Brutte notizie un po' per tutti i possessori di cpu moderne

Postate qui per tutte le discussioni legate a Linux in generale.

Moderatore: Staff

Regole del forum
1) Citare sempre la versione di Slackware usata, la versione del Kernel e magari anche la versione della libreria coinvolta. Questi dati aiutano le persone che possono rispondere.
2) Per evitare confusione prego inserire in questo forum solo topic che riguardano appunto Gnu/Linux in genere, se l'argomento è specifico alla Slackware usate uno dei forum Slackware o Slackware64.
3) Leggere attentamente le risposte ricevute
4) Scrivere i messaggi con il colore di default, evitare altri colori.
5) Scrivere in Italiano o in Inglese, se possibile grammaticalmente corretto, evitate stili di scrittura poco chiari, quindi nessuna abbreviazione tipo telegramma o scrittura stile SMS o CHAT.
6) Appena registrati è consigliato presentarsi nel forum dedicato.

La non osservanza delle regole porta a provvedimenti di vari tipo da parte dello staff, in particolare la non osservanza della regola 5 porta alla cancellazione del post e alla segnalazione dell'utente. In caso di recidività l'utente rischia il ban temporaneo.
Meskalamdug
Iper Master
Iper Master
Messaggi: 3961
Iscritto il: ven 14 mag 2004, 0:00

Re: Brutte notizie un po' per tutti i possessori di cpu moderne

Messaggio da Meskalamdug »

Sul portatile intel il tool mi dice

CVE-2017-5754 [rogue data cache load] aka 'Meltdown' aka 'Variant 3'
* Kernel supports Page Table Isolation (PTI): YES
* PTI enabled and active: YES
* Running as a Xen PV DomU: NO
> STATUS: NOT VULNERABLE (PTI mitigates the vulnerability)

Non ci sto capendo un tubo

Avatar utente
brg
Linux 3.x
Linux 3.x
Messaggi: 580
Iscritto il: sab 12 mar 2011, 14:20
Slackware: 15.0
Kernel: 5.15.117
Desktop: KDE5
Località: Montecatini
Contatta:

Re: Brutte notizie un po' per tutti i possessori di cpu moderne

Messaggio da brg »

Meskalamdug ha scritto:Sul portatile intel il tool mi dice

CVE-2017-5754 [rogue data cache load] aka 'Meltdown' aka 'Variant 3'
* Kernel supports Page Table Isolation (PTI): YES
* PTI enabled and active: YES
* Running as a Xen PV DomU: NO
> STATUS: NOT VULNERABLE (PTI mitigates the vulnerability)

Non ci sto capendo un tubo
Sì, scusa, sono stato troppo sbrigativo io. Meltdown dovrà essere risolto via firmware, tuttavia può essere evitato via software, abilitando una funzione del kernel (PTI) che tipicamente è disabilitata. Il fatto è che certe operazioni sono più lente a causa del PTI e quindi la questione sarà risolta solo con un aggiornamento firmware, se per risolto intendiamo la condizione di sicurezza e di prestazioni nominali. Tuttavia può darsi, anzi è probabile, che Intel non rilasci il firmware aggiornato per tutte le famiglie di CPU e quindi rimarrà solo la soluzione di abilitare il PTI. Dal kernel 4.14 il PTI è automaticamente abilitato se viene rilevata una CPU Intel.

Meskalamdug
Iper Master
Iper Master
Messaggi: 3961
Iscritto il: ven 14 mag 2004, 0:00

Re: Brutte notizie un po' per tutti i possessori di cpu moderne

Messaggio da Meskalamdug »

brg ha scritto:
Meskalamdug ha scritto:Sul portatile intel il tool mi dice

CVE-2017-5754 [rogue data cache load] aka 'Meltdown' aka 'Variant 3'
* Kernel supports Page Table Isolation (PTI): YES
* PTI enabled and active: YES
* Running as a Xen PV DomU: NO
> STATUS: NOT VULNERABLE (PTI mitigates the vulnerability)

Non ci sto capendo un tubo
Sì, scusa, sono stato troppo sbrigativo io. Meltdown dovrà essere risolto via firmware, tuttavia può essere evitato via software, abilitando una funzione del kernel (PTI) che tipicamente è disabilitata. Il fatto è che certe operazioni sono più lente a causa del PTI e quindi la questione sarà risolta solo con un aggiornamento firmware, se per risolto intendiamo la condizione di sicurezza e di prestazioni nominali. Tuttavia può darsi, anzi è probabile, che Intel non rilasci il firmware aggiornato per tutte le famiglie di CPU e quindi rimarrà solo la soluzione di abilitare il PTI. Dal kernel 4.14 il PTI è automaticamente abilitato se viene rilevata una CPU Intel.
Perfetto,grazie.

