Brutte notizie un po' per tutti i possessori di cpu moderne

Postate qui per tutte le discussioni legate a Linux in generale.

Moderatore: Staff

Regole del forum
1) Citare sempre la versione di Slackware usata, la versione del Kernel e magari anche la versione della libreria coinvolta. Questi dati aiutano le persone che possono rispondere.
2) Per evitare confusione prego inserire in questo forum solo topic che riguardano appunto Gnu/Linux in genere, se l'argomento è specifico alla Slackware usate uno dei forum Slackware o Slackware64.
3) Leggere attentamente le risposte ricevute
4) Scrivere i messaggi con il colore di default, evitare altri colori.
5) Scrivere in Italiano o in Inglese, se possibile grammaticalmente corretto, evitate stili di scrittura poco chiari, quindi nessuna abbreviazione tipo telegramma o scrittura stile SMS o CHAT.
6) Appena registrati è consigliato presentarsi nel forum dedicato.

La non osservanza delle regole porta a provvedimenti di vari tipo da parte dello staff, in particolare la non osservanza della regola 5 porta alla cancellazione del post e alla segnalazione dell'utente. In caso di recidività l'utente rischia il ban temporaneo.
rik70
Master
Master
Messaggi: 1842
Iscritto il: gio mar 10, 2011 9:21
Slackware: 14.1
Kernel: 4.0.x-smp
Desktop: Xfce 4.12

Re: Brutte notizie un po' per tutti i possessori di cpu moderne

Messaggioda rik70 » mer gen 03, 2018 17:59

brg ha scritto:Potrebbero semplicemente rilasciare a breve nuove CPU senza il baco e lasciare che le vecchie siano gestite via sistema operativo con tanto di prestazioni ridotte.
Ottime notizie, non c'è che dire :)

Nel mio caso comunque sono vulnerabile pure col kernel 4.11:

Codice: Seleziona tutto

*** Intel(R) ME Information ***
Engine: Intel(R) Management Engine
Version: 11.0.0.1180
SVN: 1

*** Risk Assessment ***
Based on the analysis performed by this tool: This system is vulnerable.
Explanation:
The detected version of the Intel(R) Management Engine firmware
  is considered vulnerable for INTEL-SA-00086.
  Contact your system manufacturer for support and remediation of this system.
Quindi, contattare il produttore della mobo o sfancul*** Intel al prossimo giro?

@ponce
che risultato ottieni dal test col kernel longterm 4.9?

Avatar utente
ponce
Iper Master
Iper Master
Messaggi: 2319
Iscritto il: mer mar 05, 2008 16:45
Nome Cognome: Matteo Bernardini
Slackware: slackware64-current
Kernel: 4.15.0
Desktop: lxde
Località: Pisa
Contatta:

Re: Brutte notizie un po' per tutti i possessori di cpu moderne

Messaggioda ponce » mer gen 03, 2018 18:04

rik70 ha scritto:
brg ha scritto:Potrebbero semplicemente rilasciare a breve nuove CPU senza il baco e lasciare che le vecchie siano gestite via sistema operativo con tanto di prestazioni ridotte.
Ottime notizie, non c'è che dire :)

Nel mio caso comunque sono vulnerabile pure col kernel 4.11:

Codice: Seleziona tutto

*** Intel(R) ME Information ***
Engine: Intel(R) Management Engine
Version: 11.0.0.1180
SVN: 1

*** Risk Assessment ***
Based on the analysis performed by this tool: This system is vulnerable.
Explanation:
The detected version of the Intel(R) Management Engine firmware
  is considered vulnerable for INTEL-SA-00086.
  Contact your system manufacturer for support and remediation of this system.
Quindi, contattare il produttore della mobo o sfancul*** Intel al prossimo giro?

l'hai fatto girare da root col 4.14.11? ne ha bisogno per fare un detect corretto.

