Willkommen Gast. Bitte einloggen oder registrieren. Haben Sie Ihre Aktivierungs E-Mail übersehen?
20.10.2018, 00:25:57

.
Einloggen mit Benutzername, Passwort und Sitzungslänge

Mitglieder
  • Mitglieder insgesamt: 20932
  • Letzte: ropetti
Statistiken
  • Beiträge insgesamt: 553081
  • Themen insgesamt: 44628
  • Heute online: 404
  • Am meisten online: 680
  • (27.03.2018, 20:17:41)
Benutzer Online
Mitglieder: 5
Gäste: 383
Gesamt: 388

Autor Thema:  Hammer-Fehler in CPUs der letzten 10 Jahre - Meltdown, Spectre  (Gelesen 31877 mal)

0 Mitglieder und 3 Gäste betrachten dieses Thema.

Eigentlich müssten jetzt ja die Preise für Intel CPU's und Rechner mit Intel CPU's runter gehen! oder?  :-\
Was sagt eigentlich der Aktienkurs von Intel?

Wenn ich mir die letzten Threads hier im Forum anschaue scheint doch vieles mit den Patches zusammenzuhängen. Evtl. mal wieder auf vorangegangene Kernel runterschalten. Was hat man von einem "sicherem" System wenns nicht läuft. Natürlich trotzdem die Sache im Blick halten, irgendwann in nächster Zeit wirds auch wieder Stabil sein. Mein KDE-Neon wollte nach dem ersten Kernelupdate bezgl. der Patches auch nicht mehr, war aber am gleichen Tag mit einem 2. Update gefixt.
Dieser Artikel in Golem lohnt sich zu lesen: https://www.golem.de/news/updates-wie-man-spectre-und-meltdown-loswird-1801-132125.html
Zitat
Welche Probleme bereitet das Update?

Nicht nur Antivirenprodukte verursachen Probleme. Auf mehreren Rechnern in der Redaktion konnten wir nach der Installation der Patches Probleme feststellen, da der grundlegende Eingriff in das Speichermanagement in Zusammenarbeit mit dem Prozessor offenbar teilweise zu Inkompatibilitäten führt.

Auf einem Redaktionsrechner funktionierten Peripheriegeräte nicht mehr zuverlässig und Programme stürzten unvermittelt ab. Nach einem Rollback des Updates lief alles wieder problemlos. Eine dauerhaft befriedigende Lösung ist das aber natürlich nicht. Auf einem anderen Rechner hatten insbesondere Browser Probleme, wieder andere Rechner laufen mit den Updates ohne Probleme. Wer große und vor allem homogene Rechnerflotten verwaltet, sollte die Updates vorher an einem Gerät evaluieren.
« Letzte Änderung: 13.01.2018, 00:37:55 von Peppermint Patty »

ich hattem it keien der fixes udn kernelksachen und micocode ah probs  :P

ich hattem it keien der fixes udn kernelksachen und micocode ah probs  :P
Du hast ja auch nur ein Laptop und benutzt nur ein System. :P
Die Sache ist zu Komplex um es zu pauschalisieren.

ah lapy korrekt habe 2 tuxe drauf lm 18.3 xfce und bodhilinux 4.2 ;D

Leider wird der Chromium von Ubuntu sehr schlecht unterstützt.
Probier es doch mal mit dem PPA: sudo add-apt-repository ppa:canonical-chromium-builds/stage
sudo apt-get update
sudo apt-get install chromium-browser

Da gibt es aktuell die Version chromium-browser_63.0.3239.108-0ubuntu0.16.04.1_amd64.deb
Leider wird auch die PPA-Version des Chromium Browsers von der verlinkten Seite als verwundbar eingestuft. Die von Arch Linux bereits vor Tagen ausgerollte Version 63.0.3239.132-3 liefert dagegen das Ergebnis "not vulnerable".

