Brutte notizie un po' per tutti i possessori di cpu moderne

Postate qui per tutte le discussioni legate a Linux in generale.

Moderatore: Staff

Regole del forum
1) Citare sempre la versione di Slackware usata, la versione del Kernel e magari anche la versione della libreria coinvolta. Questi dati aiutano le persone che possono rispondere.
2) Per evitare confusione prego inserire in questo forum solo topic che riguardano appunto Gnu/Linux in genere, se l'argomento è specifico alla Slackware usate uno dei forum Slackware o Slackware64.
3) Leggere attentamente le risposte ricevute
4) Scrivere i messaggi con il colore di default, evitare altri colori.
5) Scrivere in Italiano o in Inglese, se possibile grammaticalmente corretto, evitate stili di scrittura poco chiari, quindi nessuna abbreviazione tipo telegramma o scrittura stile SMS o CHAT.
6) Appena registrati è consigliato presentarsi nel forum dedicato.

La non osservanza delle regole porta a provvedimenti di vari tipo da parte dello staff, in particolare la non osservanza della regola 5 porta alla cancellazione del post e alla segnalazione dell'utente. In caso di recidività l'utente rischia il ban temporaneo.
Meskalamdug
Iper Master
Iper Master
Messaggi: 3880
Iscritto il: ven mag 14, 2004 0:00

Re: Brutte notizie un po' per tutti i possessori di cpu moderne

Messaggioda Meskalamdug » lun gen 29, 2018 19:37

ponce ha scritto:
Meskalamdug ha scritto:a)Fare uscire la 15
b)Distribuire gcc7 come fix per 14.2,con tutti gli eventuali pacchetti da ricompilare,questa è la soluzione più scomoda
ma anche la più sicura.

non credo che sarai accontentato, almeno in tempi brevi: per la 15 credo manchi ancora un po' (e' probabile che ci vada a finire anche kde5, oltre alle varie ricompilazioni che probabilmente saranno fatte per spectre) e patchare la 14.2 e' improponibile, andrebbe ricompilata quasi tutta, non sono mai stati fatti interventi massivi in quel senso su una stabile.

E le altre distro stabili che tu sappia,a che punto sono?

Avatar utente
ponce
Iper Master
Iper Master
Messaggi: 2461
Iscritto il: mer mar 05, 2008 16:45
Nome Cognome: Matteo Bernardini
Slackware: slackware64-current
Kernel: 4.19.0-rc2
Desktop: lxde
Località: Pisa
Contatta:

Re: Brutte notizie un po' per tutti i possessori di cpu moderne

Messaggioda ponce » lun gen 29, 2018 19:47

che io sappia, nessuna di loro ha aggiornato il compilatore nel loro ramo stabile, ma magari mi sono perso qualcosa...

Avatar utente
ponce
Iper Master
Iper Master
Messaggi: 2461
Iscritto il: mer mar 05, 2008 16:45
Nome Cognome: Matteo Bernardini
Slackware: slackware64-current
Kernel: 4.19.0-rc2
Desktop: lxde
Località: Pisa
Contatta:

Re: Brutte notizie un po' per tutti i possessori di cpu moderne

Messaggioda ponce » lun gen 29, 2018 19:50

rik70 ha scritto:Uhm... io non è che c'ho capito molto di questa storia. Il test da questo risultato:

Codice: Seleziona tutto

Kernel is Linux 4.9.78-riklts #1 SMP Sun Jan 28 15:45:08 CET 2018 x86_64
[...]
  * Kernel compiled with a retpoline-aware compiler:  YES  (kernel reports full retpoline compilation)

Dunque vulnerabile solo alla variante 1 o mi son perso qualcosa?

che compilatore e' stato usato per compilare il kernel dove hai fatto girare il test?
Secondo: quali sarebbero gli aggiornamenti firmware rilasciati da intel che causerebbero riavvii del sistema e perdita dati?

alcuni firmare specifici inclusi nella loro release 20180108, infatti sono tornati alla 20171117.
Ultima modifica di ponce il lun gen 29, 2018 19:59, modificato 1 volta in totale.

