Brutte notizie un po' per tutti i possessori di cpu moderne
Moderatore: Staff
Regole del forum
1) Citare sempre la versione di Slackware usata, la versione del Kernel e magari anche la versione della libreria coinvolta. Questi dati aiutano le persone che possono rispondere.
2) Per evitare confusione prego inserire in questo forum solo topic che riguardano appunto Gnu/Linux in genere, se l'argomento è specifico alla Slackware usate uno dei forum Slackware o Slackware64.
3) Leggere attentamente le risposte ricevute
4) Scrivere i messaggi con il colore di default, evitare altri colori.
5) Scrivere in Italiano o in Inglese, se possibile grammaticalmente corretto, evitate stili di scrittura poco chiari, quindi nessuna abbreviazione tipo telegramma o scrittura stile SMS o CHAT.
6) Appena registrati è consigliato presentarsi nel forum dedicato.
La non osservanza delle regole porta a provvedimenti di vari tipo da parte dello staff, in particolare la non osservanza della regola 5 porta alla cancellazione del post e alla segnalazione dell'utente. In caso di recidività l'utente rischia il ban temporaneo.
1) Citare sempre la versione di Slackware usata, la versione del Kernel e magari anche la versione della libreria coinvolta. Questi dati aiutano le persone che possono rispondere.
2) Per evitare confusione prego inserire in questo forum solo topic che riguardano appunto Gnu/Linux in genere, se l'argomento è specifico alla Slackware usate uno dei forum Slackware o Slackware64.
3) Leggere attentamente le risposte ricevute
4) Scrivere i messaggi con il colore di default, evitare altri colori.
5) Scrivere in Italiano o in Inglese, se possibile grammaticalmente corretto, evitate stili di scrittura poco chiari, quindi nessuna abbreviazione tipo telegramma o scrittura stile SMS o CHAT.
6) Appena registrati è consigliato presentarsi nel forum dedicato.
La non osservanza delle regole porta a provvedimenti di vari tipo da parte dello staff, in particolare la non osservanza della regola 5 porta alla cancellazione del post e alla segnalazione dell'utente. In caso di recidività l'utente rischia il ban temporaneo.
- ponce
- Iper Master
- Messaggi: 3025
- Iscritto il: mer 5 mar 2008, 16:45
- Nome Cognome: Matteo Bernardini
- Slackware: slackware64-current
- Kernel: 6.6.16
- Desktop: lxde
- Località: Pisa
- Contatta:
Brutte notizie un po' per tutti i possessori di cpu moderne
E' stato scoperto un baco architetturale nella gestione delle pagine di memoria dei processori Intel non risolvibile tramite aggiornamenti del microcode e quindi necessariamente affrontabile a livello di sistema operativo: il vero problema e' che le patch risolutive per il kernel linux rallentano l'esecuzione del codice, anche sui processori della AMD che non dovrebbero essere affetti dal bug originale
http://pythonsweetness.tumblr.com/post/ ... page-table
http://www.theregister.co.uk/2018/01/02 ... sign_flaw/
P.S. nel nuovo kernel 4.14.11 in current sono incluse le patch ( CONFIG_PAGE_TABLE_ISOLATION=y ).
http://pythonsweetness.tumblr.com/post/ ... page-table
http://www.theregister.co.uk/2018/01/02 ... sign_flaw/
P.S. nel nuovo kernel 4.14.11 in current sono incluse le patch ( CONFIG_PAGE_TABLE_ISOLATION=y ).
- conraid
- Staff
- Messaggi: 13630
- Iscritto il: gio 14 lug 2005, 0:00
- Nome Cognome: Corrado Franco
- Slackware: current64
- Desktop: kde
- Località: Livorno
- Contatta:
Re: Brutte notizie un po' per tutti i possessori di cpu moderne
Ma si può dire N a quella voce? Cosa comporta?