Laut https://www.ostechnix.com/check-meltdown-spectre-vulnerabilities-patch-linux/ kann man mit den folgenden drei Terminalbefehlen (als normaler User ausgeführt) testen, ob das eigene System gegen "Meltdown" und "Spectre" gepatcht wurde:
grep CONFIG_PAGE_TABLE_ISOLATION=y /boot/config-`uname -r` && echo "patched :)" || echo "unpatched :("grep cpu_insecure /proc/cpuinfo && echo "patched :)" || echo "unpatched :("dmesg | grep "Kernel/User page tables isolation: enabled" && echo "patched :)" || echo "unpatched :("
Wenn ich mein Linux Mint 18.3 Sylvia Xfce mit dem laut dem Linux Mint Blog gepatchten Kernel 4.4.0-109 starte, liefert mir nur der dritte Befehl das Ergebnis "patched", bei den anderen beiden ist die Ausgabe "unpatched". Starte ich dagegen mit dem Kernel 4.13.0-25, ist die Ausgabe in allen drei Fällen "patched". 
« Letzte Änderung: 13.01.2018, 10:10:25 von pardautz »

sehr hilfreicher link, @peppermint patty (Antwort #286), mit einer handvoll wirklich relevanter informationen,
schliesslich auch https://www.golem.de/news/updates-wie-man-spectre-und-meltdown-loswird-1801-132125-8.html dem hinweis auf

Zitat
Für Linux-Nutzer findet sich auf Github ein Skript, das die jeweilige Nutzung der Patches und Updates auf dem laufenden System analysiert. In den kommenden Wochen sollten Nuzter die zur Verfügung gestellten Updates genau beobachten und einspielen.

ich frage mich und Euch, wie ein "ideales" system aus prozessor und peripherie aussehen müsste,
das NICHT via site-branch (oder wie das heisst?) in der prozessor-architektur kompromittierbar ist:

a. reicht es, wenn das system NICHT am netz ist?
b. kann ein solches system daten von bzw. an aussen aufnehmen und abgeben, die ZUVERLÄSSIG danach NICHT kompromittiert sind
(zb. via USB mit entsprechender, transparenter überwachung und logging der schnittstelle)?

p.s. Desweiteren frage ich mich und Euch, ob nicht die weltweit jetzt verbreiteten PATCHES und UPDATES das wirkliche Sicherheitsproblem
nur noch weiter verschärfen oder vielleicht sogar das wirkliche EInfallstor für fremde Insights darstellen, da doch niemand (hier) genaues weiss.
« Letzte Änderung: 13.01.2018, 11:24:45 von cr »

Soweit ich es verstanden habe, gibt es bisher einen einigermaßen funktionierenden Kernel-Patch gegen Meltdown, während am Schutz gegen Spectre noch gearbeitet wird.
Darüber hinaus lassen sich Patches nicht einfach in jeden Kernel einbauen, vor allem bei dem (älteren) LTS-Kernel 4.4.0-xxx scheint es noch etwas Arbeit und vor allem Tests zu brauchen.

Die neuesten Distributions-Kernel werden zusätzlich von den jeweiligen Kernel-Hackern mit Patches bestückt werden, mit unterschiedlichen Auswirkungen.

Die Sache ist halt im Fluss und lange noch nicht abschließend gelöst.
Ein Grundproblem ist wohl, die Balance zwischen maximalen Schutz und Verringerung der Rechnergeschwindigkeit hinzubekommen, oder überhaupt ein stabiles, startbares System zu gewährleisten.

Siehe dazu auch die Stellungnahme zum aktuellen Status:
Zitat
… the CONFIG_PAGE_TABLE_ISOLATION build option that should be enabled to get complete protection.
http://www.kroah.com/log/blog/2018/01/06/meltdown-status/

Das Script auf github:
https://github.com/speed47/spectre-meltdown-checker
« Letzte Änderung: 13.01.2018, 10:55:50 von aexe »

gelegentlich hier reinschauen https://wiki.ubuntu.com/SecurityTeam/KnowledgeBase/SpectreAndMeltdown
wird laufend aktualisiert.

Script-Datei von github heruntergeladen, entpackt, Verzeichnis im Terminal geöffnet
sudo ./spectre-meltdown-checker.sh bringt bei mir folgende Ausgabe : Spectre and Meltdown mitigation detection tool v0.28

Checking for vulnerabilities against running kernel Linux 4.4.0-109-generic #132-Ubuntu SMP Tue Jan 9 19:52:39 UTC 2018 x86_64
CPU is Intel(R) Core(TM) i7-3520M CPU @ 2.90GHz

CVE-2017-5753 [bounds check bypass] aka 'Spectre Variant 1'
* Checking count of LFENCE opcodes in kernel:  NO
> STATUS:  VULNERABLE  (only 33 opcodes found, should be >= 70, heuristic to be improved when official patches become available)

