Brutte notizie un po' per tutti i possessori di cpu moderne
Moderatore: Staff
Regole del forum
1) Citare sempre la versione di Slackware usata, la versione del Kernel e magari anche la versione della libreria coinvolta. Questi dati aiutano le persone che possono rispondere.
2) Per evitare confusione prego inserire in questo forum solo topic che riguardano appunto Gnu/Linux in genere, se l'argomento è specifico alla Slackware usate uno dei forum Slackware o Slackware64.
3) Leggere attentamente le risposte ricevute
4) Scrivere i messaggi con il colore di default, evitare altri colori.
5) Scrivere in Italiano o in Inglese, se possibile grammaticalmente corretto, evitate stili di scrittura poco chiari, quindi nessuna abbreviazione tipo telegramma o scrittura stile SMS o CHAT.
6) Appena registrati è consigliato presentarsi nel forum dedicato.
La non osservanza delle regole porta a provvedimenti di vari tipo da parte dello staff, in particolare la non osservanza della regola 5 porta alla cancellazione del post e alla segnalazione dell'utente. In caso di recidività l'utente rischia il ban temporaneo.
1) Citare sempre la versione di Slackware usata, la versione del Kernel e magari anche la versione della libreria coinvolta. Questi dati aiutano le persone che possono rispondere.
2) Per evitare confusione prego inserire in questo forum solo topic che riguardano appunto Gnu/Linux in genere, se l'argomento è specifico alla Slackware usate uno dei forum Slackware o Slackware64.
3) Leggere attentamente le risposte ricevute
4) Scrivere i messaggi con il colore di default, evitare altri colori.
5) Scrivere in Italiano o in Inglese, se possibile grammaticalmente corretto, evitate stili di scrittura poco chiari, quindi nessuna abbreviazione tipo telegramma o scrittura stile SMS o CHAT.
6) Appena registrati è consigliato presentarsi nel forum dedicato.
La non osservanza delle regole porta a provvedimenti di vari tipo da parte dello staff, in particolare la non osservanza della regola 5 porta alla cancellazione del post e alla segnalazione dell'utente. In caso di recidività l'utente rischia il ban temporaneo.
- ponce
- Iper Master
- Messaggi: 3026
- Iscritto il: mer 5 mar 2008, 16:45
- Nome Cognome: Matteo Bernardini
- Slackware: slackware64-current
- Kernel: 6.6.16
- Desktop: lxde
- Località: Pisa
- Contatta:
Re: Brutte notizie un po' per tutti i possessori di cpu moderne
col kernel >= 4.14.11 (che contiene le patch per la Page Table Isolation) e con l'aggiornamento della Intel Management Engine sei al sicuro da Meltdown, non da Spectre che e' una diversa vulnerabilita'.
non ci sono ancora kernel stabili Spectre-safe (*una parte* delle patch per retpoline sono ora dentro il 4.15.0-rcX) e comunque anche le applicazioni devono essere patchate per Spectre, i compilatori pure, ecc. ecc.
non ci sono ancora kernel stabili Spectre-safe (*una parte* delle patch per retpoline sono ora dentro il 4.15.0-rcX) e comunque anche le applicazioni devono essere patchate per Spectre, i compilatori pure, ecc. ecc.
-
- Iper Master
- Messaggi: 3961
- Iscritto il: ven 14 mag 2004, 0:00
Re: Brutte notizie un po' per tutti i possessori di cpu moderne
brutta storiaponce ha scritto:col kernel >= 4.14.11 (che contiene le patch per la Page Table Isolation) e con l'aggiornamento della Intel Management Engine sei al sicuro da Meltdown, non da Spectre che e' una diversa vulnerabilita'.
non ci sono ancora kernel stabili Spectre-safe (*una parte* delle patch per retpoline sono ora dentro il 4.15.0-rcX) e comunque anche le applicazioni devono essere patchate per Spectre, i compilatori pure, ecc. ecc.
-
- Iper Master
- Messaggi: 3961
- Iscritto il: ven 14 mag 2004, 0:00
Re: Brutte notizie un po' per tutti i possessori di cpu moderne
https://www.techarp.com/guides/complete ... pu-list/2/
Qui una lista delle cpu amd che sono afflitte dal bug
La mia è una vecchia x4 965 Phenom II,stando a questa lista
sono al sicuro.
