Regole del forum
1) Citare sempre la versione di Slackware usata, la versione del Kernel e magari anche la versione della libreria coinvolta. Questi dati aiutano le persone che possono rispondere.
2) Per evitare confusione prego inserire in questo forum solo topic che riguardano appunto Gnu/Linux in genere, se l'argomento è specifico alla Slackware usate uno dei forum Slackware o Slackware64.
3) Leggere attentamente le risposte ricevute
4) Scrivere i messaggi con il colore di default, evitare altri colori.
5) Scrivere in Italiano o in Inglese, se possibile grammaticalmente corretto, evitate stili di scrittura poco chiari, quindi nessuna abbreviazione tipo telegramma o scrittura stile SMS o CHAT.
6) Appena registrati è consigliato presentarsi nel forum dedicato.
La non osservanza delle regole porta a provvedimenti di vari tipo da parte dello staff, in particolare la non osservanza della regola 5 porta alla cancellazione del post e alla segnalazione dell'utente. In caso di recidività l'utente rischia il ban temporaneo.
brg ha scritto:Potrebbero semplicemente rilasciare a breve nuove CPU senza il baco e lasciare che le vecchie siano gestite via sistema operativo con tanto di prestazioni ridotte.
Ottime notizie, non c'è che dire
Nel mio caso comunque sono vulnerabile pure col kernel 4.11:
*** Intel(R) ME Information ***
Engine: Intel(R) Management Engine
Version: 11.0.0.1180
SVN: 1
*** Risk Assessment ***
Based on the analysis performed by this tool: This system is vulnerable.
Explanation:
The detected version of the Intel(R) Management Engine firmware
is considered vulnerable for INTEL-SA-00086.
Contact your system manufacturer for support and remediation of this system.
Quindi, contattare il produttore della mobo o sfancul*** Intel al prossimo giro?
@ponce
che risultato ottieni dal test col kernel longterm 4.9?
brg ha scritto:Potrebbero semplicemente rilasciare a breve nuove CPU senza il baco e lasciare che le vecchie siano gestite via sistema operativo con tanto di prestazioni ridotte.
Ottime notizie, non c'è che dire
Nel mio caso comunque sono vulnerabile pure col kernel 4.11:
*** Intel(R) ME Information ***
Engine: Intel(R) Management Engine
Version: 11.0.0.1180
SVN: 1
*** Risk Assessment ***
Based on the analysis performed by this tool: This system is vulnerable.
Explanation:
The detected version of the Intel(R) Management Engine firmware
is considered vulnerable for INTEL-SA-00086.
Contact your system manufacturer for support and remediation of this system.
Quindi, contattare il produttore della mobo o sfancul*** Intel al prossimo giro?
l'hai fatto girare da root col 4.14.11? ne ha bisogno per fare un detect corretto.
@ponce
che risultato ottieni dal test col kernel longterm 4.9?
non ho nemmeno fatto il test perche' ho letto il changelog e non mi sembra di aver visto il backport delle patch.
ponce ha scritto:l'hai fatto girare da root col 4.14.11? ne ha bisogno per fare un detect corretto.
Sì da root.
ponce ha scritto:non ho nemmeno fatto il test perche' ho letto il changelog e non mi sembra di aver visto il backport delle patch.
Sembra anche a me, ma noto che nel tuo sistema viene rilevata una versione dell'Intel Management Engine più recente rispetto al mio. Che dipenda da questo?
Se non ti viene male prova a vedere.
Ultima modifica di rik70 il mer 3 gen 2018, 18:23, modificato 1 volta in totale.
rik70 ha scritto:embra anche a me, ma noto che nel tuo sistema viene rilevata una versione dell'Intel Management Engine più recente rispetto al mio. Che dipenda da questo?
