

Обновления безопасности: Meltdown и Spectre

#23

15 янв 2018, 20:33

Кто-нибудь пробовал-проверял?
https://github.com/speed47/spectre-melt ... r/releases

Аватара пользователя

Дядя Миша
Сообщения: 92
Зарегистрирован: 18 июл 2017, 16:20
Откуда: г. Хабаровск
Благодарил (а): 110 раз
Поблагодарили: 28 раз
Контактная информация:

Обновления безопасности: Meltdown и Spectre

#24

16 янв 2018, 09:46

Всё печально?

git clone https://github.com/speed47/spectre-meltdown-checker.git
xxx@xxx-linux-pc ~ $ cd spectre-meltdown-checker/
xxx@xxx-linux-pc ~/spectre-meltdown-checker $ chmod +x spectre-meltdown-checker.sh
xxx@xxxlinux-pc ~/spectre-meltdown-checker $ sudo ./spectre-meltdown-checker.sh
Spectre and Meltdown mitigation detection tool v0.31

Checking for vulnerabilities against running kernel Linux 4.13.0-25-generic #29~16.04.2-Ubuntu SMP Tue Jan 9 12:16:39 UTC 2018 x86_64
CPU is AMD Athlon(tm) II X4 651 Quad-Core Processor

CVE-2017-5753 [bounds check bypass] aka 'Spectre Variant 1'
* Checking count of LFENCE opcodes in kernel: NO
> STATUS: VULNERABLE (only 29 opcodes found, should be >= 70, heuristic to be improved when official patches become available)

CVE-2017-5715 [branch target injection] aka 'Spectre Variant 2'
* Mitigation 1
* Hardware (CPU microcode) support for mitigation
* The SPEC_CTRL MSR is available: NO
* The SPEC_CTRL CPUID feature bit is set: NO
* Kernel support for IBRS: NO
* IBRS enabled for Kernel space: NO
* IBRS enabled for User space: NO
* Mitigation 2
* Kernel compiled with retpoline option: NO
* Kernel compiled with a retpoline-aware compiler: NO
> STATUS: VULNERABLE (IBRS hardware + kernel support OR kernel with retpoline are needed to mitigate the vulnerability)

CVE-2017-5754 [rogue data cache load] aka 'Meltdown' aka 'Variant 3'
* Kernel supports Page Table Isolation (PTI): YES
* PTI enabled and active: NO
* Checking if we're running under Xen PV (64 bits): NO
> STATUS: NOT VULNERABLE (your CPU vendor reported your CPU model as not vulnerable)

A false sense of security is worse than no security at all, see --disclaimer

Аватара пользователя

Автор темы
Chocobo
Сообщения: 10015
Зарегистрирован: 27 авг 2016, 22:57
Решено: 215
Откуда: НН
Благодарил (а): 815 раз
Поблагодарили: 3008 раз
Контактная информация:

Обновления безопасности: Meltdown и Spectre

#25

16 янв 2018, 10:32

Дядя Миша, meltdown на твоем проце не взлетит, по заверениям от AMD.
Как там со спектром - я не уверен, помню только попадалась инфа что на софтварном уровне от него полностью никак не избавишься и нужны будут именно аппаратные фиксы.
То чем патчится ядро и ПО - усложняют возможность использования этой дряни, но дают не 100% защиты.
Комплексом обнов на микрокод железяки, патчами на ядро, и заплатками в софте - вроде как можно опасаться вероятности использования spectre в разы меньше
Изображение
   
Изображение

Аватара пользователя

vir0id
Сообщения: 2757
Зарегистрирован: 19 дек 2017, 18:48
Решено: 15
Откуда: Рига
Благодарил (а): 163 раза
Поблагодарили: 305 раз
Контактная информация:

Обновления безопасности: Meltdown и Spectre

#26

16 янв 2018, 15:10

Chocobo писал(а):
16 янв 2018, 10:32
meltdown на твоем проце не взлетит, по заверениям от AMD
Разработчики из Google Project Zero опубликовали детали уязвимостей, которые затрагивают не только процессоры Intel и ARM64, но и AMD тоже (есть сообщения, что только при включении BPF JIT в ядре, что по умолчанию выключено). Названия им дали: Meltdown и Spectre (расплавление ядерного реактора и призрак).
А кск вообще проверить, включен ли BPF JIT ? И как его переключать вообще? Где смотреть? Вдруг кто включит. Или что такое BPF JIT? Компилятор что ли?

Аватара пользователя

Автор темы
Chocobo
Сообщения: 10015
Зарегистрирован: 27 авг 2016, 22:57
Решено: 215
Откуда: НН
Благодарил (а): 815 раз
Поблагодарили: 3008 раз
Контактная информация:

Обновления безопасности: Meltdown и Spectre

#27

16 янв 2018, 17:28

vir0id писал(а):
16 янв 2018, 15:10
А кск вообще проверить, включен ли BPF JIT ? И как его переключать вообще?

