Pagina 12 di 13

Re: Brutte notizie un po' per tutti i possessori di cpu moderne

Inviato: gio ago 09, 2018 16:27
da rik70
conraid ha scritto:Da una breve ricerca sembra che quella sia un'opzione introdotta da gentoo tramite patch, e altre distribuzioni hanno applicato. Debian e RedHat no mi par di capire. Slackware no.
Non ho capito però se la patch sia per "immagini multiple" o proprio per la voce del config in sé.

Esatto, c'è una patch per grub che fa sì che se in '/boot' viene trovata un'immagine del microcode con uno di questi nomi - 'intel-uc.img intel-ucode.img amd-uc.img amd-ucode.img early_ucode.cpio microcode.cpio' - questa viene aggiunta nella sezione initrd prima di quella del kernel. In pratica dopo un 'grub-mkconfig ti ritrovi nel grub.cfg una sezione initrd di questo tipo:

Codice: Seleziona tutto

echo   'Caricamento ramdisk iniziale...'
initrd    /boot/intel-ucode.img /boot/initrd-kernel_etc.img
In questo caso non c'è bisogno di includere il microcode nell'initramfs e viene fatto tutto in automatico senza dover aggiungere opzioni in /etc/default/grub.

Re: Brutte notizie un po' per tutti i possessori di cpu moderne

Inviato: gio ago 09, 2018 16:41
da rik70
conraid ha scritto:Purtroppo per il mio vetusto core2 duo non c'è alcun upgrade e risulto ancora vulnerabile. Sticazzi eh :)

P.s.
A questo punto, hai provato a vedere se con la procedura 'early initrd' indicata sopra cambia qualcosa? Dubito, però non si sa mai...

Re: Brutte notizie un po' per tutti i possessori di cpu moderne

Inviato: gio ago 09, 2018 16:43
da conraid
No, non cambia, vedo sempre stessa riga, solo che è appunto la prima voce :)

Codice: Seleziona tutto

[    0.000000] microcode: microcode updated early to revision 0xa4, date = 2010-10-02


se non carico il microcode ne vedo uno del 2008.

Re: Brutte notizie un po' per tutti i possessori di cpu moderne

Inviato: gio ago 09, 2018 17:02
da rik70
conraid ha scritto:No, non cambia, vedo sempre stessa riga, solo che è appunto la prima voce :)

Codice: Seleziona tutto

[    0.000000] microcode: microcode updated early to revision 0xa4, date = 2010-10-02


se non carico il microcode ne vedo uno del 2008.

Che strano, anche a me riporta una versione vecchia

Codice: Seleziona tutto

[    0.000000] microcode: microcode updated early to revision 0xc6, date = 2018-04-17
ma le vulnerabilità vengono risolte.

Che kernel stai usando?

Edit
Altre info utili:
New upstream microcode data file 20180703
+ Implements IBRS/IBPB/STIPB support, Spectre-v2 mitigation
+ SSBD support (Spectre-v4 mitigation) and fix Spectre-v3a for:
Sandybridge server, Ivy Bridge server, Haswell server, Skylake server,
Broadwell server, a few HEDT Core i7/i9 models that are actually gimped
server dies.

Mi sa che non ci sono fix per le altre cpu.

Re: Brutte notizie un po' per tutti i possessori di cpu moderne

Inviato: ven ago 10, 2018 9:21
da ponce
io intanto confermo che il nuovo aggiornamento e' risultato efficace per la maggior parte delle mie macchine con processori intel (il tool che fa il check ora sembra essere contento) :thumbright:

Re: Brutte notizie un po' per tutti i possessori di cpu moderne

Inviato: ven ago 10, 2018 11:05
da conraid
rik70 ha scritto:Che kernel stai usando?


4.17.14



No, infatti, poi la mia è proprio vecchia. La cosa "buffa" è che il microcode 2010 però mitiga i primi bug.

Re: Brutte notizie un po' per tutti i possessori di cpu moderne

Inviato: ven ago 10, 2018 11:26
da ponce
conraid ha scritto:No, infatti, poi la mia è proprio vecchia. La cosa "buffa" è che il microcode 2010 però mitiga i primi bug.

puo' darsi che quelli siano mitigati dal kernel?