Meskalamdug
Iper Master
Iper Master
Messaggi: 3880
Iscritto il: ven mag 14, 2004 0:00

Re: Brutte notizie un po' per tutti i possessori di cpu moderne

Messaggioda Meskalamdug » lun gen 29, 2018 19:52

ponce ha scritto:che io sappia, nessuna di loro ha aggiornato il compilatore nel loro ramo stabile, ma magari mi sono perso qualcosa...

Quindi ci troviamo con tutte le distro linux vulnerabili?
Magari anche da remoto :(

rik70
Master
Master
Messaggi: 1933
Iscritto il: gio mar 10, 2011 9:21
Slackware: 14.2
Kernel: 4.18
Desktop: Xfce 4.12
Distribuzione: archlinux

Re: Brutte notizie un po' per tutti i possessori di cpu moderne

Messaggioda rik70 » mar gen 30, 2018 5:24

ponce ha scritto:che compilatore e' stato usato per compilare il kernel dove hai fatto girare il test?
gcc (GCC) 7.2.1 20180116 su Archlinux.

ponce ha scritto:alcuni firmare specifici inclusi nella loro release 20180108, infatti sono tornati alla 20171117.
Ok, grazie.

Avatar utente
ponce
Iper Master
Iper Master
Messaggi: 2461
Iscritto il: mer mar 05, 2008 16:45
Nome Cognome: Matteo Bernardini
Slackware: slackware64-current
Kernel: 4.19.0-rc2
Desktop: lxde
Località: Pisa
Contatta:

Re: Brutte notizie un po' per tutti i possessori di cpu moderne

Messaggioda ponce » mar gen 30, 2018 7:47

Meskalamdug ha scritto:Magari anche da remoto :(

direttamente da remoto non credo, essendo le vulnerabilita' relative alle pagine di memoria per usarle dovranno prima ottenere un account locale...

rik70 ha scritto:gcc (GCC) 7.2.1 20180116 su Archlinux.

allora non c'e' poi tutta questa differenza nell'usare slackware current, no? ;)

rik70
Master
Master
Messaggi: 1933
Iscritto il: gio mar 10, 2011 9:21
Slackware: 14.2
Kernel: 4.18
Desktop: Xfce 4.12
Distribuzione: archlinux

Re: Brutte notizie un po' per tutti i possessori di cpu moderne

Messaggioda rik70 » mar gen 30, 2018 8:05

ponce ha scritto:allora non c'e' poi tutta questa differenza nell'usare slackware current, no? ;)
Esatto, mi sa che vado di upgrade :D
Tu dici che Pat non sarà costretto ad aggiornare anche le versioni attuali?

Tornando poi sulla questione: ma è già stato rivelato qualche exploit che sfrutta queste vulnerabilità?
E sopratutto: intel sarà costretta in qualche modo (giustizia americana?) a "richiamare" le CPU difettose - almeno le ultime - e sostituirle con delle nuove?
Questa storia secondo me è una bomba a orologeria.

Avatar utente
brg
Linux 2.x
Linux 2.x
Messaggi: 442
Iscritto il: sab mar 12, 2011 14:20
Slackware: 14.2
Kernel: 4.4.38
Desktop: KDE4
Località: Montecatini
Contatta:

Re: Brutte notizie un po' per tutti i possessori di cpu moderne

Messaggioda brg » mar gen 30, 2018 9:12

ponce ha scritto:
Meskalamdug ha scritto:Magari anche da remoto :(

direttamente da remoto non credo, essendo le vulnerabilita' relative alle pagine di memoria per usarle dovranno prima ottenere un account locale...


[url="http://www.tomshardware.com/news/meltdown-spectre-exploit-browser-javascript,36221.html"]Meltdown, la vulnerabilità specifica delle CPU Intel, e Spectre versione 1 permettono exploit dimostrati tramite javascript, quindi tramite browser.[/url] Per Meltdown c'erano esempi di exploit tramite javascript già il giorno dopo l'annuncio ufficiale.

