Brutte notizie un po' per tutti i possessori di cpu moderne

Postate qui per tutte le discussioni legate a Linux in generale.

Moderatore: Staff

Regole del forum
1) Citare sempre la versione di Slackware usata, la versione del Kernel e magari anche la versione della libreria coinvolta. Questi dati aiutano le persone che possono rispondere.
2) Per evitare confusione prego inserire in questo forum solo topic che riguardano appunto Gnu/Linux in genere, se l'argomento è specifico alla Slackware usate uno dei forum Slackware o Slackware64.
3) Leggere attentamente le risposte ricevute
4) Scrivere i messaggi con il colore di default, evitare altri colori.
5) Scrivere in Italiano o in Inglese, se possibile grammaticalmente corretto, evitate stili di scrittura poco chiari, quindi nessuna abbreviazione tipo telegramma o scrittura stile SMS o CHAT.
6) Appena registrati è consigliato presentarsi nel forum dedicato.

La non osservanza delle regole porta a provvedimenti di vari tipo da parte dello staff, in particolare la non osservanza della regola 5 porta alla cancellazione del post e alla segnalazione dell'utente. In caso di recidività l'utente rischia il ban temporaneo.
rik70
Iper Master
Iper Master
Messaggi: 2489
Iscritto il: gio 10 mar 2011, 9:21
Slackware: 15.0
Kernel: 5.15.x-generic
Desktop: Sway
Distribuzione: Arch Linux

Re: Brutte notizie un po' per tutti i possessori di cpu moderne

Messaggio da rik70 »

conraid ha scritto:Da una breve ricerca sembra che quella sia un'opzione introdotta da gentoo tramite patch, e altre distribuzioni hanno applicato. Debian e RedHat no mi par di capire. Slackware no.
Non ho capito però se la patch sia per "immagini multiple" o proprio per la voce del config in sé.
Esatto, c'è una patch per grub che fa sì che se in '/boot' viene trovata un'immagine del microcode con uno di questi nomi - 'intel-uc.img intel-ucode.img amd-uc.img amd-ucode.img early_ucode.cpio microcode.cpio' - questa viene aggiunta nella sezione initrd prima di quella del kernel. In pratica dopo un 'grub-mkconfig ti ritrovi nel grub.cfg una sezione initrd di questo tipo:

Codice: Seleziona tutto

echo	'Caricamento ramdisk iniziale...'
initrd	 /boot/intel-ucode.img /boot/initrd-kernel_etc.img
In questo caso non c'è bisogno di includere il microcode nell'initramfs e viene fatto tutto in automatico senza dover aggiungere opzioni in /etc/default/grub.

rik70
Iper Master
Iper Master
Messaggi: 2489
Iscritto il: gio 10 mar 2011, 9:21
Slackware: 15.0
Kernel: 5.15.x-generic
Desktop: Sway
Distribuzione: Arch Linux

Re: Brutte notizie un po' per tutti i possessori di cpu moderne

Messaggio da rik70 »

conraid ha scritto:Purtroppo per il mio vetusto core2 duo non c'è alcun upgrade e risulto ancora vulnerabile. Sticazzi eh :)
P.s.
A questo punto, hai provato a vedere se con la procedura 'early initrd' indicata sopra cambia qualcosa? Dubito, però non si sa mai...

Avatar utente
conraid
Staff
Staff
Messaggi: 13630
Iscritto il: gio 14 lug 2005, 0:00
Nome Cognome: Corrado Franco
Slackware: current64
Desktop: kde
Località: Livorno
Contatta:

Re: Brutte notizie un po' per tutti i possessori di cpu moderne

Messaggio da conraid »

No, non cambia, vedo sempre stessa riga, solo che è appunto la prima voce :)

Codice: Seleziona tutto

[    0.000000] microcode: microcode updated early to revision 0xa4, date = 2010-10-02
se non carico il microcode ne vedo uno del 2008.

rik70
Iper Master
Iper Master
Messaggi: 2489
Iscritto il: gio 10 mar 2011, 9:21
Slackware: 15.0
Kernel: 5.15.x-generic
Desktop: Sway
Distribuzione: Arch Linux

Re: Brutte notizie un po' per tutti i possessori di cpu moderne

Messaggio da rik70 »

conraid ha scritto:No, non cambia, vedo sempre stessa riga, solo che è appunto la prima voce :)

Codice: Seleziona tutto

[    0.000000] microcode: microcode updated early to revision 0xa4, date = 2010-10-02
se non carico il microcode ne vedo uno del 2008.
Che strano, anche a me riporta una versione vecchia

Codice: Seleziona tutto

[    0.000000] microcode: microcode updated early to revision 0xc6, date = 2018-04-17
ma le vulnerabilità vengono risolte.