Avatar utente
brg
Linux 3.x
Linux 3.x
Messaggi: 580
Iscritto il: sab 12 mar 2011, 14:20
Slackware: 15.0
Kernel: 5.15.117
Desktop: KDE5
Località: Montecatini
Contatta:

Re: Brutte notizie un po' per tutti i possessori di cpu moderne

Messaggio da brg »

Uno sviluppatore di Red Hat ha tenuto una conferenza esauriente quanto lunga su queste vulnerabilità, al FOSDEM: https://fosdem.org/2018/schedule/event/ ... eynote.pdf. Praticamente la fattibilità di un attacco tramite Spectre 2 non è stata ancora dimostrata, se non in un unico caso controllato con una macchina virtuale che girava su un Intel Xeon: la possibilità di sfruttare con successo Spectre 2 dipende infatti da una molteplicità di fattori, che lo rende improbabile, se non impossibile. Spectre 1 e Meltdown sono invece minacce reali.

Meskalamdug
Iper Master
Iper Master
Messaggi: 3961
Iscritto il: ven 14 mag 2004, 0:00

Re: Brutte notizie un po' per tutti i possessori di cpu moderne

Messaggio da Meskalamdug »

brg ha scritto:Uno sviluppatore di Red Hat ha tenuto una conferenza esauriente quanto lunga su queste vulnerabilità, al FOSDEM: https://fosdem.org/2018/schedule/event/ ... eynote.pdf. Praticamente la fattibilità di un attacco tramite Spectre 2 non è stata ancora dimostrata, se non in un unico caso controllato con una macchina virtuale che girava su un Intel Xeon: la possibilità di sfruttare con successo Spectre 2 dipende infatti da una molteplicità di fattori, che lo rende improbabile, se non impossibile. Spectre 1 e Meltdown sono invece minacce reali.
E il peggio è che per la V1 non esiste ancora la toppa.

Avatar utente
brg
Linux 3.x
Linux 3.x
Messaggi: 580
Iscritto il: sab 12 mar 2011, 14:20
Slackware: 15.0
Kernel: 5.15.117
Desktop: KDE5
Località: Montecatini
Contatta:

Re: Brutte notizie un po' per tutti i possessori di cpu moderne

Messaggio da brg »

Meskalamdug ha scritto:E il peggio è che per la V1 non esiste ancora la toppa.
Spectre è un problema di programmazione sicura, cioè si risolve come si risolvono i problemi relativi alla SQL injection o ai buffer overflow. I programmatori che lavorano su software critico (browser, macchine virtuali) devono prendere determinati accorgimenti per evitare che Spectre possa essere sfruttato per fini malevoli.

Avatar utente
ponce
Iper Master
Iper Master
Messaggi: 3022
Iscritto il: mer 5 mar 2008, 16:45
Nome Cognome: Matteo Bernardini
Slackware: slackware64-current
Kernel: 6.6.16
Desktop: lxde
Località: Pisa
Contatta:

Re: Brutte notizie un po' per tutti i possessori di cpu moderne

Messaggio da ponce »

Pat ha aggiornato il gcc alla 5.5.0 nella 14.2 (mai vista una cosa del genere): la nuova versione supporta retpoline e quindi il kernel compilato con quella versione ha la copertura completa per spectre v2 (esclusi gli aggiornamenti del microcode).