Код: Выделить всё

$ cat /proc/sys/net/core/bpf_jit_enable
0
также и закрепить в sysctl.conf, если хочется:

Код: Выделить всё

net.core.bpf_jit_enable = 0
Но поддержка его в ядре смотрю везде исходно задействована, c пересбором можно и выпилить

Код: Выделить всё

$ cat /usr/src/linux-headers-4.13.0-26-generic/.config | grep BPF_JIT
CONFIG_BPF_JIT=y
vir0id писал(а):
16 янв 2018, 15:10
Или что такое BPF JIT? Компилятор что ли?
https://www.kernel.org/doc/Documentatio ... filter.txt
Изображение
   
Изображение

Аватара пользователя

vir0id
Сообщения: 2757
Зарегистрирован: 19 дек 2017, 18:48
Решено: 15
Откуда: Рига
Благодарил (а): 163 раза
Поблагодарили: 305 раз
Контактная информация:

Обновления безопасности: Meltdown и Spectre

#28

16 янв 2018, 17:39

Chocobo писал(а):
16 янв 2018, 17:28
также и закрепить в sysctl.conf, если хочется:
КОД: ВЫДЕЛИТЬ ВСЁ

net.core.bpf_jit_enable = 1
Нет уж... увольте :joke: Или есть смысл?

Аватара пользователя

Автор темы
Chocobo
Сообщения: 10015
Зарегистрирован: 27 авг 2016, 22:57
Решено: 215
Откуда: НН
Благодарил (а): 815 раз
Поблагодарили: 3008 раз
Контактная информация:

Обновления безопасности: Meltdown и Spectre

#29

16 янв 2018, 17:41

vir0id, ну а че, будем на тебе тестить :-D
Изображение
   
Изображение

Аватара пользователя

vir0id
Сообщения: 2757
Зарегистрирован: 19 дек 2017, 18:48
Решено: 15
Откуда: Рига
Благодарил (а): 163 раза
Поблагодарили: 305 раз
Контактная информация:

Обновления безопасности: Meltdown и Spectre

#30

16 янв 2018, 17:44

Chocobo писал(а):
16 янв 2018, 17:41
vir0id, ну а че, будем на тебе тестить
А почему бы и нет? Ну так... поржать. У меня и машинка где-то в подвале есть

Аватара пользователя

Автор темы
Chocobo
Сообщения: 10015
Зарегистрирован: 27 авг 2016, 22:57
Решено: 215
Откуда: НН
Благодарил (а): 815 раз
Поблагодарили: 3008 раз
Контактная информация:

Обновления безопасности: Meltdown и Spectre

#31

16 янв 2018, 17:47

Я не встречал ни одного эксплойта пока под них в сети, который бы что-нибудь путного показал, для наглядности своей работы)
Изображение
   
Изображение

Аватара пользователя

vir0id
Сообщения: 2757
Зарегистрирован: 19 дек 2017, 18:48
Решено: 15
Откуда: Рига
Благодарил (а): 163 раза
Поблагодарили: 305 раз
Контактная информация:

Обновления безопасности: Meltdown и Spectre

#32

16 янв 2018, 17:53

Chocobo писал(а):
16 янв 2018, 17:47
Я не встречал ни одного эксплойта пока под них в сети, который бы что-нибудь путного показал, для наглядности своей работы)
Врядли его, ближайщее время, кто-либо встретит, кроме тех, кто его смастерит.

Аватара пользователя

vir0id
Сообщения: 2757
Зарегистрирован: 19 дек 2017, 18:48
Решено: 15
Откуда: Рига
Благодарил (а): 163 раза
Поблагодарили: 305 раз
Контактная информация:

Обновления безопасности: Meltdown и Spectre

#33

16 янв 2018, 17:57

Есть PoC (п.4.3) , демонстрирующий атаку с этой уязвимостью через JavaScript.
демонстрация

no avatar

s681
Сообщения: 182
Зарегистрирован: 24 янв 2018, 13:22
Откуда: Амурск
Благодарил (а): 68 раз
Поблагодарили: 12 раз
Контактная информация:

Обновления безопасности: Meltdown и Spectre

#34

20 фев 2018, 03:52

Chocobo, LTS 4.4 допустимо для процессора Haswel (Pentium G3220)?

Аватара пользователя

colonel
Сообщения: 1851
Зарегистрирован: 18 дек 2016, 12:08
Решено: 21
Откуда: Хартленд, N
Благодарил (а): 43 раза
Поблагодарили: 498 раз
Контактная информация:

Обновления безопасности: Meltdown и Spectre

#35

20 фев 2018, 07:01

Дядя Миша писал(а):
16 янв 2018, 09:46
Всё печально?
да....
:cray2: мы все умрём...
17237523.jpg
"Не ты выбираешь Linux, а Linux выбирает тебя"
(с)Себастьян Перейра, торговец чёрным деревом

Аватара пользователя

Автор темы
Chocobo
Сообщения: 10015
Зарегистрирован: 27 авг 2016, 22:57
Решено: 215
Откуда: НН
Благодарил (а): 815 раз
Поблагодарили: 3008 раз
Контактная информация:

Обновления безопасности: Meltdown и Spectre

#36

20 фев 2018, 10:47

s681, почему бы и нет
проц g3220 писал(а): Дата выпуска Q3'13
ядро 4.4 писал(а): Released 2016-01-10
и 3.16 будет себя еще норм чувствовать на пятилетней железке.
Изображение
   
Изображение

Аватара пользователя

Dja
Сообщения: 6875
Зарегистрирован: 27 авг 2016, 20:03
Решено: 30
Откуда: Voskresensk
Благодарил (а): 1310 раз
Поблагодарили: 724 раза
Контактная информация:

Обновления безопасности: Meltdown и Spectre

#37

27 фев 2018, 10:35

Chocobo писал(а):
13 янв 2018, 13:59
4.13 (Linux Mint 18 HWE): закрыто в 4.13.0-25
4.13.0-32-generic значит у меня закрытое чтоль?
P.S. не верю я в эти байки. Linux всегда был неприступной крепостью.

Ответить

Вернуться в «Новости Linux Mint»

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и 7 гостей