- ponce
- Iper Master
- Messaggi: 3025
- Iscritto il: mer 5 mar 2008, 16:45
- Nome Cognome: Matteo Bernardini
- Slackware: slackware64-current
- Kernel: 6.6.16
- Desktop: lxde
- Località: Pisa
- Contatta:
Re: Brutte notizie un po' per tutti i possessori di cpu moderne
e' spiegato nell'articolo su "The Register"
se hai una cpu AMD dovresti pero' essere tranquillo, a quello che dice AMD stessa: tieni di conto che i dettagli del baco in questione non sono ancora stati resi pubblici, la notizia e' basata fondamentalmente sulle deduzioni del secondo articolo su tumblr (e sulle fonti che questo cita).At best, the vulnerability could be leveraged by malware and hackers to more easily exploit other security bugs.
At worst, the hole could be abused by programs and logged-in users to read the contents of the kernel's memory. Suffice to say, this is not great. The kernel's memory space is hidden from user processes and programs because it may contain all sorts of secrets, such as passwords, login keys, files cached from disk, and so on. Imagine a piece of JavaScript running in a browser, or malicious software running on a shared public cloud server, able to sniff sensitive kernel-protected data.
Specifically, in terms of the best-case scenario, it is possible the bug could be abused to defeat KASLR: kernel address space layout randomization. This is a defense mechanism used by various operating systems to place components of the kernel in randomized locations in virtual memory. This mechanism can thwart attempts to abuse other bugs within the kernel: typically, exploit code – particularly return-oriented programming exploits – relies on reusing computer instructions in known locations in memory.
If you randomize the placing of the kernel's code in memory, exploits can't find the internal gadgets they need to fully compromise a system. The processor flaw could be potentially exploited to figure out where in memory the kernel has positioned its data and code, hence the flurry of software patching.
- conraid
- Staff
- Messaggi: 13630
- Iscritto il: gio 14 lug 2005, 0:00
- Nome Cognome: Corrado Franco
- Slackware: current64
- Desktop: kde
- Località: Livorno
- Contatta:
Re: Brutte notizie un po' per tutti i possessori di cpu moderne
È che ho un notebook del 2007, con Intel core 2 duo T7100, va già lento se rallenta ancora è un dramma.
p.s.
non riesco a trovare una lista dei processori coinvolti, mi par di capire i 64bit con almeno due core però.
p.s.
non riesco a trovare una lista dei processori coinvolti, mi par di capire i 64bit con almeno due core però.
- ponce
- Iper Master
- Messaggi: 3025
- Iscritto il: mer 5 mar 2008, 16:45
- Nome Cognome: Matteo Bernardini
- Slackware: slackware64-current
- Kernel: 6.6.16
- Desktop: lxde
- Località: Pisa
- Contatta:
Re: Brutte notizie un po' per tutti i possessori di cpu moderne
ho appena visto che quelli della AMD disabiliteranno di default la page table isolation (questa patch pero' non e' ancora nei kernel rilasciati)
https://lkml.org/lkml/2017/12/27/2
https://lkml.org/lkml/2017/12/27/2
https://lkml.org/lkml/2017/12/27/2
a quello che leggo e deduco dal thread citato qui subito sopra dovresti poter provare a passare tra i parametri del kernel al boot (ovviamente a tuo rischio e pericolo) "pti=off"conraid ha scritto:È che ho un notebook del 2007, con Intel core 2 duo T7100, va già lento se rallenta ancora è un dramma.
https://lkml.org/lkml/2017/12/27/2
e' presto, il baco non e' ancora stato rilasciato ufficialmente.conraid ha scritto:non riesco a trovare una lista dei processori coinvolti, mi par di capire i 64bit con almeno due core però.
- conraid
- Staff
- Messaggi: 13630
- Iscritto il: gio 14 lug 2005, 0:00
- Nome Cognome: Corrado Franco
- Slackware: current64
- Desktop: kde
- Località: Livorno
- Contatta:
Re: Brutte notizie un po' per tutti i possessori di cpu moderne
Ma io ricompilo da solo il kernel quindi per ora ho detto N alla page isolation, poi con calma studio meglio la cosa.