Che kernel stai usando?

Edit
Altre info utili:
New upstream microcode data file 20180703
+ Implements IBRS/IBPB/STIPB support, Spectre-v2 mitigation
+ SSBD support (Spectre-v4 mitigation) and fix Spectre-v3a for:
Sandybridge server, Ivy Bridge server, Haswell server, Skylake server,
Broadwell server, a few HEDT Core i7/i9 models that are actually gimped
server dies.

Mi sa che non ci sono fix per le altre cpu.

Avatar utente
ponce
Iper Master
Iper Master
Messaggi: 3022
Iscritto il: mer 5 mar 2008, 16:45
Nome Cognome: Matteo Bernardini
Slackware: slackware64-current
Kernel: 6.6.16
Desktop: lxde
Località: Pisa
Contatta:

Re: Brutte notizie un po' per tutti i possessori di cpu moderne

Messaggio da ponce »

io intanto confermo che il nuovo aggiornamento e' risultato efficace per la maggior parte delle mie macchine con processori intel (il tool che fa il check ora sembra essere contento) :thumbright:

Avatar utente
conraid
Staff
Staff
Messaggi: 13630
Iscritto il: gio 14 lug 2005, 0:00
Nome Cognome: Corrado Franco
Slackware: current64
Desktop: kde
Località: Livorno
Contatta:

Re: Brutte notizie un po' per tutti i possessori di cpu moderne

Messaggio da conraid »

rik70 ha scritto: Che kernel stai usando?
4.17.14
No, infatti, poi la mia è proprio vecchia. La cosa "buffa" è che il microcode 2010 però mitiga i primi bug.

Avatar utente
ponce
Iper Master
Iper Master
Messaggi: 3022
Iscritto il: mer 5 mar 2008, 16:45
Nome Cognome: Matteo Bernardini
Slackware: slackware64-current
Kernel: 6.6.16
Desktop: lxde
Località: Pisa
Contatta:

Re: Brutte notizie un po' per tutti i possessori di cpu moderne

Messaggio da ponce »

conraid ha scritto:No, infatti, poi la mia è proprio vecchia. La cosa "buffa" è che il microcode 2010 però mitiga i primi bug.
puo' darsi che quelli siano mitigati dal kernel?

Avatar utente
conraid
Staff
Staff
Messaggi: 13630
Iscritto il: gio 14 lug 2005, 0:00
Nome Cognome: Corrado Franco
Slackware: current64
Desktop: kde
Località: Livorno
Contatta:

Re: Brutte notizie un po' per tutti i possessori di cpu moderne

Messaggio da conraid »

ponce ha scritto:
conraid ha scritto:No, infatti, poi la mia è proprio vecchia. La cosa "buffa" è che il microcode 2010 però mitiga i primi bug.
puo' darsi che quelli siano mitigati dal kernel?
Sì, infatti mi da

Codice: Seleziona tutto

* CPU vulnerability to the speculative execution attack variants
  * Vulnerable to Variant 1:  YES 
  * Vulnerable to Variant 2:  YES 
  * Vulnerable to Variant 3:  YES 
  * Vulnerable to Variant 3a:  YES 
  * Vulnerable to Variant 4:  YES 
poi dopo dice "Mitigated according to the /sys interface" anche se alcuni opzioni la cpu non le supporta nemmeno.

Senza microcode è stesso risultato, cambia solamente la riga dove mostra il numero di ucode.