CVE-2017-5715 [branch target injection] aka 'Spectre Variant 2'
* Mitigation 1
*   Hardware (CPU microcode) support for mitigation:  NO
*   Kernel support for IBRS:  NO
*   IBRS enabled for Kernel space:  NO
*   IBRS enabled for User space:  NO
* Mitigation 2
*   Kernel compiled with retpoline option:  NO
*   Kernel compiled with a retpoline-aware compiler:  NO
> STATUS:  VULNERABLE  (IBRS hardware + kernel support OR kernel with retpoline are needed to mitigate the vulnerability)

CVE-2017-5754 [rogue data cache load] aka 'Meltdown' aka 'Variant 3'
* Kernel supports Page Table Isolation (PTI):  YES
* PTI enabled and active:  YES
> STATUS:  NOT VULNERABLE  (PTI mitigates the vulnerability)

A false sense of security is worse than no security at all, see --disclaimer
Mitigation = Abschwächung, Minderung des möglichen Schadens !
« Letzte Änderung: 13.01.2018, 12:10:59 von aexe »

bei mir zusätzlich zu @aexe s checker-protokoll

Zitat
CVE-2017-5754 [rogue data cache load] aka 'Meltdown' aka 'Variant 3'
* Kernel supports Page Table Isolation (PTI):  NO
* PTI enabled and active:  NO
> STATUS:  VULNERABLE  (PTI is needed to mitigate the vulnerability)

how to enable PTI?


Kernel supports Page Table Isolation (PTI):  NO
Wenn der Kernel (welcher?) das nicht unterstützt, wird man es auch nicht einschalten können.

Das Github-Script liefert mir sowohl beim Kernel 4.4.0-109 als auch beim 4.13.0-26 unter Mint 18.3, sowie beim 4.9.76-1 und 4.14.13-1 unter Arch Linux dasselbe Ergebnis wie bei aexe.   

@aexe Checking for vulnerabilities against running kernel Linux 4.4.0-104-generic #127~14.04.1-Ubuntu SMP Mon Dec 11 12:44:15 UTC 2017 x86_64

Das ist ja auch richtig so. Da es den Retpoline Patch noch nicht im Kernel gibt, sind Intel Nutzer weiterhin gegen Spectre Anfällig. Da hilft auch der Microcode von Intel nicht, da dieser nichts an der Gefahrenlage ändert. Die Microcodes "gegen" Spectre enthalten nur Anweisungen für die Betriebssysteme, wie sie die Patches ausführen müssen.

Retpoline, der Spectre Patch, wird aber wohl nicht vor 4.16 im Kernel landen (ebenso die Backports in ältere Kernel).

Auf meinem Ryzen sieht das ganze übrigen so aus:
Spectre and Meltdown mitigation detection tool v0.28

Checking for vulnerabilities against running kernel Linux 4.14.13-041413-generic #201801101001 SMP Wed Jan 10 10:02:53 UTC 2018 x86_64
CPU is AMD Ryzen 7 1700 Eight-Core Processor

CVE-2017-5753 [bounds check bypass] aka 'Spectre Variant 1'
* Checking count of LFENCE opcodes in kernel:  NO
> STATUS:  VULNERABLE  (only 29 opcodes found, should be >= 70, heuristic to be improved when official patches become available)

CVE-2017-5715 [branch target injection] aka 'Spectre Variant 2'
* Mitigation 1
*   Hardware (CPU microcode) support for mitigation:  NO
*   Kernel support for IBRS:  NO
*   IBRS enabled for Kernel space:  NO
*   IBRS enabled for User space:  NO
* Mitigation 2
*   Kernel compiled with retpoline option:  NO
*   Kernel compiled with a retpoline-aware compiler:  NO
> STATUS:  NOT VULNERABLE  (your CPU vendor reported your CPU model as not vulnerable)

CVE-2017-5754 [rogue data cache load] aka 'Meltdown' aka 'Variant 3'
* Kernel supports Page Table Isolation (PTI):  YES
* PTI enabled and active:  NO
> STATUS:  NOT VULNERABLE  (your CPU vendor reported your CPU model as not vulnerable)

A false sense of security is worse than no security at all, see --disclaimer