Mi sa però che per comprare nuovo notebook meglio aspettare le nuove cpu
Mi sa però che per comprare nuovo notebook meglio aspettare le nuove cpu
-
- Iper Master
- Messaggi: 2489
- Iscritto il: gio 10 mar 2011, 9:21
- Slackware: 15.0
- Kernel: 5.15.x-generic
- Desktop: Sway
- Distribuzione: Arch Linux
Re: Brutte notizie un po' per tutti i possessori di cpu moderne
E Intel che dice?
Ci ridà i soldi indietro o....
Ci ridà i soldi indietro o....
- ponce
- Iper Master
- Messaggi: 3025
- Iscritto il: mer 5 mar 2008, 16:45
- Nome Cognome: Matteo Bernardini
- Slackware: slackware64-current
- Kernel: 6.6.16
- Desktop: lxde
- Località: Pisa
- Contatta:
Re: Brutte notizie un po' per tutti i possessori di cpu moderne
...e' piu' probabile che ci faccia a tutti un bel pernacchione.rik70 ha scritto:E Intel che dice?
Ci ridà i soldi indietro o....
-
- Iper Master
- Messaggi: 2489
- Iscritto il: gio 10 mar 2011, 9:21
- Slackware: 15.0
- Kernel: 5.15.x-generic
- Desktop: Sway
- Distribuzione: Arch Linux
Re: Brutte notizie un po' per tutti i possessori di cpu moderne
Già... e vai a fargli causa... da solo.ponce ha scritto: ...e' piu' probabile che ci faccia a tutti un bel pernacchione.
Sbaglio o stanno testando dei fix nel kernel 4.15?
- ponce
- Iper Master
- Messaggi: 3025
- Iscritto il: mer 5 mar 2008, 16:45
- Nome Cognome: Matteo Bernardini
- Slackware: slackware64-current
- Kernel: 6.6.16
- Desktop: lxde
- Località: Pisa
- Contatta:
Re: Brutte notizie un po' per tutti i possessori di cpu moderne
hanno gia' fatto il backport nel 4.14.11, credo proprio che siano anche nel 4.15.0-rcX...rik70 ha scritto:Sbaglio o stanno testando dei fix nel kernel 4.15?
- ponce
- Iper Master
- Messaggi: 3025
- Iscritto il: mer 5 mar 2008, 16:45
- Nome Cognome: Matteo Bernardini
- Slackware: slackware64-current
- Kernel: 6.6.16
- Desktop: lxde
- Località: Pisa
- Contatta:
Re: Brutte notizie un po' per tutti i possessori di cpu moderne
e' uscita una paginetta di intel
https://www.intel.com/content/www/us/en ... tware.html
e un tool per verificare se la cpu e' vulnerabile: scompattatelo in una directory creata appositamente e lanciate lo script python da root
https://downloadcenter.intel.com/download/27150?v=t
qui, su slackware64-current con kernel 4.14.11
https://www.intel.com/content/www/us/en ... tware.html
e un tool per verificare se la cpu e' vulnerabile: scompattatelo in una directory creata appositamente e lanciate lo script python da root
https://downloadcenter.intel.com/download/27150?v=t
qui, su slackware64-current con kernel 4.14.11
Codice: Seleziona tutto
INTEL-SA-00086 Detection Tool
Copyright(C) 2017, Intel Corporation, All rights reserved
Application Version: 1.0.0.152
Scan date: 2018-01-03 14:23:21 GMT
*** Host Computer Information ***
Name: preacher
Manufacturer: System manufacturer
Model: System Product Name
Processor Name: Intel(R) Core(TM) i7-6700 CPU @ 3.40GHz
OS Version: Slackware 14.2 (4.14.11)
*** Intel(R) ME Information ***
Engine: Intel(R) Management Engine
Version: 11.8.50.3399
SVN: 3
*** Risk Assessment ***
Based on the analysis performed by this tool: This system is not vulnerable. It has already been patched.