Qui una lista delle cpu amd che sono afflitte dal bug
La mia è una vecchia x4 965 Phenom II,stando a questa lista
sono al sicuro.
- ponce
- Iper Master
- Messaggi: 3026
- Iscritto il: mer 5 mar 2008, 16:45
- Nome Cognome: Matteo Bernardini
- Slackware: slackware64-current
- Kernel: 6.6.16
- Desktop: lxde
- Località: Pisa
- Contatta:
Re: Brutte notizie un po' per tutti i possessori di cpu moderne
sono appena usciti i kernel 4.14.14 e 4.9.77 col backport delle solite patch retpoline per il 4.15.0-rcX, che comunque non sembrano essere risolutiveponce ha scritto:*una parte* delle patch per retpoline sono ora dentro il 4.15.0-rcX
Codice: Seleziona tutto
# ./spectre-meltdown-checker.sh
Spectre and Meltdown mitigation detection tool v0.31
Checking for vulnerabilities against running kernel Linux 4.14.14-ck1 #1 SMP Wed Jan 17 10:23:13 CET 2018 x86_64
CPU is Intel(R) Core(TM) i7-6700 CPU @ 3.40GHz
CVE-2017-5753 [bounds check bypass] aka 'Spectre Variant 1'
* Checking whether we're safe according to the /sys interface: NO (kernel confirms your system is vulnerable)
> STATUS: VULNERABLE (Vulnerable)
CVE-2017-5715 [branch target injection] aka 'Spectre Variant 2'
* Checking whether we're safe according to the /sys interface: NO (kernel confirms your system is vulnerable)
> STATUS: VULNERABLE (Vulnerable: Minimal generic ASM retpoline)
CVE-2017-5754 [rogue data cache load] aka 'Meltdown' aka 'Variant 3'
* Checking whether we're safe according to the /sys interface: YES (kernel confirms that the mitigation is active)
> STATUS: NOT VULNERABLE (Mitigation: PTI)
A false sense of security is worse than no security at all, see --disclaimer
# ./spectre-meltdown-checker.sh --kernel /boot/vmlinuz-ck --config /usr/src/linuxck/.config --map /boot/System.map-ck
Spectre and Meltdown mitigation detection tool v0.31
Checking for vulnerabilities against specified kernel
CVE-2017-5753 [bounds check bypass] aka 'Spectre Variant 1'
* Checking count of LFENCE opcodes in kernel: NO
> STATUS: VULNERABLE (only 46 opcodes found, should be >= 70, heuristic to be improved when official patches become available)
CVE-2017-5715 [branch target injection] aka 'Spectre Variant 2'
* Mitigation 1
* Hardware (CPU microcode) support for mitigation
* The SPEC_CTRL MSR is available: YES
* The SPEC_CTRL CPUID feature bit is set: YES
* Kernel support for IBRS: NO
* IBRS enabled for Kernel space: N/A (not testable in offline mode)
* IBRS enabled for User space: N/A (not testable in offline mode)
* Mitigation 2
* Kernel compiled with retpoline option: YES
* Kernel compiled with a retpoline-aware compiler: NO
> STATUS: VULNERABLE (IBRS hardware + kernel support OR kernel with retpoline are needed to mitigate the vulnerability)
CVE-2017-5754 [rogue data cache load] aka 'Meltdown' aka 'Variant 3'
* Kernel supports Page Table Isolation (PTI): YES
* PTI enabled and active: N/A (can't verify if PTI is enabled in offline mode)
> STATUS: NOT VULNERABLE (offline mode: PTI will mitigate the vulnerability if enabled at runtime)
A false sense of security is worse than no security at all, see --disclaimer
Codice: Seleziona tutto
$ ls -la /sys/devices/system/cpu/vulnerabilities/
total 0
drwxr-xr-x 2 root root 0 gen 17 10:48 .
drwxr-xr-x 17 root root 0 gen 17 11:33 ..
