slackware.ru
http://www.slackware.ru/forum/

Как победить страшилку Intel?
http://www.slackware.ru/forum/viewtopic.php?f=10&t=2157
Страница 1 из 1

Автор:  urandom [ 10 янв 2018 19:33 ]
Заголовок сообщения:  Как победить страшилку Intel?

Попытался разобраться в том что происходит с процессорами Intel, в интернете 100500 страшных статей про Meltdown и Spectre - я в них просто утонул и ничего не понял. На SBo поиск по слову "microcode" находит несколько билдов но я не хочу ничего ставить вслепую. Посоветуйте вменяемую доку для Slackware 14.2, где грамотно описано как закрыть эти уязвимости. Можно на английском.

Автор:  bormant [ 10 янв 2018 21:44 ]
Заголовок сообщения:  Re: Как победить страшилку Intel?

На оффоруме на LQ две или три темы в топе есть.

Автор:  urandom [ 11 янв 2018 00:30 ]
Заголовок сообщения:  Re: Как победить страшилку Intel?

если речь об этом https://www.linuxquestions.org/question ... 175621053/ то я это читал

и обратил внимание на

Код:
this only address the microcode loading issue and not the full mitigation for Meltdown or Spectre threat.


про обновление ядра в 14.2 я пока нигде ничего не увидел

обновления проприетарных драйверов nvidia придется через SBo отслеживать

вот почему хотелось бы емкую доку в формате HOWTO/README, а не собирать кусочки по форумам и сторонним сайтам. чтобы было краткое (если это вообще возможно в данной ситуации :D) описание проблемы для контекста и список действий которые нужно выполнить

Автор:  bormant [ 11 янв 2018 05:31 ]
Заголовок сообщения:  Re: Как победить страшилку Intel?

Это только одна из них. Еще хвост общей темы про уязвимости и темы про последние ядра.
Ну а суть тривиальна: взять правильный микрокод для своего камня и добавить в initrd, взять версию ядра с исправлениями безопасности.

Только spectre пока нигде не исправлен, если правильно путаю, все реляции на этот счет еще преждевременны.

Автор:  urandom [ 11 янв 2018 14:32 ]
Заголовок сообщения:  Re: Как победить страшилку Intel?

Цитата:
Только spectre пока нигде не исправлен, если правильно путаю, все реляции на этот счет еще преждевременны.


Значит товарищ Патрик ждет пока устаканится ситуация и потом будет обновление ядра в 14.2? Тогда я тоже подожду.

Автор:  bormant [ 12 янв 2018 16:45 ]
Заголовок сообщения:  Re: Как победить страшилку Intel?

В копилку полезностей по теме:
https://github.com/speed47/spectre-meltdown-checker

Автор:  dango [ 15 янв 2018 12:05 ]
Заголовок сообщения:  Re: Как победить страшилку Intel?

Цитата:
В копилку полезностей по теме:
https://github.com/speed47/spectre-meltdown-checker

bormant, спасибо за ссылку.

Автор:  Graf [ 16 янв 2018 10:09 ]
Заголовок сообщения:  Re: Как победить страшилку Intel?

Можно скрипт не запускать и так ясно :-)
https://github.com/speed47/spectre-meltdown-checker писал(а):
All Intel processors manufactured since circa 1995 are thought to be vulnerable.

Автор:  Wertos [ 16 янв 2018 17:20 ]
Заголовок сообщения:  Re: Как победить страшилку Intel?

Да фигня всё это, я вообще думаю что это такой ход маркетинговый ! А даже если нет, то меня, как обычного юзера, эти уязвимости не волнуют воообщее !

Автор:  nk [ 16 янв 2018 23:09 ]
Заголовок сообщения:  Re: Как победить страшилку Intel?

оно?
slackware 14.2 changes for Mon, 15 Jan 2018 23:13:01 GMT
...
patches/packages/linux-4.4.111/*: Upgraded.
This kernel includes mitigations for the Spectre (variant 2) and Meltdown
speculative side channel attacks.

Автор:  dango [ 17 янв 2018 07:15 ]
Заголовок сообщения:  Re: Как победить страшилку Intel?

Цитата:
оно?

Да.Пока руки доходили до сборки 4.4.108, в stable пришло 4.4.111. Не забывают.

Автор:  urandom [ 17 янв 2018 11:31 ]
Заголовок сообщения:  Re: Как победить страшилку Intel?