Meskalamdug
Iper Master
Iper Master
Messaggi: 3961
Iscritto il: ven 14 mag 2004, 0:00

Re: Brutte notizie un po' per tutti i possessori di cpu moderne

Messaggio da Meskalamdug »

ponce ha scritto:Pat ha aggiornato il gcc alla 5.5.0 nella 14.2 (mai vista una cosa del genere): la nuova versione supporta retpoline e quindi il kernel compilato con quella versione ha la copertura completa per spectre v2 (esclusi gli aggiornamenti del microcode).
Faccio il test subito.
Ottima mossa di Pat,ma se la faceva prima mi evitava la migrazione a current..
:o

Meskalamdug
Iper Master
Iper Master
Messaggi: 3961
Iscritto il: ven 14 mag 2004, 0:00

Re: Brutte notizie un po' per tutti i possessori di cpu moderne

Messaggio da Meskalamdug »

Testato con lo script,slackware 14.2 adesso è coperta.

https://github.com/speed47/spectre-meltdown-checker

Meskalamdug
Iper Master
Iper Master
Messaggi: 3961
Iscritto il: ven 14 mag 2004, 0:00

Re: Brutte notizie un po' per tutti i possessori di cpu moderne

Messaggio da Meskalamdug »


rik70
Iper Master
Iper Master
Messaggi: 2489
Iscritto il: gio 10 mar 2011, 9:21
Slackware: 15.0
Kernel: 5.15.x-generic
Desktop: Sway
Distribuzione: Arch Linux

Re: Brutte notizie un po' per tutti i possessori di cpu moderne

Messaggio da rik70 »

Meskalamdug ha scritto:Qualcosa si muove per la v1
kernel 4.9.81:
CVE-2017-5753 [bounds check bypass] aka 'Spectre Variant 1'
* Mitigated according to the /sys interface: YES (kernel confirms that the mitigation is active)
* Kernel has array_index_mask_nospec: YES (1 occurence(s) found of 64 bits array_index_mask_nospec())
> STATUS: NOT VULNERABLE (Mitigation: __user pointer sanitization)

Meskalamdug
Iper Master
Iper Master
Messaggi: 3961
Iscritto il: ven 14 mag 2004, 0:00

Re: Brutte notizie un po' per tutti i possessori di cpu moderne

Messaggio da Meskalamdug »

rik70 ha scritto:
Meskalamdug ha scritto:Qualcosa si muove per la v1
kernel 4.9.81:
CVE-2017-5753 [bounds check bypass] aka 'Spectre Variant 1'
* Mitigated according to the /sys interface: YES (kernel confirms that the mitigation is active)
* Kernel has array_index_mask_nospec: YES (1 occurence(s) found of 64 bits array_index_mask_nospec())
> STATUS: NOT VULNERABLE (Mitigation: __user pointer sanitization)
Siamo tutti coperti?
Bene

Meskalamdug
Iper Master
Iper Master
Messaggi: 3961
Iscritto il: ven 14 mag 2004, 0:00

Re: Brutte notizie un po' per tutti i possessori di cpu moderne

Messaggio da Meskalamdug »

Su slackware 14.2 con kernel 4.14.19(ricompilato con il config della current) mi da luce verde sulle tre vulnerabilità.
Ho usato questo tool
https://github.com/speed47/spectre-meltdown-checker

Meskalamdug
Iper Master
Iper Master
Messaggi: 3961
Iscritto il: ven 14 mag 2004, 0:00

Re: Brutte notizie un po' per tutti i possessori di cpu moderne

Messaggio da Meskalamdug »

Per possessori di Microserver Gen8,hpe ha rilasciato gli aggiornamenti firmware il 22 Gennaio

https://support.hpe.com/hpsc/doc/public ... 39267en_us

rik70
Iper Master
Iper Master
Messaggi: 2489
Iscritto il: gio 10 mar 2011, 9:21
Slackware: 15.0
Kernel: 5.15.x-generic
Desktop: Sway
Distribuzione: Arch Linux

Re: Brutte notizie un po' per tutti i possessori di cpu moderne

Messaggio da rik70 »

Anche ASRock ha rilasciato aggiornamenti BIOS:
2018/3/12
Update Skylake CPU Microcode to revision C2 and Kabylake CPU Microcode to revision 84. (For CPU security update)
P.s.
Ci sarà da fidarsi?

Rispondi