Re: Brutte notizie un po' per tutti i possessori di cpu moderne

Inviato: ven ago 10, 2018 12:01
da conraid
ponce ha scritto:
conraid ha scritto:No, infatti, poi la mia è proprio vecchia. La cosa "buffa" è che il microcode 2010 però mitiga i primi bug.

puo' darsi che quelli siano mitigati dal kernel?


Sì, infatti mi da

Codice: Seleziona tutto

* CPU vulnerability to the speculative execution attack variants
  * Vulnerable to Variant 1:  YES
  * Vulnerable to Variant 2:  YES
  * Vulnerable to Variant 3:  YES
  * Vulnerable to Variant 3a:  YES
  * Vulnerable to Variant 4:  YES

poi dopo dice "Mitigated according to the /sys interface" anche se alcuni opzioni la cpu non le supporta nemmeno.

Senza microcode è stesso risultato, cambia solamente la riga dove mostra il numero di ucode.


Codice: Seleziona tutto

# sh spectre-meltdown-checker.sh
Spectre and Meltdown mitigation detection tool v0.38

Checking for vulnerabilities on current system
Kernel is Linux 4.17.14-cf #3 SMP Thu Aug 9 14:22:57 CEST 2018 x86_64
CPU is Intel(R) Core(TM)2 Duo CPU     T7100  @ 1.80GHz

Hardware check
* Hardware support (CPU microcode) for mitigation techniques
  * Indirect Branch Restricted Speculation (IBRS)
    * SPEC_CTRL MSR is available:  NO
    * CPU indicates IBRS capability:  NO
  * Indirect Branch Prediction Barrier (IBPB)
    * PRED_CMD MSR is available:  NO
    * CPU indicates IBPB capability:  NO
  * Single Thread Indirect Branch Predictors (STIBP)
    * SPEC_CTRL MSR is available:  NO
    * CPU indicates STIBP capability:  NO
  * Speculative Store Bypass Disable (SSBD)
    * CPU indicates SSBD capability:  NO
  * Enhanced IBRS (IBRS_ALL)
    * CPU indicates ARCH_CAPABILITIES MSR availability:  NO
    * ARCH_CAPABILITIES MSR advertises IBRS_ALL capability:  NO
  * CPU explicitly indicates not being vulnerable to Meltdown (RDCL_NO):  NO
  * CPU explicitly indicates not being vulnerable to Variant 4 (SSB_NO):  NO
  * CPU microcode is known to cause stability problems:  NO  (model 0xf family 0x6 stepping 0xd ucode 0xa4 cpuid 0x6fd)
* CPU vulnerability to the speculative execution attack variants
  * Vulnerable to Variant 1:  YES
  * Vulnerable to Variant 2:  YES
  * Vulnerable to Variant 3:  YES
  * Vulnerable to Variant 3a:  YES
  * Vulnerable to Variant 4:  YES

CVE-2017-5753 [bounds check bypass] aka 'Spectre Variant 1'
* Mitigated according to the /sys interface:  YES  (Mitigation: __user pointer sanitization)
* Kernel has array_index_mask_nospec:  YES  (1 occurrence(s) found of x86 64 bits array_index_mask_nospec())
* Kernel has the Red Hat/Ubuntu patch:  NO
* Kernel has mask_nospec64 (arm64):  NO
> STATUS:  NOT VULNERABLE  (Mitigation: __user pointer sanitization)

CVE-2017-5715 [branch target injection] aka 'Spectre Variant 2'
* Mitigated according to the /sys interface:  YES  (Mitigation: Full generic retpoline)
* Mitigation 1
  * Kernel is compiled with IBRS support:  YES
    * IBRS enabled and active:  NO
  * Kernel is compiled with IBPB support:  YES
    * IBPB enabled and active:  NO
* Mitigation 2
  * Kernel has branch predictor hardening (arm):  NO
  * Kernel compiled with retpoline option:  YES
    * Kernel compiled with a retpoline-aware compiler:  YES  (kernel reports full retpoline compilation)
> STATUS:  NOT VULNERABLE  (Full retpoline is mitigating the vulnerability)
IBPB is considered as a good addition to retpoline for Variant 2 mitigation, but your CPU microcode doesn't support it

