slackware.ru
http://www.slackware.ru/forum/

Как победить страшилку Intel?
http://www.slackware.ru/forum/viewtopic.php?f=10&t=2157
Страница 1 из 1

Автор:  urandom [ 10 янв 2018 19:33 ]
Заголовок сообщения:  Как победить страшилку Intel?

Попытался разобраться в том что происходит с процессорами Intel, в интернете 100500 страшных статей про Meltdown и Spectre - я в них просто утонул и ничего не понял. На SBo поиск по слову "microcode" находит несколько билдов но я не хочу ничего ставить вслепую. Посоветуйте вменяемую доку для Slackware 14.2, где грамотно описано как закрыть эти уязвимости. Можно на английском.

Автор:  bormant [ 10 янв 2018 21:44 ]
Заголовок сообщения:  Re: Как победить страшилку Intel?

На оффоруме на LQ две или три темы в топе есть.

Автор:  urandom [ 11 янв 2018 00:30 ]
Заголовок сообщения:  Re: Как победить страшилку Intel?

если речь об этом https://www.linuxquestions.org/question ... 175621053/ то я это читал

и обратил внимание на

Код:
this only address the microcode loading issue and not the full mitigation for Meltdown or Spectre threat.


про обновление ядра в 14.2 я пока нигде ничего не увидел

обновления проприетарных драйверов nvidia придется через SBo отслеживать

вот почему хотелось бы емкую доку в формате HOWTO/README, а не собирать кусочки по форумам и сторонним сайтам. чтобы было краткое (если это вообще возможно в данной ситуации :D) описание проблемы для контекста и список действий которые нужно выполнить

Автор:  bormant [ 11 янв 2018 05:31 ]
Заголовок сообщения:  Re: Как победить страшилку Intel?

Это только одна из них. Еще хвост общей темы про уязвимости и темы про последние ядра.
Ну а суть тривиальна: взять правильный микрокод для своего камня и добавить в initrd, взять версию ядра с исправлениями безопасности.

Только spectre пока нигде не исправлен, если правильно путаю, все реляции на этот счет еще преждевременны.

Автор:  urandom [ 11 янв 2018 14:32 ]
Заголовок сообщения:  Re: Как победить страшилку Intel?

Цитата:
Только spectre пока нигде не исправлен, если правильно путаю, все реляции на этот счет еще преждевременны.


Значит товарищ Патрик ждет пока устаканится ситуация и потом будет обновление ядра в 14.2? Тогда я тоже подожду.

Автор:  bormant [ 12 янв 2018 16:45 ]
Заголовок сообщения:  Re: Как победить страшилку Intel?

В копилку полезностей по теме:
https://github.com/speed47/spectre-meltdown-checker

Автор:  dango [ 15 янв 2018 12:05 ]
Заголовок сообщения:  Re: Как победить страшилку Intel?

Цитата:
В копилку полезностей по теме:
https://github.com/speed47/spectre-meltdown-checker

bormant, спасибо за ссылку.

Автор:  Graf [ 16 янв 2018 10:09 ]
Заголовок сообщения:  Re: Как победить страшилку Intel?

Можно скрипт не запускать и так ясно :-)
https://github.com/speed47/spectre-meltdown-checker писал(а):
All Intel processors manufactured since circa 1995 are thought to be vulnerable.

Автор:  Wertos [ 16 янв 2018 17:20 ]
Заголовок сообщения:  Re: Как победить страшилку Intel?

Да фигня всё это, я вообще думаю что это такой ход маркетинговый ! А даже если нет, то меня, как обычного юзера, эти уязвимости не волнуют воообщее !

Автор:  nk [ 16 янв 2018 23:09 ]
Заголовок сообщения:  Re: Как победить страшилку Intel?

оно?
slackware 14.2 changes for Mon, 15 Jan 2018 23:13:01 GMT
...
patches/packages/linux-4.4.111/*: Upgraded.
This kernel includes mitigations for the Spectre (variant 2) and Meltdown
speculative side channel attacks.

Автор:  dango [ 17 янв 2018 07:15 ]
Заголовок сообщения:  Re: Как победить страшилку Intel?

Цитата:
оно?

Да.Пока руки доходили до сборки 4.4.108, в stable пришло 4.4.111. Не забывают.

Автор:  urandom [ 17 янв 2018 11:31 ]
Заголовок сообщения:  Re: Как победить страшилку Intel?

Цитата:
оно?
https://mirror.slackbuilds.org/rss/slackware64-14.2.rss wrote:
slackware 14.2 changes for Mon, 15 Jan 2018 23:13:01 GMT
...
patches/packages/linux-4.4.111/*: Upgraded.
This kernel includes mitigations for the Spectre (variant 2) and Meltdown
speculative side channel attacks.


оно

обновился, пересобрал initrd и сторонние модули ядра. полет нормальный уже несколько часов. сравнить изменения производительности пока не заморачивался

осталось найти грамотное пошаговое HOWTO про то как обновить microcode, может быть кто-то запостит тут

для справки:

Код:
 model name   : Intel(R) Core(TM) i3-4160 CPU @ 3.60GHz

Автор:  gramozeka [ 17 янв 2018 15:57 ]
Заголовок сообщения:  Re: Как победить страшилку Intel?