Spectre 2 in teoria può riguardare i browser, ma è molto difficile da effettuare con successo, perché bisogna conoscere con esattezza la struttura della memoria allocata. Di fatto Spectre 2 è possibile solo in un ambiente controllato. Spectre 1 si mitiga solo con patch specifiche dei programmi affetti. Meltdown con l'aggiornamento del microcodice della CPU.

La grossa differenza tra Meltdown e Spectre è che Meltdown consente di scalare i privilegi e leggere tutta la memoria, anche quella del kernel. Spectre 1 si limita al processo corrente, mentre Spectre 2 ad altri processi, ma solo se si conosce come è allocata la memoria nei processi attaccati. Spectre 1, mi autocito da pagina 1, è pericoloso solo per gli interpreti di codice (purtroppo ce n'è uno anche nel kernel, anche se è disabilitato di default) e le macchine virtuali.

Meskalamdug
Iper Master
Iper Master
Messaggi: 3880
Iscritto il: ven mag 14, 2004 0:00

Re: Brutte notizie un po' per tutti i possessori di cpu moderne

Messaggioda Meskalamdug » mar gen 30, 2018 16:33

Segnalo che ho trovato un ottimo "tester" per spectre.
Fa un "attacco" sul vostro pc,se è vulnerabile riporta nell'output
"The Magic Words are Squeamish Ossifrage."
messo in colonna,altrimenti dei semplici "?"

https://github.com/Eugnis/spectre-attack

Avatar utente
conraid
Staff
Staff
Messaggi: 13171
Iscritto il: gio lug 14, 2005 0:00
Nome Cognome: Corrado Franco
Slackware: current64
Località: Livorno
Contatta:

Re: Brutte notizie un po' per tutti i possessori di cpu moderne

Messaggioda conraid » mer gen 31, 2018 11:08

Codice: Seleziona tutto

# ./spectre.out
Putting 'The Magic Words are Squeamish Ossifrage.' in memory, address 0x400d70
Reading 40 bytes:
Istruzione non consentita

Meskalamdug
Iper Master
Iper Master
Messaggi: 3880
Iscritto il: ven mag 14, 2004 0:00

Re: Brutte notizie un po' per tutti i possessori di cpu moderne

Messaggioda Meskalamdug » mer gen 31, 2018 17:18

conraid ha scritto:

Codice: Seleziona tutto

# ./spectre.out
Putting 'The Magic Words are Squeamish Ossifrage.' in memory, address 0x400d70
Reading 40 bytes:
Istruzione non consentita

Mi sembra di capire che la tua cpu sia immune.
Che cpu è?

Avatar utente
ponce
Iper Master
Iper Master
Messaggi: 2461
Iscritto il: mer mar 05, 2008 16:45
Nome Cognome: Matteo Bernardini
Slackware: slackware64-current
Kernel: 4.19.0-rc2
Desktop: lxde
Località: Pisa
Contatta:

Re: Brutte notizie un po' per tutti i possessori di cpu moderne

Messaggioda ponce » mer gen 31, 2018 18:03

non credo che questo codice sia efficace per testare la copertura da spectre v2 (l'unica implementata, al momento): a quel che sembra funziona solo attaccando il solito processo (non legge la memoria di un altro processo).

https://github.com/Eugnis/spectre-attack/issues/19

Avatar utente
brg
Linux 2.x
Linux 2.x
Messaggi: 442
Iscritto il: sab mar 12, 2011 14:20
Slackware: 14.2
Kernel: 4.4.38
Desktop: KDE4
Località: Montecatini
Contatta:

Re: Brutte notizie un po' per tutti i possessori di cpu moderne

Messaggioda brg » mer gen 31, 2018 19:58

ponce ha scritto:non credo che questo codice sia efficace per testare la copertura da spectre v2 (l'unica implementata, al momento): a quel che sembra funziona solo attaccando il solito processo (non legge la memoria di un altro processo).

https://github.com/Eugnis/spectre-attack/issues/19


Come ho già fatto notare, l'attuazione di Spectre v2 ha come prerequisito imprescindibile che l'aggressore conosca esattamente la struttura della memoria del processo attaccato. È praticamente impossibile da effettuare, se non con attacchi molto specifici per obiettivi molto specifici ed è a tutt'oggi indimostrato in casi reali, anche simulati.