Codice: Seleziona tutto

# sh spectre-meltdown-checker.sh
Spectre and Meltdown mitigation detection tool v0.38

Checking for vulnerabilities on current system
Kernel is Linux 4.17.14-cf #3 SMP Thu Aug 9 14:22:57 CEST 2018 x86_64
CPU is Intel(R) Core(TM)2 Duo CPU     T7100  @ 1.80GHz

Hardware check
* Hardware support (CPU microcode) for mitigation techniques
  * Indirect Branch Restricted Speculation (IBRS)
    * SPEC_CTRL MSR is available:  NO 
    * CPU indicates IBRS capability:  NO 
  * Indirect Branch Prediction Barrier (IBPB)
    * PRED_CMD MSR is available:  NO 
    * CPU indicates IBPB capability:  NO 
  * Single Thread Indirect Branch Predictors (STIBP)
    * SPEC_CTRL MSR is available:  NO 
    * CPU indicates STIBP capability:  NO 
  * Speculative Store Bypass Disable (SSBD)
    * CPU indicates SSBD capability:  NO 
  * Enhanced IBRS (IBRS_ALL)
    * CPU indicates ARCH_CAPABILITIES MSR availability:  NO 
    * ARCH_CAPABILITIES MSR advertises IBRS_ALL capability:  NO 
  * CPU explicitly indicates not being vulnerable to Meltdown (RDCL_NO):  NO 
  * CPU explicitly indicates not being vulnerable to Variant 4 (SSB_NO):  NO 
  * CPU microcode is known to cause stability problems:  NO  (model 0xf family 0x6 stepping 0xd ucode 0xa4 cpuid 0x6fd)
* CPU vulnerability to the speculative execution attack variants
  * Vulnerable to Variant 1:  YES 
  * Vulnerable to Variant 2:  YES 
  * Vulnerable to Variant 3:  YES 
  * Vulnerable to Variant 3a:  YES 
  * Vulnerable to Variant 4:  YES 

CVE-2017-5753 [bounds check bypass] aka 'Spectre Variant 1'
* Mitigated according to the /sys interface:  YES  (Mitigation: __user pointer sanitization)
* Kernel has array_index_mask_nospec:  YES  (1 occurrence(s) found of x86 64 bits array_index_mask_nospec())
* Kernel has the Red Hat/Ubuntu patch:  NO 
* Kernel has mask_nospec64 (arm64):  NO 
> STATUS:  NOT VULNERABLE  (Mitigation: __user pointer sanitization)

CVE-2017-5715 [branch target injection] aka 'Spectre Variant 2'
* Mitigated according to the /sys interface:  YES  (Mitigation: Full generic retpoline)
* Mitigation 1
  * Kernel is compiled with IBRS support:  YES 
    * IBRS enabled and active:  NO 
  * Kernel is compiled with IBPB support:  YES 
    * IBPB enabled and active:  NO 
* Mitigation 2
  * Kernel has branch predictor hardening (arm):  NO 
  * Kernel compiled with retpoline option:  YES 
    * Kernel compiled with a retpoline-aware compiler:  YES  (kernel reports full retpoline compilation)
> STATUS:  NOT VULNERABLE  (Full retpoline is mitigating the vulnerability)
IBPB is considered as a good addition to retpoline for Variant 2 mitigation, but your CPU microcode doesn't support it

CVE-2017-5754 [rogue data cache load] aka 'Meltdown' aka 'Variant 3'
* Mitigated according to the /sys interface:  YES  (Mitigation: PTI)
* Kernel supports Page Table Isolation (PTI):  YES 
  * PTI enabled and active:  YES 
  * Reduced performance impact of PTI:  NO  (PCID/INVPCID not supported, performance impact of PTI will be significant)
* Running as a Xen PV DomU:  NO 
> STATUS:  NOT VULNERABLE  (Mitigation: PTI)

CVE-2018-3640 [rogue system register read] aka 'Variant 3a'
* CPU microcode mitigates the vulnerability:  NO 
> STATUS:  VULNERABLE  (an up-to-date CPU microcode is needed to mitigate this vulnerability)

CVE-2018-3639 [speculative store bypass] aka 'Variant 4'
* Mitigated according to the /sys interface:  NO  (Vulnerable)
* Kernel supports speculation store bypass:  YES  (found in /proc/self/status)
> STATUS:  VULNERABLE  (Your CPU doesn't support SSBD)

Need more detailed information about mitigation options? Use --explain
A false sense of security is worse than no security at all, see --disclaimer


rik70
Iper Master
Iper Master
Messaggi: 2489
Iscritto il: gio 10 mar 2011, 9:21
Slackware: 15.0
Kernel: 5.15.x-generic
Desktop: Sway
Distribuzione: Arch Linux

Re: Brutte notizie un po' per tutti i possessori di cpu moderne

Messaggio da rik70 »