@ponce
che risultato ottieni dal test col kernel longterm 4.9?

non ho nemmeno fatto il test perche' ho letto il changelog e non mi sembra di aver visto il backport delle patch.

rik70
Master
Master
Messaggi: 1842
Iscritto il: gio mar 10, 2011 9:21
Slackware: 14.1
Kernel: 4.0.x-smp
Desktop: Xfce 4.12

Re: Brutte notizie un po' per tutti i possessori di cpu moderne

Messaggioda rik70 » mer gen 03, 2018 18:12

ponce ha scritto:l'hai fatto girare da root col 4.14.11? ne ha bisogno per fare un detect corretto.
Sì da root.

ponce ha scritto:non ho nemmeno fatto il test perche' ho letto il changelog e non mi sembra di aver visto il backport delle patch.
Sembra anche a me, ma noto che nel tuo sistema viene rilevata una versione dell'Intel Management Engine più recente rispetto al mio. Che dipenda da questo?
Se non ti viene male prova a vedere.
Ultima modifica di rik70 il mer gen 03, 2018 18:23, modificato 1 volta in totale.

rik70
Master
Master
Messaggi: 1842
Iscritto il: gio mar 10, 2011 9:21
Slackware: 14.1
Kernel: 4.0.x-smp
Desktop: Xfce 4.12

Re: Brutte notizie un po' per tutti i possessori di cpu moderne

Messaggioda rik70 » mer gen 03, 2018 18:17

P.S.
Confermato che è anche un problema di versione del firmware ME:
https://www.asrock.com/microsite/2017IntelFirmware/

Avatar utente
ponce
Iper Master
Iper Master
Messaggi: 2319
Iscritto il: mer mar 05, 2008 16:45
Nome Cognome: Matteo Bernardini
Slackware: slackware64-current
Kernel: 4.15.0
Desktop: lxde
Località: Pisa
Contatta:

Re: Brutte notizie un po' per tutti i possessori di cpu moderne

Messaggioda ponce » mer gen 03, 2018 18:25

rik70 ha scritto:embra anche a me, ma noto che nel tuo sistema viene rilevata una versione dell'Intel Management Engine più recente rispetto al mio. Che dipenda da questo?
Se non ti viene male prova a vedere.

ora che ci penso bene ricordo di aver aggiornato il firmware dell'Intel Management Engine a fine novembre (il 27, per la precisione), quando avevo cercato aggiornamenti per il bios della scheda madre della mia workstation qui al lavoro: questo update era stato rilasciato il 22 di novembre 2017.

comunque ho provato anche col portatile di casa (bios discretamente vecchio)

Codice: Seleziona tutto

./intel_sa00086.py
INTEL-SA-00086 Detection Tool
Copyright(C) 2017, Intel Corporation, All rights reserved

Application Version: 1.0.0.152
Scan date: 2018-01-03 17:28:28 GMT

*** Host Computer Information ***
Name: toscibo
Manufacturer: TOSHIBA
Model: SATELLITE L755
Processor Name: Intel(R) Core(TM) i5-2410M CPU @ 2.30GHz
OS Version: Slackware  14.2  (4.14.11-ck1)

*** Intel(R) ME Information ***
Engine: Intel(R) Management Engine
Version: 7.1.10.1065
SVN: 0

*** Risk Assessment ***
Based on the analysis performed by this tool: This system is not vulnerable.

For more information refer to the INTEL-SA-00086 Detection Tool Guide or the
  Intel Security Advisory Intel-SA-00086 at the following link:
  https://www.intel.com/sa-00086-support

rik70
Master
Master
Messaggi: 1842
Iscritto il: gio mar 10, 2011 9:21
Slackware: 14.1
Kernel: 4.0.x-smp
Desktop: Xfce 4.12

Re: Brutte notizie un po' per tutti i possessori di cpu moderne

Messaggioda rik70 » mer gen 03, 2018 18:30

ponce ha scritto:ora che ci penso bene ricordo di aver aggiornato il firmware dell'Intel Management Engine a fine novembre (il 27, per la precisione), quando avevo cercato aggiornamenti per il bios della scheda madre della mia workstation qui al lavoro: questo update era stato rilasciato il 22 di novembre 2017.

Ricordi cosa avevi aggiornato? Solo il firmware ME o l'intero BIOS/UEFI?

Avatar utente
ponce
Iper Master
Iper Master
Messaggi: 2319
Iscritto il: mer mar 05, 2008 16:45
Nome Cognome: Matteo Bernardini
Slackware: slackware64-current
Kernel: 4.15.0
Desktop: lxde
Località: Pisa
Contatta:

Re: Brutte notizie un po' per tutti i possessori di cpu moderne

Messaggioda ponce » mer gen 03, 2018 18:37

solo il firmware ME, l'ultimo bios della scheda era di agosto (e lo avevo aggiornato in quel periodo).

rik70
Master
Master
Messaggi: 1842
Iscritto il: gio mar 10, 2011 9:21
Slackware: 14.1
Kernel: 4.0.x-smp
Desktop: Xfce 4.12

Re: Brutte notizie un po' per tutti i possessori di cpu moderne

Messaggioda rik70 » mer gen 03, 2018 21:29

Ok aggiornato il firmware ME:

Codice: Seleziona tutto

Manufacturer: To Be Filled By O.E.M.
*** Intel(R) ME Information ***
Engine: Intel(R) Management Engine
Version: 11.8.50.3425
SVN: 3
Processor Name: Intel(R) Core(TM) i3-6100 CPU @ 3.70GHz

*** Risk Assessment ***
Based on the analysis performed by this tool: This system is not vulnerable. It has already been patched.

kernel 4.9.74.

