Brutte notizie un po' per tutti i possessori di cpu moderne

Postate qui per tutte le discussioni legate a Linux in generale.

Moderatore: Staff

Regole del forum
1) Citare sempre la versione di Slackware usata, la versione del Kernel e magari anche la versione della libreria coinvolta. Questi dati aiutano le persone che possono rispondere.
2) Per evitare confusione prego inserire in questo forum solo topic che riguardano appunto Gnu/Linux in genere, se l'argomento è specifico alla Slackware usate uno dei forum Slackware o Slackware64.
3) Leggere attentamente le risposte ricevute
4) Scrivere i messaggi con il colore di default, evitare altri colori.
5) Scrivere in Italiano o in Inglese, se possibile grammaticalmente corretto, evitate stili di scrittura poco chiari, quindi nessuna abbreviazione tipo telegramma o scrittura stile SMS o CHAT.
6) Appena registrati è consigliato presentarsi nel forum dedicato.

La non osservanza delle regole porta a provvedimenti di vari tipo da parte dello staff, in particolare la non osservanza della regola 5 porta alla cancellazione del post e alla segnalazione dell'utente. In caso di recidività l'utente rischia il ban temporaneo.
Avatar utente
ponce
Iper Master
Iper Master
Messaggi: 3022
Iscritto il: mer 5 mar 2008, 16:45
Nome Cognome: Matteo Bernardini
Slackware: slackware64-current
Kernel: 6.6.16
Desktop: lxde
Località: Pisa
Contatta:

Brutte notizie un po' per tutti i possessori di cpu moderne

Messaggio da ponce »

E' stato scoperto un baco architetturale nella gestione delle pagine di memoria dei processori Intel non risolvibile tramite aggiornamenti del microcode e quindi necessariamente affrontabile a livello di sistema operativo: il vero problema e' che le patch risolutive per il kernel linux rallentano l'esecuzione del codice, anche sui processori della AMD che non dovrebbero essere affetti dal bug originale

http://pythonsweetness.tumblr.com/post/ ... page-table
http://www.theregister.co.uk/2018/01/02 ... sign_flaw/

P.S. nel nuovo kernel 4.14.11 in current sono incluse le patch ( CONFIG_PAGE_TABLE_ISOLATION=y ).

Avatar utente
conraid
Staff
Staff
Messaggi: 13630
Iscritto il: gio 14 lug 2005, 0:00
Nome Cognome: Corrado Franco
Slackware: current64
Desktop: kde
Località: Livorno
Contatta:

Re: Brutte notizie un po' per tutti i possessori di cpu moderne

Messaggio da conraid »

Ma si può dire N a quella voce? Cosa comporta?

Avatar utente
ponce
Iper Master
Iper Master
Messaggi: 3022
Iscritto il: mer 5 mar 2008, 16:45
Nome Cognome: Matteo Bernardini
Slackware: slackware64-current
Kernel: 6.6.16
Desktop: lxde
Località: Pisa
Contatta:

Re: Brutte notizie un po' per tutti i possessori di cpu moderne

Messaggio da ponce »

e' spiegato nell'articolo su "The Register"
At best, the vulnerability could be leveraged by malware and hackers to more easily exploit other security bugs.

At worst, the hole could be abused by programs and logged-in users to read the contents of the kernel's memory. Suffice to say, this is not great. The kernel's memory space is hidden from user processes and programs because it may contain all sorts of secrets, such as passwords, login keys, files cached from disk, and so on. Imagine a piece of JavaScript running in a browser, or malicious software running on a shared public cloud server, able to sniff sensitive kernel-protected data.

Specifically, in terms of the best-case scenario, it is possible the bug could be abused to defeat KASLR: kernel address space layout randomization. This is a defense mechanism used by various operating systems to place components of the kernel in randomized locations in virtual memory. This mechanism can thwart attempts to abuse other bugs within the kernel: typically, exploit code – particularly return-oriented programming exploits – relies on reusing computer instructions in known locations in memory.

If you randomize the placing of the kernel's code in memory, exploits can't find the internal gadgets they need to fully compromise a system. The processor flaw could be potentially exploited to figure out where in memory the kernel has positioned its data and code, hence the flurry of software patching.
se hai una cpu AMD dovresti pero' essere tranquillo, a quello che dice AMD stessa: tieni di conto che i dettagli del baco in questione non sono ancora stati resi pubblici, la notizia e' basata fondamentalmente sulle deduzioni del secondo articolo su tumblr (e sulle fonti che questo cita).

Avatar utente
conraid
Staff
Staff
Messaggi: 13630
Iscritto il: gio 14 lug 2005, 0:00
Nome Cognome: Corrado Franco
Slackware: current64
Desktop: kde
Località: Livorno
Contatta:

Re: Brutte notizie un po' per tutti i possessori di cpu moderne

Messaggio da conraid »

È che ho un notebook del 2007, con Intel core 2 duo T7100, va già lento se rallenta ancora è un dramma.

p.s.
non riesco a trovare una lista dei processori coinvolti, mi par di capire i 64bit con almeno due core però.