Цитата:
осталось найти грамотное пошаговое HOWTO про то как обновить microcode, может быть кто-то запостит тут

не стоит с этим торопиться!!! Это забавный квест, как футбол на минном поле, интеловкая поддержка как всегда отписывается автоботом "смотрите на этой странице ляляля" и посылает вот сюда : https://downloadcenter.intel.com/downlo ... roduct=873

но, в новом файле не оказалось моего процессора. А сама инструкция проста до безобразия:

Цитата:
-- Microcode update instructions --
This package contains Intel microcode files in two formats:
* microcode.dat
* intel-ucode directory

microcode.dat is in a traditional text format. It is still used in some
Linux distributions. It can be updated to the system through the old microcode
update interface which is avaialble in the kernel with
CONFIG_MICROCODE_OLD_INTERFACE=y.

To update the microcode.dat to the system, one need:
1. Ensure the existence of /dev/cpu/microcode
2. Write microcode.dat to the file, e.g.
dd if=microcode.dat of=/dev/cpu/microcode bs=1M

intel-ucode dirctory contains binary microcode files named in
family-model-stepping pattern. The file is supported in most modern Linux
distributions. It's generally located in the /lib/firmware directory,
and can be updated throught the microcode reload interface.

To update the intel-ucode package to the system, one need:
1. Ensure the existence of /sys/devices/system/cpu/microcode/reload
2. Copy intel-ucode directory to /lib/firmware, overwrite the files in
/lib/firmware/intel-ucode/
3. Write the reload interface to 1 to reload the microcode files, e.g.
echo 1 > /sys/devices/system/cpu/microcode/reload

в файле по ссылке выше всё это там. Поэтому не торопитесь.
вот пример:
Код:
dd if=microcode.dat of=/dev/cpu/microcode bs=1M
dd: ошибка записи '/dev/cpu/microcode': Недопустимый аргумент
1+0 записей получено
0+0 записей отправлено
0 bytes copied, 0,000827035 s, 0,0 kB/s

а штеуд как всегда жгет глаголом:
https://www.intel.ru/content/www/ru/ru/ ... ssors.html
мол это не мы такие, идитя ка к своей матери... ::yaz-yk:

Автор:  urandom [ 17 янв 2018 16:28 ]
Заголовок сообщения:  Re: Как победить страшилку Intel?

Цитата:
intel-ucode dirctory


они что, даже в инструкции опечатались? /facepalm

Автор:  gramozeka [ 17 янв 2018 16:37 ]
Заголовок сообщения:  Re: Как победить страшилку Intel?

Цитата:
они что, даже в инструкции опечатались? /facepalm

вот и я опчём. Не торопитесь! Работает? Не трогай и умников страстно желающих что-то "улучшить" лучше сразу отстреливай.

Автор:  dango [ 17 янв 2018 17:35 ]
Заголовок сообщения:  Re: Как победить страшилку Intel?

Цитата:
вот и я опчём. Не торопитесь! Работает? Не трогай и умников страстно желающих что-то "улучшить" лучше сразу отстреливай.

Поддерживаю.
По теме:
Скрипт отсюда:
Цитата:
https://github.com/speed47/spectre-meltdown-checker

Код:
# ./spectre-meltdown-checker.sh
Spectre and Meltdown mitigation detection tool v0.31

Checking for vulnerabilities against running kernel Linux 4.4.111 #2 SMP Thu Jan 11 16:35:15 CST 2018 x86_64
CPU is Intel(R) Core(TM) i3-5005U CPU @ 2.00GHz

CVE-2017-5753 [bounds check bypass] aka 'Spectre Variant 1'
* Checking count of LFENCE opcodes in kernel:  UNKNOWN
> STATUS:  UNKNOWN  (couldn't check (couldn't find your kernel image in /boot, if you used netboot, this is normal))

CVE-2017-5715 [branch target injection] aka 'Spectre Variant 2'
* Mitigation 1
*   Hardware (CPU microcode) support for mitigation
*     The SPEC_CTRL MSR is available:  NO
*     The SPEC_CTRL CPUID feature bit is set:  NO
*   Kernel support for IBRS:  NO
*   IBRS enabled for Kernel space:  NO
*   IBRS enabled for User space:  NO
* Mitigation 2
*   Kernel compiled with retpoline option:  NO
*   Kernel compiled with a retpoline-aware compiler:  NO
> STATUS:  VULNERABLE  (IBRS hardware + kernel support OR kernel with retpoline are needed to mitigate the vulnerability)

CVE-2017-5754 [rogue data cache load] aka 'Meltdown' aka 'Variant 3'
* Kernel supports Page Table Isolation (PTI):  YES
* PTI enabled and active:  YES
* Checking if we're running under Xen PV (64 bits):  NO
> STATUS:  NOT VULNERABLE  (PTI mitigates the vulnerability)

A false sense of security is worse than no security at all, see --disclaimer

Если я правильно понимаю выхлоп срипта, в случае с "Spectre Variant 1" скрипт не понимает ядро huge, с "Spectre Variant 2" все открыто, и только 'Meltdown' закрыт.

Страница 1 из 1 Часовой пояс: UTC + 3 часа
Powered by phpBB® Forum Software © phpBB Group
https://www.phpbb.com/