Ho sudato freddo perché il sistema dopo il riavvio si è spento per poi riaccendersi da solo.

Ma bando alle ciance: quindi ora il sistema non è + vulnerabile nemmeno col kernel longterm?

Non è che c'ho capito molto di questa storia:
- si parla di un bug risolvibile solo via software;
- poi Intel rilascia un aggiornamento firmware e la questione sembra risolta (via hardware?).

Per non parlare poi della faccenda del presunto calo di prestazioni che a questo punto è tutto da verificare.

Idee?

Avatar utente
brg
Linux 2.4
Linux 2.4
Messaggi: 432
Iscritto il: sab mar 12, 2011 14:20
Slackware: 14.2
Kernel: 4.4.38
Desktop: KDE4
Località: Montecatini
Contatta:

Re: Brutte notizie un po' per tutti i possessori di cpu moderne

Messaggioda brg » mer gen 03, 2018 23:34

rik70 ha scritto:Intel rilascia un aggiornamento firmware e la questione sembra risolta (via hardware?).


Al momento in cui scrivo è risolvibile solo via sistema operativo. Intel rivelerà il problema e la soluzione che adotterà la settimana prossima.

Avatar utente
ponce
Iper Master
Iper Master
Messaggi: 2319
Iscritto il: mer mar 05, 2008 16:45
Nome Cognome: Matteo Bernardini
Slackware: slackware64-current
Kernel: 4.15.0
Desktop: lxde
Località: Pisa
Contatta:

Re: Brutte notizie un po' per tutti i possessori di cpu moderne

Messaggioda ponce » gio gen 04, 2018 7:34


Avatar utente
conraid
Staff
Staff
Messaggi: 13021
Iscritto il: gio lug 14, 2005 0:00
Nome Cognome: Corrado Franco
Slackware: current64
Località: Livorno
Contatta:

Re: Brutte notizie un po' per tutti i possessori di cpu moderne

Messaggioda conraid » gio gen 04, 2018 10:05

La cosa sembra più seria di quanto avessi pensato.

p.s.
incide tanto il kernel con la patch sulle prestazioni? avete provato?

Avatar utente
ponce
Iper Master
Iper Master
Messaggi: 2319
Iscritto il: mer mar 05, 2008 16:45
Nome Cognome: Matteo Bernardini
Slackware: slackware64-current
Kernel: 4.15.0
Desktop: lxde
Località: Pisa
Contatta:

Re: Brutte notizie un po' per tutti i possessori di cpu moderne

Messaggioda ponce » gio gen 04, 2018 10:09

a pelle non mi rendo conto della differenza, ma non ho fatto benchmark approfonditi con tutti i programmi che uso...

rik70
Master
Master
Messaggi: 1842
Iscritto il: gio mar 10, 2011 9:21
Slackware: 14.1
Kernel: 4.0.x-smp
Desktop: Xfce 4.12

Re: Brutte notizie un po' per tutti i possessori di cpu moderne

Messaggioda rik70 » gio gen 04, 2018 13:17

Mah.. a questo punto aspettiamo notizie da intel. Io comunque ho problemi col kernel 4.14.11:

Codice: Seleziona tutto

[   64.812623] Failed to release pages: bind_count=1, pages_pin_count=1, pin_display=0
[   64.812644] ------------[ cut here ]------------
[   64.812698] WARNING: CPU: 3 PID: 49 at drivers/gpu/drm/i915/i915_gem_userptr.c:89 cancel_userptr+0xdc/0xe0 [i915]
Non mi crea blocchi o altri problemi, ma non è rassicurante. Mi sa che mi tocca aprire un bug su freedesktop, nel frattempo torno al kernel 4.9.