Avatar utente
ponce
Iper Master
Iper Master
Messaggi: 3022
Iscritto il: mer 5 mar 2008, 16:45
Nome Cognome: Matteo Bernardini
Slackware: slackware64-current
Kernel: 6.6.16
Desktop: lxde
Località: Pisa
Contatta:

Re: Brutte notizie un po' per tutti i possessori di cpu moderne

Messaggio da ponce »

ho appena visto che quelli della AMD disabiliteranno di default la page table isolation (questa patch pero' non e' ancora nei kernel rilasciati)

https://lkml.org/lkml/2017/12/27/2
conraid ha scritto:È che ho un notebook del 2007, con Intel core 2 duo T7100, va già lento se rallenta ancora è un dramma.
a quello che leggo e deduco dal thread citato qui subito sopra dovresti poter provare a passare tra i parametri del kernel al boot (ovviamente a tuo rischio e pericolo) "pti=off"

https://lkml.org/lkml/2017/12/27/2
conraid ha scritto:non riesco a trovare una lista dei processori coinvolti, mi par di capire i 64bit con almeno due core però.
e' presto, il baco non e' ancora stato rilasciato ufficialmente.

Avatar utente
conraid
Staff
Staff
Messaggi: 13630
Iscritto il: gio 14 lug 2005, 0:00
Nome Cognome: Corrado Franco
Slackware: current64
Desktop: kde
Località: Livorno
Contatta:

Re: Brutte notizie un po' per tutti i possessori di cpu moderne

Messaggio da conraid »

Ma io ricompilo da solo il kernel quindi per ora ho detto N alla page isolation, poi con calma studio meglio la cosa.

Mi sa però che per comprare nuovo notebook meglio aspettare le nuove cpu

rik70
Iper Master
Iper Master
Messaggi: 2489
Iscritto il: gio 10 mar 2011, 9:21
Slackware: 15.0
Kernel: 5.15.x-generic
Desktop: Sway
Distribuzione: Arch Linux

Re: Brutte notizie un po' per tutti i possessori di cpu moderne

Messaggio da rik70 »

E Intel che dice?
Ci ridà i soldi indietro o....

Avatar utente
ponce
Iper Master
Iper Master
Messaggi: 3022
Iscritto il: mer 5 mar 2008, 16:45
Nome Cognome: Matteo Bernardini
Slackware: slackware64-current
Kernel: 6.6.16
Desktop: lxde
Località: Pisa
Contatta:

Re: Brutte notizie un po' per tutti i possessori di cpu moderne

Messaggio da ponce »

rik70 ha scritto:E Intel che dice?
Ci ridà i soldi indietro o....
...e' piu' probabile che ci faccia a tutti un bel pernacchione.

rik70
Iper Master
Iper Master
Messaggi: 2489
Iscritto il: gio 10 mar 2011, 9:21
Slackware: 15.0
Kernel: 5.15.x-generic
Desktop: Sway
Distribuzione: Arch Linux

Re: Brutte notizie un po' per tutti i possessori di cpu moderne

Messaggio da rik70 »

ponce ha scritto: ...e' piu' probabile che ci faccia a tutti un bel pernacchione.
Già... e vai a fargli causa... da solo.

Sbaglio o stanno testando dei fix nel kernel 4.15?

Avatar utente
ponce
Iper Master
Iper Master
Messaggi: 3022
Iscritto il: mer 5 mar 2008, 16:45
Nome Cognome: Matteo Bernardini
Slackware: slackware64-current
Kernel: 6.6.16
Desktop: lxde
Località: Pisa
Contatta:

Re: Brutte notizie un po' per tutti i possessori di cpu moderne

Messaggio da ponce »

rik70 ha scritto:Sbaglio o stanno testando dei fix nel kernel 4.15?
hanno gia' fatto il backport nel 4.14.11, credo proprio che siano anche nel 4.15.0-rcX...

Avatar utente
ponce
Iper Master
Iper Master
Messaggi: 3022
Iscritto il: mer 5 mar 2008, 16:45
Nome Cognome: Matteo Bernardini
Slackware: slackware64-current
Kernel: 6.6.16
Desktop: lxde
Località: Pisa
Contatta:

Re: Brutte notizie un po' per tutti i possessori di cpu moderne

Messaggio da ponce »

e' uscita una paginetta di intel

https://www.intel.com/content/www/us/en ... tware.html

e un tool per verificare se la cpu e' vulnerabile: scompattatelo in una directory creata appositamente e lanciate lo script python da root

https://downloadcenter.intel.com/download/27150?v=t

qui, su slackware64-current con kernel 4.14.11

Codice: Seleziona tutto

INTEL-SA-00086 Detection Tool
Copyright(C) 2017, Intel Corporation, All rights reserved

Application Version: 1.0.0.152
Scan date: 2018-01-03 14:23:21 GMT

*** Host Computer Information ***
Name: preacher
Manufacturer: System manufacturer
Model: System Product Name
Processor Name: Intel(R) Core(TM) i7-6700 CPU @ 3.40GHz
OS Version: Slackware  14.2  (4.14.11)

*** Intel(R) ME Information ***
Engine: Intel(R) Management Engine
Version: 11.8.50.3399
SVN: 3

*** Risk Assessment ***
Based on the analysis performed by this tool: This system is not vulnerable. It has already been patched.