Meskalamdug ha scritto:Avanti un altra!

https://www.hwupgrade.it/articoli/sicur ... index.html
Ma sbaglio, o siamo già coperti con gli ultimi kernel?

https://www.kernel.org/doc/html/latest/ ... /l1tf.html

Avatar utente
ponce
Iper Master
Iper Master
Messaggi: 3022
Iscritto il: mer 5 mar 2008, 16:45
Nome Cognome: Matteo Bernardini
Slackware: slackware64-current
Kernel: 6.6.16
Desktop: lxde
Località: Pisa
Contatta:

Re: Brutte notizie un po' per tutti i possessori di cpu moderne

Messaggio da ponce »

rik70 ha scritto:
Meskalamdug ha scritto:Avanti un altra!

https://www.hwupgrade.it/articoli/sicur ... index.html
Ma sbaglio, o siamo già coperti con gli ultimi kernel?

https://www.kernel.org/doc/html/latest/ ... /l1tf.html
confermo, qui sembra essere tutto a posto.
quello che mi sembra aver capito non e' coperto e' l'hypertreading dei processori intel, ma li' finche' non arriva un ulteriore microcode non ci possiamo fare molto (a parte disabilitarlo dal bios o dalle features del kernel, quando si compila).

rik70
Iper Master
Iper Master
Messaggi: 2489
Iscritto il: gio 10 mar 2011, 9:21
Slackware: 15.0
Kernel: 5.15.x-generic
Desktop: Sway
Distribuzione: Arch Linux

Re: Brutte notizie un po' per tutti i possessori di cpu moderne

Messaggio da rik70 »

ponce ha scritto:quello che mi sembra aver capito non e' coperto e' l'hypertreading dei processori intel, ma li' finche' non arriva un ulteriore microcode non ci possiamo fare molto (a parte disabilitarlo dal bios o dalle features del kernel, quando si compila).
Questa faccenda del 'SMT' mi pare però legata solo alla virtualizzazione - vedi sezione: "Attack Senarios: 2.Malicious guest in a virtual machine".

È corretto?

Perché se così fosse, a mali estremi si disabilita al volo l'hypertreading prima di avviare il guest "non sicuro", oppure lo si confina su uno o più core (che però non ho capito come si fa).

P.s.
Mi sa è roba piuttosto tecnica per uno come me.

rik70
Iper Master
Iper Master
Messaggi: 2489
Iscritto il: gio 10 mar 2011, 9:21
Slackware: 15.0
Kernel: 5.15.x-generic
Desktop: Sway
Distribuzione: Arch Linux

Re: Brutte notizie un po' per tutti i possessori di cpu moderne

Messaggio da rik70 »

Ok, il log del kernel sembra 'confermare' quanto si diceva sopra.

Se non si disabilita SMT, appena si lancia un guest gestito dall'hypervisor KVM salta fuori:

Codice: Seleziona tutto

L1TF CPU bug present and SMT on, data leak possible. See CVE-2018-3646 and https://www.kernel.org/doc/html/latest/admin-guide/l1tf.html for details.

Avatar utente
ponce
Iper Master
Iper Master
Messaggi: 3022
Iscritto il: mer 5 mar 2008, 16:45
Nome Cognome: Matteo Bernardini
Slackware: slackware64-current
Kernel: 6.6.16
Desktop: lxde
Località: Pisa
Contatta:

Re: Brutte notizie un po' per tutti i possessori di cpu moderne

Messaggio da ponce »


rik70
Iper Master
Iper Master
Messaggi: 2489
Iscritto il: gio 10 mar 2011, 9:21
Slackware: 15.0
Kernel: 5.15.x-generic
Desktop: Sway
Distribuzione: Arch Linux

Re: Brutte notizie un po' per tutti i possessori di cpu moderne

Messaggio da rik70 »

Aggiornato spectre-meltdown-checker.sh:
CVE-2018-3615/3620/3646 [L1 terminal fault] aka 'Foreshadow & Foreshadow-NG'
* Mitigated according to the /sys interface: YES (Mitigation: PTE Inversion; VMX: conditional cache flushes, SMT vulnerable)
> STATUS: NOT VULNERABLE (Mitigation: PTE Inversion; VMX: conditional cache flushes, SMT vulnerable)

Rispondi