Цитата:
оно?
https://mirror.slackbuilds.org/rss/slackware64-14.2.rss wrote:
slackware 14.2 changes for Mon, 15 Jan 2018 23:13:01 GMT
...
patches/packages/linux-4.4.111/*: Upgraded.
This kernel includes mitigations for the Spectre (variant 2) and Meltdown
speculative side channel attacks.


оно

обновился, пересобрал initrd и сторонние модули ядра. полет нормальный уже несколько часов. сравнить изменения производительности пока не заморачивался

осталось найти грамотное пошаговое HOWTO про то как обновить microcode, может быть кто-то запостит тут

для справки:

Код:
 model name   : Intel(R) Core(TM) i3-4160 CPU @ 3.60GHz

Автор:  gramozeka [ 17 янв 2018 15:57 ]
Заголовок сообщения:  Re: Как победить страшилку Intel?

Цитата:
осталось найти грамотное пошаговое HOWTO про то как обновить microcode, может быть кто-то запостит тут

не стоит с этим торопиться!!! Это забавный квест, как футбол на минном поле, интеловкая поддержка как всегда отписывается автоботом "смотрите на этой странице ляляля" и посылает вот сюда : https://downloadcenter.intel.com/downlo ... roduct=873

но, в новом файле не оказалось моего процессора. А сама инструкция проста до безобразия:

Цитата:
-- Microcode update instructions --
This package contains Intel microcode files in two formats:
* microcode.dat
* intel-ucode directory

microcode.dat is in a traditional text format. It is still used in some
Linux distributions. It can be updated to the system through the old microcode
update interface which is avaialble in the kernel with
CONFIG_MICROCODE_OLD_INTERFACE=y.

To update the microcode.dat to the system, one need:
1. Ensure the existence of /dev/cpu/microcode
2. Write microcode.dat to the file, e.g.
dd if=microcode.dat of=/dev/cpu/microcode bs=1M

intel-ucode dirctory contains binary microcode files named in
family-model-stepping pattern. The file is supported in most modern Linux
distributions. It's generally located in the /lib/firmware directory,
and can be updated throught the microcode reload interface.

To update the intel-ucode package to the system, one need:
1. Ensure the existence of /sys/devices/system/cpu/microcode/reload
2. Copy intel-ucode directory to /lib/firmware, overwrite the files in
/lib/firmware/intel-ucode/
3. Write the reload interface to 1 to reload the microcode files, e.g.
echo 1 > /sys/devices/system/cpu/microcode/reload

в файле по ссылке выше всё это там. Поэтому не торопитесь.
вот пример:
Код:
dd if=microcode.dat of=/dev/cpu/microcode bs=1M
dd: ошибка записи '/dev/cpu/microcode': Недопустимый аргумент
1+0 записей получено
0+0 записей отправлено
0 bytes copied, 0,000827035 s, 0,0 kB/s

а штеуд как всегда жгет глаголом:
https://www.intel.ru/content/www/ru/ru/ ... ssors.html
мол это не мы такие, идитя ка к своей матери... ::yaz-yk:

Автор:  urandom [ 17 янв 2018 16:28 ]
Заголовок сообщения:  Re: Как победить страшилку Intel?

Цитата:
intel-ucode dirctory


они что, даже в инструкции опечатались? /facepalm

Автор:  gramozeka [ 17 янв 2018 16:37 ]
Заголовок сообщения:  Re: Как победить страшилку Intel?

Цитата:
они что, даже в инструкции опечатались? /facepalm

вот и я опчём. Не торопитесь! Работает? Не трогай и умников страстно желающих что-то "улучшить" лучше сразу отстреливай.

Автор:  dango [ 17 янв 2018 17:35 ]
Заголовок сообщения:  Re: Как победить страшилку Intel?

Цитата:
вот и я опчём. Не торопитесь! Работает? Не трогай и умников страстно желающих что-то "улучшить" лучше сразу отстреливай.