-r--r--r-- 1 root root 4096 gen 17 10:48 meltdown
-r--r--r-- 1 root root 4096 gen 17 10:48 spectre_v1
-r--r--r-- 1 root root 4096 gen 17 10:48 spectre_v2
$ cat /sys/devices/system/cpu/vulnerabilities/meltdown
Mitigation: PTI
$ cat /sys/devices/system/cpu/vulnerabilities/spectre_v1
Vulnerable
$ cat /sys/devices/system/cpu/vulnerabilities/spectre_v2
Vulnerable: Minimal generic ASM retpoline
- brg
- Linux 3.x
- Messaggi: 580
- Iscritto il: sab 12 mar 2011, 14:20
- Slackware: 15.0
- Kernel: 5.15.117
- Desktop: KDE5
- Località: Montecatini
- Contatta:
Re: Brutte notizie un po' per tutti i possessori di cpu moderne
Linus Torvalds è entrato in polemica con Intel riguardo alle nuove patch per il kernel: https://lkml.org/lkml/2018/1/21/192.
In pratica la patch proposta da Intel protegge da Spectre solo il kernel, cosa inutile secondo Linus, poiché a questo ci pensa già il famoso retpoline, mentre ha come comportamento predefinito quello di lasciare senza protezione tutto il resto. La ragione parrebbe essere quella di non fare brutta figura nei benchmark, tuttavia il rischio è abbastanza elevato che, secondo Linus, nessun dispositivo attaccato ad una rete dovrebbe farne a meno.
In pratica la patch proposta da Intel protegge da Spectre solo il kernel, cosa inutile secondo Linus, poiché a questo ci pensa già il famoso retpoline, mentre ha come comportamento predefinito quello di lasciare senza protezione tutto il resto. La ragione parrebbe essere quella di non fare brutta figura nei benchmark, tuttavia il rischio è abbastanza elevato che, secondo Linus, nessun dispositivo attaccato ad una rete dovrebbe farne a meno.
-
- Iper Master
- Messaggi: 3961
- Iscritto il: ven 14 mag 2004, 0:00
-
- Iper Master
- Messaggi: 3961
- Iscritto il: ven 14 mag 2004, 0:00
- ponce
- Iper Master
- Messaggi: 3026
- Iscritto il: mer 5 mar 2008, 16:45
- Nome Cognome: Matteo Bernardini
- Slackware: slackware64-current
- Kernel: 6.6.16
- Desktop: lxde
- Località: Pisa
- Contatta:
Re: Brutte notizie un po' per tutti i possessori di cpu moderne
guarda caso una manciata di giorni dopo che sono usciti il compilatore gcc (7.3.0) col supporto di retpoline e i kernel linux col supporto di retpoline, che coprono anche loro dalla spectre variante 2 (per la variante 1 non c'e' ancora rimedio): chissa' da dove avranno preso il codice...Meskalamdug ha scritto:https://www.hwupgrade.it/news/sicurezza ... 73834.html
Codice: Seleziona tutto
# ./spectre-meltdown-checker.sh
Spectre and Meltdown mitigation detection tool v0.33+
Checking for vulnerabilities on current system
Kernel is Linux 4.15.0 #1 SMP Sun Jan 28 22:50:58 CET 2018 x86_64
CPU is Intel(R) Core(TM) i7-6700 CPU @ 3.40GHz
Hardware check
* Hardware support (CPU microcode) for mitigation techniques
* Indirect Branch Restricted Speculation (IBRS)
* SPEC_CTRL MSR is available: YES
* CPU indicates IBRS capability: YES (SPEC_CTRL feature bit)
* Indirect Branch Prediction Barrier (IBPB)
* PRED_CMD MSR is available: YES
* CPU indicates IBPB capability: YES (SPEC_CTRL feature bit)
* Single Thread Indirect Branch Predictors (STIBP)
* SPEC_CTRL MSR is available: YES
* CPU indicates STIBP capability: YES
* Enhanced IBRS (IBRS_ALL)
* CPU indicates ARCH_CAPABILITIES MSR availability: NO
* ARCH_CAPABILITIES MSR advertises IBRS_ALL capability: NO
* CPU explicitly indicates not being vulnerable to Meltdown (RDCL_NO): NO
* CPU microcode is known to cause stability problems: NO
* CPU vulnerability to the three speculative execution attacks variants
* Vulnerable to Variant 1: YES