For more information refer to the INTEL-SA-00086 Detection Tool Guide or the
Intel Security Advisory Intel-SA-00086 at the following link:
https://www.intel.com/sa-00086-support
- brg
- Linux 3.x
- Messaggi: 580
- Iscritto il: sab 12 mar 2011, 14:20
- Slackware: 15.0
- Kernel: 5.15.117
- Desktop: KDE5
- Località: Montecatini
- Contatta:
Re: Brutte notizie un po' per tutti i possessori di cpu moderne
Ci sono due questioni relative a questa patch di sicurezza. La prima riguarda il KASLR, che senza questa patch è vulnerabile su tutte le CPU x86 esistenti. Questo problema era stato scoperto nel 2016, ma, siccome a parte qualche fanatico della sicurezza nessuno usa il KASLR, la patch non era stata introdotta, visto che comportava un grosso carico computazionale in più per la CPU. La seconda questione riguarda un bug che riguarda tutte le CPU Intel dal pentium in poi [sic!] che consentirebbe di scrivere negli spazi di memoria del kernel. Il problema è risolvibile usando la stessa patch del KASLR, che nel frattempo è stata ottimizata un po' (inizialmente dava un sovraccarico computazionale del 30%).
In conclusione, se avete CPU AMD (come il desktop del sottoscritto), potete tranquillamente farne a meno, se non trovate il KASLR necessario. Altrimenti potete farci un pensierino, ma non mi fascerei troppo la testa per un'utenza desktop. Ovviamente sui server è tutto un altro discorso.
Edit: il CEO di Intel si è venduto tutte le azioni un mesetto fa, https://www.fool.com/investing/2017/12/ ... stock.aspx
In conclusione, se avete CPU AMD (come il desktop del sottoscritto), potete tranquillamente farne a meno, se non trovate il KASLR necessario. Altrimenti potete farci un pensierino, ma non mi fascerei troppo la testa per un'utenza desktop. Ovviamente sui server è tutto un altro discorso.
Edit: il CEO di Intel si è venduto tutte le azioni un mesetto fa, https://www.fool.com/investing/2017/12/ ... stock.aspx
-
- Iper Master
- Messaggi: 2489
- Iscritto il: gio 10 mar 2011, 9:21
- Slackware: 15.0
- Kernel: 5.15.x-generic
- Desktop: Sway
- Distribuzione: Arch Linux
Re: Brutte notizie un po' per tutti i possessori di cpu moderne
Codice: Seleziona tutto
*** Intel(R) ME Information ***
Engine: Intel(R) Management Engine
Version: 11.0.0.1180
SVN: 1
*** Risk Assessment ***
Based on the analysis performed by this tool: This system is vulnerable.
Explanation:
The detected version of the Intel(R) Management Engine firmware
is considered vulnerable for INTEL-SA-00086.
Contact your system manufacturer for support and remediation of this system.
Non ho capito se la faccenda se la deve "smazzare" il produttore della scheda madre o "basta" aggiornare il kernel.
- ponce
- Iper Master
- Messaggi: 3025
- Iscritto il: mer 5 mar 2008, 16:45
- Nome Cognome: Matteo Bernardini
- Slackware: slackware64-current
- Kernel: 6.6.16
- Desktop: lxde
- Località: Pisa
- Contatta:
Re: Brutte notizie un po' per tutti i possessori di cpu moderne
bisogna aggiornare il kernel.rik70 ha scritto:Non ho capito se la faccenda se la deve "smazzare" il produttore della scheda madre o "basta" aggiornare il kernel.
- brg
- Linux 3.x
- Messaggi: 580
- Iscritto il: sab 12 mar 2011, 14:20
- Slackware: 15.0
- Kernel: 5.15.117
- Desktop: KDE5
- Località: Montecatini
- Contatta:
Re: Brutte notizie un po' per tutti i possessori di cpu moderne
In altri tempi l'Intel richiamò le CPU difettose (bug FDIV), ma in questo caso non sembra essere una soluzione fattibile. Potrebbero semplicemente rilasciare a breve nuove CPU senza il baco e lasciare che le vecchie siano gestite via sistema operativo con tanto di prestazioni ridotte. Il problema di prestazioni si ha soprattutto durante le commutazioni di contesto (quindi i videogiochi sono salvi ).rik70 ha scritto:Non ho capito se la faccenda se la deve "smazzare" il produttore della scheda madre o "basta" aggiornare il kernel.