Поддерживаю.
По теме:
Скрипт отсюда:
Цитата:
https://github.com/speed47/spectre-meltdown-checker

Код:
# ./spectre-meltdown-checker.sh
Spectre and Meltdown mitigation detection tool v0.31

Checking for vulnerabilities against running kernel Linux 4.4.111 #2 SMP Thu Jan 11 16:35:15 CST 2018 x86_64
CPU is Intel(R) Core(TM) i3-5005U CPU @ 2.00GHz

CVE-2017-5753 [bounds check bypass] aka 'Spectre Variant 1'
* Checking count of LFENCE opcodes in kernel:  UNKNOWN
> STATUS:  UNKNOWN  (couldn't check (couldn't find your kernel image in /boot, if you used netboot, this is normal))

CVE-2017-5715 [branch target injection] aka 'Spectre Variant 2'
* Mitigation 1
*   Hardware (CPU microcode) support for mitigation
*     The SPEC_CTRL MSR is available:  NO
*     The SPEC_CTRL CPUID feature bit is set:  NO
*   Kernel support for IBRS:  NO
*   IBRS enabled for Kernel space:  NO
*   IBRS enabled for User space:  NO
* Mitigation 2
*   Kernel compiled with retpoline option:  NO
*   Kernel compiled with a retpoline-aware compiler:  NO
> STATUS:  VULNERABLE  (IBRS hardware + kernel support OR kernel with retpoline are needed to mitigate the vulnerability)

CVE-2017-5754 [rogue data cache load] aka 'Meltdown' aka 'Variant 3'
* Kernel supports Page Table Isolation (PTI):  YES
* PTI enabled and active:  YES
* Checking if we're running under Xen PV (64 bits):  NO
> STATUS:  NOT VULNERABLE  (PTI mitigates the vulnerability)

A false sense of security is worse than no security at all, see --disclaimer

Если я правильно понимаю выхлоп срипта, в случае с "Spectre Variant 1" скрипт не понимает ядро huge, с "Spectre Variant 2" все открыто, и только 'Meltdown' закрыт.

Автор:  Algierd [ 23 фев 2018 23:26 ]
Заголовок сообщения:  Re: Как победить страшилку Intel?

Патрик обновление завёз

Цитата:
Wed Feb 7 04:28:48 UTC 2018
patches/packages/gcc-5.5.0-i586-1_slack14.2.txz: Upgraded.
Upgraded to the latest gcc-5 release, with patches to support
-mindirect-branch=thunk-extern, allowing full mitigation of Spectre v2
in the kernel (when CONFIG_RETPOLINE is used).
patches/packages/gcc-g++-5.5.0-i586-1_slack14.2.txz: Upgraded.
patches/packages/gcc-gfortran-5.5.0-i586-1_slack14.2.txz: Upgraded.
patches/packages/gcc-gnat-5.5.0-i586-1_slack14.2.txz: Upgraded.
patches/packages/gcc-go-5.5.0-i586-1_slack14.2.txz: Upgraded.
patches/packages/gcc-java-5.5.0-i586-1_slack14.2.txz: Upgraded.
patches/packages/gcc-objc-5.5.0-i586-1_slack14.2.txz: Upgraded.
patches/packages/linux-4.4.115/*: Upgraded.
This kernel includes full retpoline mitigation for the Spectre (variant 2)
speculative side channel attack.
Please note that this kernel was compiled with gcc-5.5.0, also provided as
an update for Slackware 14.2. You'll need to install the updated gcc in order
to compile kernel modules that will load into this updated kernel.
Be sure to upgrade your initrd after upgrading the kernel packages.
If you use lilo to boot your machine, be sure lilo.conf points to the correct
kernel and initrd and run lilo as root to update the bootloader.
If you use elilo to boot your machine, you should run eliloconfig to copy the
kernel and initrd to the EFI System Partition.
For more information, see:
https://cve.mitre.org/cgi-bin/cvename.c ... -2017-5715
(* Security fix *)

Автор:  bormant [ 05 мар 2018 20:23 ]
Заголовок сообщения:  Re: Как победить страшилку Intel?

По теме (лучше поздно, чем еще позднее ;) ):
https://slackblogs.blogspot.ru/2018/02/ ... n-142.html

Автор:  urandom [ 04 апр 2018 05:37 ]
Заголовок сообщения:  Re: Как победить страшилку Intel?

По теме (лучше поздно, чем еще позднее ;) ):
https://slackblogs.blogspot.ru/2018/02/ ... n-142.html


Обновился как только увидел в ChangeLog. Все хорошо да не очень. Тоже пал жертвой сломанного tor. Наслал очередной вагон проклятий редискам из Intel. Жду 15.0.

Страница 1 из 1 Часовой пояс: UTC + 3 часа
Powered by phpBB® Forum Software © phpBB Group
https://www.phpbb.com/