* Vulnerable to Variant 2: YES
* Vulnerable to Variant 3: YES
CVE-2017-5753 [bounds check bypass] aka 'Spectre Variant 1'
* Mitigated according to the /sys interface: NO (kernel confirms your system is vulnerable)
> STATUS: VULNERABLE (Vulnerable)
CVE-2017-5715 [branch target injection] aka 'Spectre Variant 2'
* Mitigated according to the /sys interface: YES (kernel confirms that the mitigation is active)
* Mitigation 1
* Kernel is compiled with IBRS/IBPB support: NO
* Currently enabled features
* IBRS enabled for Kernel space: NO
* IBRS enabled for User space: NO
* IBPB enabled: NO
* Mitigation 2
* Kernel compiled with retpoline option: YES
* Kernel compiled with a retpoline-aware compiler: YES (kernel reports full retpoline compilation)
* Retpoline enabled: YES
> STATUS: NOT VULNERABLE (Mitigation: Full generic retpoline)
CVE-2017-5754 [rogue data cache load] aka 'Meltdown' aka 'Variant 3'
* Mitigated according to the /sys interface: YES (kernel confirms that the mitigation is active)
* Kernel supports Page Table Isolation (PTI): YES
* PTI enabled and active: YES
* Running as a Xen PV DomU: NO
> STATUS: NOT VULNERABLE (Mitigation: PTI)
A false sense of security is worse than no security at all, see --disclaimer
-
- Iper Master
- Messaggi: 3961
- Iscritto il: ven 14 mag 2004, 0:00
Re: Brutte notizie un po' per tutti i possessori di cpu moderne
Quindi aggiornando kernel e compilatore,siamo al riparo almeno dalla variabile 2?
- ponce
- Iper Master
- Messaggi: 3026
- Iscritto il: mer 5 mar 2008, 16:45
- Nome Cognome: Matteo Bernardini
- Slackware: slackware64-current
- Kernel: 6.6.16
- Desktop: lxde
- Località: Pisa
- Contatta:
Re: Brutte notizie un po' per tutti i possessori di cpu moderne
si, pero' non ti conviene aggiornare il compilatore perche' poi non funziona piu' niente, ti conviene passare a una distribuzione che ha integrato il nuovo compilatore...Meskalamdug ha scritto:Quindi aggiornando kernel e compilatore,siamo al riparo almeno dalla variabile 2?
traduzione: non vale la pena aggiornare il compilatore su slackware 14.2 ma conviene passare a current (che, prima o poi, diventera' la 15).
senno' puoi anche usare il kernel della current sulla stable, e rimani coperto dalla spectre v2, pero' non puoi, ad esempio, compilarti moduli esterni, come il driver nvidia.
-
- Iper Master
- Messaggi: 3961
- Iscritto il: ven 14 mag 2004, 0:00
Re: Brutte notizie un po' per tutti i possessori di cpu moderne
Uso il kernel della current,ma lo ho compilato con quello della 14.2.ponce ha scritto:si, pero' non ti conviene aggiornare il compilatore perche' poi non funziona piu' niente, ti conviene passare a una distribuzione che ha integrato il nuovo compilatore...Meskalamdug ha scritto:Quindi aggiornando kernel e compilatore,siamo al riparo almeno dalla variabile 2?
traduzione: non vale la pena aggiornare il compilatore su slackware 14.2 ma conviene passare a current (che, prima o poi, diventera' la 15).
senno' puoi anche usare il kernel della current sulla stable, e rimani coperto dalla spectre v2, pero' non puoi, ad esempio, compilarti moduli esterni, come il driver nvidia.
Quindi non sono coperto?
Il modulo esterno nvidia non lo uso,sto con ati e con i driver opensource,mi trovo benissimo non usando videogiochi o applicazioni grafiche spinte
Riguardo il compilatore,se lo ricompilo sulla 14.2 usando gli slackbuilds della current?
immagino dovrei poi ricompilare tutto...
Riguardo la current preferisco aspettare l'uscita stabile sperando non esca nel 2020..