For more information refer to the INTEL-SA-00086 Detection Tool Guide or the
  Intel Security Advisory Intel-SA-00086 at the following link:
  https://www.intel.com/sa-00086-support

Avatar utente
brg
Linux 3.x
Linux 3.x
Messaggi: 580
Iscritto il: sab 12 mar 2011, 14:20
Slackware: 15.0
Kernel: 5.15.117
Desktop: KDE5
Località: Montecatini
Contatta:

Re: Brutte notizie un po' per tutti i possessori di cpu moderne

Messaggio da brg »

Ci sono due questioni relative a questa patch di sicurezza. La prima riguarda il KASLR, che senza questa patch è vulnerabile su tutte le CPU x86 esistenti. Questo problema era stato scoperto nel 2016, ma, siccome a parte qualche fanatico della sicurezza nessuno usa il KASLR, la patch non era stata introdotta, visto che comportava un grosso carico computazionale in più per la CPU. La seconda questione riguarda un bug che riguarda tutte le CPU Intel dal pentium in poi [sic!] che consentirebbe di scrivere negli spazi di memoria del kernel. Il problema è risolvibile usando la stessa patch del KASLR, che nel frattempo è stata ottimizata un po' (inizialmente dava un sovraccarico computazionale del 30%).

In conclusione, se avete CPU AMD (come il desktop del sottoscritto), potete tranquillamente farne a meno, se non trovate il KASLR necessario. Altrimenti potete farci un pensierino, ma non mi fascerei troppo la testa per un'utenza desktop. Ovviamente sui server è tutto un altro discorso.

Edit: il CEO di Intel si è venduto tutte le azioni un mesetto fa, https://www.fool.com/investing/2017/12/ ... stock.aspx 8)

rik70
Iper Master
Iper Master
Messaggi: 2489
Iscritto il: gio 10 mar 2011, 9:21
Slackware: 15.0
Kernel: 5.15.x-generic
Desktop: Sway
Distribuzione: Arch Linux

Re: Brutte notizie un po' per tutti i possessori di cpu moderne

Messaggio da rik70 »

Codice: Seleziona tutto

*** Intel(R) ME Information ***
Engine: Intel(R) Management Engine
Version: 11.0.0.1180
SVN: 1

*** Risk Assessment ***
Based on the analysis performed by this tool: This system is vulnerable.
Explanation:
The detected version of the Intel(R) Management Engine firmware
  is considered vulnerable for INTEL-SA-00086.
  Contact your system manufacturer for support and remediation of this system.
...su kernel 4.9.74.

Non ho capito se la faccenda se la deve "smazzare" il produttore della scheda madre o "basta" aggiornare il kernel.

Avatar utente
ponce
Iper Master
Iper Master
Messaggi: 3022
Iscritto il: mer 5 mar 2008, 16:45
Nome Cognome: Matteo Bernardini
Slackware: slackware64-current
Kernel: 6.6.16
Desktop: lxde
Località: Pisa
Contatta:

Re: Brutte notizie un po' per tutti i possessori di cpu moderne

Messaggio da ponce »

rik70 ha scritto:Non ho capito se la faccenda se la deve "smazzare" il produttore della scheda madre o "basta" aggiornare il kernel.
bisogna aggiornare il kernel.

Avatar utente
brg
Linux 3.x
Linux 3.x
Messaggi: 580
Iscritto il: sab 12 mar 2011, 14:20
Slackware: 15.0
Kernel: 5.15.117
Desktop: KDE5
Località: Montecatini
Contatta:

Re: Brutte notizie un po' per tutti i possessori di cpu moderne

Messaggio da brg »

rik70 ha scritto:Non ho capito se la faccenda se la deve "smazzare" il produttore della scheda madre o "basta" aggiornare il kernel.
In altri tempi l'Intel richiamò le CPU difettose (bug FDIV), ma in questo caso non sembra essere una soluzione fattibile. Potrebbero semplicemente rilasciare a breve nuove CPU senza il baco e lasciare che le vecchie siano gestite via sistema operativo con tanto di prestazioni ridotte. Il problema di prestazioni si ha soprattutto durante le commutazioni di contesto (quindi i videogiochi sono salvi :) ).

Rispondi