CVE-2017-5754 [rogue data cache load] aka 'Meltdown' aka 'Variant 3'
* Mitigated according to the /sys interface:  YES  (Mitigation: PTI)
* Kernel supports Page Table Isolation (PTI):  YES
  * PTI enabled and active:  YES
  * Reduced performance impact of PTI:  NO  (PCID/INVPCID not supported, performance impact of PTI will be significant)
* Running as a Xen PV DomU:  NO
> STATUS:  NOT VULNERABLE  (Mitigation: PTI)

CVE-2018-3640 [rogue system register read] aka 'Variant 3a'
* CPU microcode mitigates the vulnerability:  NO
> STATUS:  VULNERABLE  (an up-to-date CPU microcode is needed to mitigate this vulnerability)

CVE-2018-3639 [speculative store bypass] aka 'Variant 4'
* Mitigated according to the /sys interface:  NO  (Vulnerable)
* Kernel supports speculation store bypass:  YES  (found in /proc/self/status)
> STATUS:  VULNERABLE  (Your CPU doesn't support SSBD)

Need more detailed information about mitigation options? Use --explain
A false sense of security is worse than no security at all, see --disclaimer

Re: Brutte notizie un po' per tutti i possessori di cpu moderne

Inviato: sab ago 25, 2018 5:11
da Meskalamdug

Re: Brutte notizie un po' per tutti i possessori di cpu moderne

Inviato: sab ago 25, 2018 8:31
da rik70
Meskalamdug ha scritto:Avanti un altra!

https://www.hwupgrade.it/articoli/sicur ... index.html

Ma sbaglio, o siamo già coperti con gli ultimi kernel?

https://www.kernel.org/doc/html/latest/ ... /l1tf.html

Re: Brutte notizie un po' per tutti i possessori di cpu moderne

Inviato: sab ago 25, 2018 8:38
da ponce
rik70 ha scritto:
Meskalamdug ha scritto:Avanti un altra!

https://www.hwupgrade.it/articoli/sicur ... index.html

Ma sbaglio, o siamo già coperti con gli ultimi kernel?

https://www.kernel.org/doc/html/latest/ ... /l1tf.html

confermo, qui sembra essere tutto a posto.
quello che mi sembra aver capito non e' coperto e' l'hypertreading dei processori intel, ma li' finche' non arriva un ulteriore microcode non ci possiamo fare molto (a parte disabilitarlo dal bios o dalle features del kernel, quando si compila).

Re: Brutte notizie un po' per tutti i possessori di cpu moderne

Inviato: sab ago 25, 2018 9:47
da rik70
ponce ha scritto:quello che mi sembra aver capito non e' coperto e' l'hypertreading dei processori intel, ma li' finche' non arriva un ulteriore microcode non ci possiamo fare molto (a parte disabilitarlo dal bios o dalle features del kernel, quando si compila).

Questa faccenda del 'SMT' mi pare però legata solo alla virtualizzazione - vedi sezione: "Attack Senarios: 2.Malicious guest in a virtual machine".

È corretto?

Perché se così fosse, a mali estremi si disabilita al volo l'hypertreading prima di avviare il guest "non sicuro", oppure lo si confina su uno o più core (che però non ho capito come si fa).

P.s.
Mi sa è roba piuttosto tecnica per uno come me.

Re: Brutte notizie un po' per tutti i possessori di cpu moderne

Inviato: sab ago 25, 2018 11:54
da rik70
Ok, il log del kernel sembra 'confermare' quanto si diceva sopra.

Se non si disabilita SMT, appena si lancia un guest gestito dall'hypervisor KVM salta fuori:

Codice: Seleziona tutto

L1TF CPU bug present and SMT on, data leak possible. See CVE-2018-3646 and https://www.kernel.org/doc/html/latest/admin-guide/l1tf.html for details.

Re: Brutte notizie un po' per tutti i possessori di cpu moderne

Inviato: sab ago 25, 2018 14:53
da ponce

Re: Brutte notizie un po' per tutti i possessori di cpu moderne

Inviato: sab ago 25, 2018 15:17
da rik70
Aggiornato spectre-meltdown-checker.sh:
CVE-2018-3615/3620/3646 [L1 terminal fault] aka 'Foreshadow & Foreshadow-NG'
* Mitigated according to the /sys interface: YES (Mitigation: PTE Inversion; VMX: conditional cache flushes, SMT vulnerable)
> STATUS: NOT VULNERABLE (Mitigation: PTE Inversion; VMX: conditional cache flushes, SMT vulnerable)