- ponce
- Iper Master
- Messaggi: 3026
- Iscritto il: mer 5 mar 2008, 16:45
- Nome Cognome: Matteo Bernardini
- Slackware: slackware64-current
- Kernel: 6.6.16
- Desktop: lxde
- Località: Pisa
- Contatta:
Re: Brutte notizie un po' per tutti i possessori di cpu moderne
no, per una copertura completa a livello kernel per la spectre v2 devi ricompilarti la versione del kernel della current (o anche la 4.9.x o la 4.15.x) usando il gcc-7.3.0.Meskalamdug ha scritto:Uso il kernel della current,ma lo ho compilato con quello della 14.2.ponce ha scritto:si, pero' non ti conviene aggiornare il compilatore perche' poi non funziona piu' niente, ti conviene passare a una distribuzione che ha integrato il nuovo compilatore...Meskalamdug ha scritto:Quindi aggiornando kernel e compilatore,siamo al riparo almeno dalla variabile 2?
traduzione: non vale la pena aggiornare il compilatore su slackware 14.2 ma conviene passare a current (che, prima o poi, diventera' la 15).
senno' puoi anche usare il kernel della current sulla stable, e rimani coperto dalla spectre v2, pero' non puoi, ad esempio, compilarti moduli esterni, come il driver nvidia.
Quindi non sono coperto?
allora puoi provare ad installare i pacchetti kernel-{huge,generic} e kernel-modules della current sulla stable, tanto se poi vedi che hai bisogno di qualche modulo esterno puoi sempre tornare al kernel compilato da te.Il modulo esterno nvidia non lo uso,sto con ati e con i driver opensource,mi trovo benissimo non usando videogiochi o applicazioni grafiche spinte
tutto no, ma avresti un sacco di problemi, troppi da elencare e da risolvere, non ne vale proprio la pena.Riguardo il compilatore,se lo ricompilo sulla 14.2 usando gli slackbuilds della current?
immagino dovrei poi ricompilare tutto...
io la uso da tanti anni ma sono uno psicopatico, non devo essere preso a modello.Riguardo la current preferisco aspettare l'uscita stabile sperando non esca nel 2020..
-
- Iper Master
- Messaggi: 3961
- Iscritto il: ven 14 mag 2004, 0:00
Re: Brutte notizie un po' per tutti i possessori di cpu moderne
Io la usavo un tempo,come distro stabile.ponce ha scritto:no, per una copertura completa a livello kernel per la spectre v2 devi ricompilarti la versione del kernel della current (o anche la 4.9.x o la 4.15.x) usando il gcc-7.3.0.Meskalamdug ha scritto:Uso il kernel della current,ma lo ho compilato con quello della 14.2.ponce ha scritto: si, pero' non ti conviene aggiornare il compilatore perche' poi non funziona piu' niente, ti conviene passare a una distribuzione che ha integrato il nuovo compilatore...
traduzione: non vale la pena aggiornare il compilatore su slackware 14.2 ma conviene passare a current (che, prima o poi, diventera' la 15).
senno' puoi anche usare il kernel della current sulla stable, e rimani coperto dalla spectre v2, pero' non puoi, ad esempio, compilarti moduli esterni, come il driver nvidia.
Quindi non sono coperto?allora puoi provare ad installare i pacchetti kernel-{huge,generic} e kernel-modules della current sulla stable, tanto se poi vedi che hai bisogno di qualche modulo esterno puoi sempre tornare al kernel compilato da te.Il modulo esterno nvidia non lo uso,sto con ati e con i driver opensource,mi trovo benissimo non usando videogiochi o applicazioni grafiche spintetutto no, ma avresti un sacco di problemi, troppi da elencare e da risolvere, non ne vale proprio la pena.Riguardo il compilatore,se lo ricompilo sulla 14.2 usando gli slackbuilds della current?
immagino dovrei poi ricompilare tutto...io la uso da tanti anni ma sono uno psicopatico, non devo essere preso a modello.Riguardo la current preferisco aspettare l'uscita stabile sperando non esca nel 2020..
Ma avevo parecchio tempo da perdere,adesso ho bisogno di stabilità e calma,quindi preferisco una distro stabile.
Se la copertura con spectre dipende dal kernel + gcc allora propongo (è un idea..un ipotesi) 2 soluzioni
a)Fare uscire la 15
b)Distribuire gcc7 come fix per 14.2,con tutti gli eventuali pacchetti da ricompilare,questa è la soluzione più scomoda
ma anche la più sicura.