Avatar utente
conraid
Staff
Staff
Messaggi: 13171
Iscritto il: gio lug 14, 2005 0:00
Nome Cognome: Corrado Franco
Slackware: current64
Località: Livorno
Contatta:

Re: Brutte notizie un po' per tutti i possessori di cpu moderne

Messaggioda conraid » ven feb 02, 2018 9:18

Meskalamdug ha scritto:
conraid ha scritto:

Codice: Seleziona tutto

# ./spectre.out
Putting 'The Magic Words are Squeamish Ossifrage.' in memory, address 0x400d70
Reading 40 bytes:
Istruzione non consentita

Mi sembra di capire che la tua cpu sia immune.
Che cpu è?


Intel(R) Core(TM)2 Duo CPU T7100

Da altri test risultava vulnerabile. Ora ho kernel e gcc aggiornati però.

Avatar utente
conraid
Staff
Staff
Messaggi: 13171
Iscritto il: gio lug 14, 2005 0:00
Nome Cognome: Corrado Franco
Slackware: current64
Località: Livorno
Contatta:

Re: Brutte notizie un po' per tutti i possessori di cpu moderne

Messaggioda conraid » ven feb 02, 2018 9:53

per esempio il tool di Intel restituisce questo:

Codice: Seleziona tutto

INTEL-SA-00086 Detection Tool
Copyright(C) 2017-2018, Intel Corporation, All rights reserved.

Application Version: 1.1.169.0
Scan date: 2018-02-02 08:22:01 GMT

*** Host Computer Information ***
Name: blankstar.home.local
Manufacturer: Hewlett-Packard
Model: HP Compaq 6710s (GB880ET#ABZ)
Processor Name: Intel(R) Core(TM)2 Duo CPU     T7100  @ 1.80GHz
OS Version: Slackware  14.2  (4.15.0-cf)

*** Risk Assessment ***
Detection Error: This system may be vulnerable,
  either the Intel(R) MEI/TXEI driver is not installed
  (available from your system manufacturer)
  or the system manufacturer does not permit access
  to the ME/TXE from the host driver.

For more information refer to the INTEL-SA-00086 Detection Tool Guide or the
  Intel Security Advisory Intel-SA-00086 at the following link:
  https://www.intel.com/sa-00086-support


Tra l'altro come installo i drive mcode?
la vecchia modalità, anche se c'è compilato il supporto, da errore

Codice: Seleziona tutto

# dd if=microcode.dat of=/dev/cpu/microcode bs=1M
dd: errore scrivendo '/dev/cpu/microcode': Argomento non valido
1+0 record dentro
0+0 record fuori
0 bytes copied, 0,00279344 s, 0,0 kB/s

e infatti nel dmesg ho

Codice: Seleziona tutto

[ 5877.238195] microcode: error! Bad data in microcode data file




quindi ho copiato come indicato nel readme

Codice: Seleziona tutto

intel-ucode dirctory contains binary microcode files named in
family-model-stepping pattern. The file is supported in most modern Linux
distributions. It's generally located in the /lib/firmware directory,
and can be updated throught the microcode reload interface.

To update the intel-ucode package to the system, one need:
1. Ensure the existence of /sys/devices/system/cpu/microcode/reload
2. Copy intel-ucode directory to /lib/firmware, overwrite the files in
/lib/firmware/intel-ucode/
3. Write the reload interface to 1 to reload the microcode files, e.g.
  echo 1 > /sys/devices/system/cpu/microcode/reload


ma poi

Codice: Seleziona tutto

[ 5840.055294] microcode: updated to revision 0xa4, date = 2010-10-02