Avatar utente
brg
Linux 2.4
Linux 2.4
Messaggi: 432
Iscritto il: sab mar 12, 2011 14:20
Slackware: 14.2
Kernel: 4.4.38
Desktop: KDE4
Località: Montecatini
Contatta:

Re: Brutte notizie un po' per tutti i possessori di cpu moderne

Messaggioda brg » gio gen 04, 2018 13:42

ponce ha scritto:stamani scopriamo che le vulnerabilita' sono due, Meltdown (quella dell'IME) e Spectre

https://en.wikipedia.org/wiki/Meltdown_ ... nerability)
https://en.wikipedia.org/wiki/Spectre_( ... nerability)
https://spectreattack.com


Propriamente sono tre vulnerabilità, attraverso due differenti bachi: https://googleprojectzero.blogspot.it/2018/01/reading-privileged-memory-with-side.html.

Codice: Seleziona tutto

[1] bounds check bypass (CVE-2017-5753)     - consente di leggere la memoria nel contesto corrente
[2] branch target injection (CVE-2017-5715) - consente di iniettare codice nel contesto corrente
[3] rogue data cache load (CVE-2017-5754)   - consente di leggere memoria ovunque senza alterare il funzionamento del processo attaccato


A tal proposito AMD ha rilasciato una dichiarazione in cui afferma che: la prima vulnerabilità è risolvibile solo via software dalle applicazioni interessate, la seconda è quasi impossibile da effettuare con successo su processori AMD e la terza, che è la più grave, riguarda solo Intel. Per la terza esiste già un exploit.

A tal proposito è intervenuto anche Linus: https://marc.info/?l=linux-kernel&m=151502350206820&w=2. :)

conraid ha scritto:incide tanto il kernel con la patch sulle prestazioni? avete provato?

Ci sono vari benchmark in giro, comunque il succo è che influisce solo sulle commutazioni di contesto: dipende se il tuo carico di lavoro prevede molto commutazioni di contesto oppure no.

Avatar utente
uboot
Linux 1.0
Linux 1.0
Messaggi: 21
Iscritto il: lun dic 24, 2007 20:17
Slackware: 14.2
Kernel: 4.4.14
Desktop: KDE 4.14.21
Località: Attimis-Buja

Re: Brutte notizie un po' per tutti i possessori di cpu moderne

Messaggioda uboot » gio gen 04, 2018 20:41

.. un aiuto : dando il comando da root ./intel_sa00086.py mi restituisce i seguenti errori ..
la versione di Python 2.7.11 quella di default penso

Codice: Seleziona tutto

INTEL-SA-00086 Detection Tool                                                                                                                                                                                                 
Copyright(C) 2017, Intel Corporation, All rights reserved                                                                                                                                                                     

Application Version: 1.0.0.152                                                                                                                                                                                               
Scan date: 2018-01-04 19:29:53 GMT                                                                                                                                                                                           

*** Host Computer Information ***                                                                                                                                                                                             
Name: Slacky                                                                                                                                                                                                                 
Manufacturer: Dell Inc.                                                                                                                                                                                                       
Model: OptiPlex 780                                                                                                                                                                                                           
Processor Name: Intel(R) Core(TM)2 Quad CPU    Q9550  @ 2.83GHz                                                                                                                                                               
OS Version: Slackware  14.2  (4.4.14)                     

Traceback (most recent call last):
  File "./intel_sa00086.py", line 133, in <module>
    sys.exit(main())
  File "./intel_sa00086.py", line 75, in main
    ver_str, code, family, svn = get_fw_state()
  File "/home/martin/Desktop/SA00086_Linux/common/heci.py", line 126, in get_fw_state
    fw_ver = get_fw_ver()
  File "/home/martin/Desktop/SA00086_Linux/common/heci.py", line 92, in get_fw_ver
    mei_fd = get_mkhi_fd()
  File "/home/martin/Desktop/SA00086_Linux/common/heci.py", line 29, in get_mkhi_fd
    fixed_address_soft(dev_node, True)
  File "/home/martin/Desktop/SA00086_Linux/mei/debugfs.py", line 88, in fixed_address_soft
    if get_fa_support(device):
  File "/home/martin/Desktop/SA00086_Linux/mei/debugfs.py", line 121, in get_fa_support
    _, hbm = get_devstate(device)
  File "/home/martin/Desktop/SA00086_Linux/mei/debugfs.py", line 98, in get_devstate
    mei_dir = check_for_debugfs(device)
  File "/home/martin/Desktop/SA00086_Linux/mei/debugfs.py", line 69, in check_for_debugfs
    if not valid_path(mei_dir + '/meclients'):
TypeError: unsupported operand type(s) for +: 'NoneType' and 'str'