- ponce
- Iper Master
- Messaggi: 3026
- Iscritto il: mer 5 mar 2008, 16:45
- Nome Cognome: Matteo Bernardini
- Slackware: slackware64-current
- Kernel: 6.6.16
- Desktop: lxde
- Località: Pisa
- Contatta:
Re: Brutte notizie un po' per tutti i possessori di cpu moderne
non credo che sarai accontentato, almeno in tempi brevi: per la 15 credo manchi ancora un po' (e' probabile che ci vada a finire anche kde5, oltre alle varie ricompilazioni che probabilmente saranno fatte per spectre) e patchare la 14.2 e' improponibile, andrebbe ricompilata quasi tutta, non sono mai stati fatti interventi massivi in quel senso su una stabile.Meskalamdug ha scritto:a)Fare uscire la 15
b)Distribuire gcc7 come fix per 14.2,con tutti gli eventuali pacchetti da ricompilare,questa è la soluzione più scomoda
ma anche la più sicura.
-
- Iper Master
- Messaggi: 2492
- Iscritto il: gio 10 mar 2011, 9:21
- Slackware: 15.0
- Kernel: 5.15.x-generic
- Desktop: Sway
- Distribuzione: Arch Linux
Re: Brutte notizie un po' per tutti i possessori di cpu moderne
Uhm... io non è che c'ho capito molto di questa storia. Il test da questo risultato:Dunque vulnerabile solo alla variante 1 o mi son perso qualcosa?
Secondo: quali sarebbero gli aggiornamenti firmware rilasciati da intel che causerebbero riavvii del sistema e perdita dati?
Codice: Seleziona tutto
Spectre and Meltdown mitigation detection tool v0.33+
Checking for vulnerabilities on current system
Kernel is Linux 4.9.78-riklts #1 SMP Sun Jan 28 15:45:08 CET 2018 x86_64
CPU is Intel(R) Core(TM) i3-6100 CPU @ 3.70GHz
Hardware check
* Hardware support (CPU microcode) for mitigation techniques
* Indirect Branch Restricted Speculation (IBRS)
* SPEC_CTRL MSR is available: YES
* CPU indicates IBRS capability: YES (SPEC_CTRL feature bit)
* Indirect Branch Prediction Barrier (IBPB)
* PRED_CMD MSR is available: YES
* CPU indicates IBPB capability: YES (SPEC_CTRL feature bit)
* Single Thread Indirect Branch Predictors (STIBP)
* SPEC_CTRL MSR is available: YES
* CPU indicates STIBP capability: YES
* Enhanced IBRS (IBRS_ALL)
* CPU indicates ARCH_CAPABILITIES MSR availability: NO
* ARCH_CAPABILITIES MSR advertises IBRS_ALL capability: NO
* CPU explicitly indicates not being vulnerable to Meltdown (RDCL_NO): NO
* CPU microcode is known to cause stability problems: NO
* CPU vulnerability to the three speculative execution attacks variants
* Vulnerable to Variant 1: YES
* Vulnerable to Variant 2: YES
* Vulnerable to Variant 3: YES
CVE-2017-5753 [bounds check bypass] aka 'Spectre Variant 1'
* Mitigated according to the /sys interface: NO (kernel confirms your system is vulnerable)
> STATUS: VULNERABLE (Vulnerable)
CVE-2017-5715 [branch target injection] aka 'Spectre Variant 2'
* Mitigated according to the /sys interface: YES (kernel confirms that the mitigation is active)
* Mitigation 1
* Kernel is compiled with IBRS/IBPB support: NO
* Currently enabled features
* IBRS enabled for Kernel space: NO
* IBRS enabled for User space: NO
* IBPB enabled: NO
* Mitigation 2
* Kernel compiled with retpoline option: YES
* Kernel compiled with a retpoline-aware compiler: YES (kernel reports full retpoline compilation)
* Retpoline enabled: YES
> STATUS: NOT VULNERABLE (Mitigation: Full generic retpoline)
CVE-2017-5754 [rogue data cache load] aka 'Meltdown' aka 'Variant 3'
* Mitigated according to the /sys interface: YES (kernel confirms that the mitigation is active)
* Kernel supports Page Table Isolation (PTI): YES
* PTI enabled and active: YES
* Running as a Xen PV DomU: NO
> STATUS: NOT VULNERABLE (Mitigation: PTI)
Secondo: quali sarebbero gli aggiornamenti firmware rilasciati da intel che causerebbero riavvii del sistema e perdita dati?