Se non ti viene male prova a vedere.
ora che ci penso bene ricordo di aver aggiornato il firmware dell'Intel Management Engine a fine novembre (il 27, per la precisione), quando avevo cercato aggiornamenti per il bios della scheda madre della mia workstation qui al lavoro: questo update era stato rilasciato il 22 di novembre 2017.
comunque ho provato anche col portatile di casa (bios discretamente vecchio)
./intel_sa00086.py
INTEL-SA-00086 Detection Tool
Copyright(C) 2017, Intel Corporation, All rights reserved
Application Version: 1.0.0.152
Scan date: 2018-01-03 17:28:28 GMT
*** Host Computer Information ***
Name: toscibo
Manufacturer: TOSHIBA
Model: SATELLITE L755
Processor Name: Intel(R) Core(TM) i5-2410M CPU @ 2.30GHz
OS Version: Slackware 14.2 (4.14.11-ck1)
*** Intel(R) ME Information ***
Engine: Intel(R) Management Engine
Version: 7.1.10.1065
SVN: 0
*** Risk Assessment ***
Based on the analysis performed by this tool: This system is not vulnerable.
For more information refer to the INTEL-SA-00086 Detection Tool Guide or the
Intel Security Advisory Intel-SA-00086 at the following link:
https://www.intel.com/sa-00086-support
ponce ha scritto:
ora che ci penso bene ricordo di aver aggiornato il firmware dell'Intel Management Engine a fine novembre (il 27, per la precisione), quando avevo cercato aggiornamenti per il bios della scheda madre della mia workstation qui al lavoro: questo update era stato rilasciato il 22 di novembre 2017.
Ricordi cosa avevi aggiornato? Solo il firmware ME o l'intero BIOS/UEFI?
Manufacturer: To Be Filled By O.E.M.
*** Intel(R) ME Information ***
Engine: Intel(R) Management Engine
Version: 11.8.50.3425
SVN: 3
Processor Name: Intel(R) Core(TM) i3-6100 CPU @ 3.70GHz
*** Risk Assessment ***
Based on the analysis performed by this tool: This system is not vulnerable. It has already been patched.
kernel 4.9.74.
Ho sudato freddo perché il sistema dopo il riavvio si è spento per poi riaccendersi da solo.
Ma bando alle ciance: quindi ora il sistema non è + vulnerabile nemmeno col kernel longterm?
Non è che c'ho capito molto di questa storia:
- si parla di un bug risolvibile solo via software;
- poi Intel rilascia un aggiornamento firmware e la questione sembra risolta (via hardware?).
Per non parlare poi della faccenda del presunto calo di prestazioni che a questo punto è tutto da verificare.
[1] bounds check bypass (CVE-2017-5753) - consente di leggere la memoria nel contesto corrente
[2] branch target injection (CVE-2017-5715) - consente di iniettare codice nel contesto corrente
[3] rogue data cache load (CVE-2017-5754) - consente di leggere memoria ovunque senza alterare il funzionamento del processo attaccato
A tal proposito AMD ha rilasciato una dichiarazione in cui afferma che: la prima vulnerabilità è risolvibile solo via software dalle applicazioni interessate, la seconda è quasi impossibile da effettuare con successo su processori AMD e la terza, che è la più grave, riguarda solo Intel. Per la terza esiste già un exploit.
conraid ha scritto:incide tanto il kernel con la patch sulle prestazioni? avete provato?
Ci sono vari benchmark in giro, comunque il succo è che influisce solo sulle commutazioni di contesto: dipende se il tuo carico di lavoro prevede molto commutazioni di contesto oppure no.
INTEL-SA-00086 Detection Tool
Copyright(C) 2017, Intel Corporation, All rights reserved
Application Version: 1.0.0.152
Scan date: 2018-01-04 19:29:53 GMT
*** Host Computer Information ***
Name: Slacky
Manufacturer: Dell Inc.
Model: OptiPlex 780
Processor Name: Intel(R) Core(TM)2 Quad CPU Q9550 @ 2.83GHz
OS Version: Slackware 14.2 (4.4.14)
Traceback (most recent call last):
File "./intel_sa00086.py", line 133, in <module>
sys.exit(main())
File "./intel_sa00086.py", line 75, in main
ver_str, code, family, svn = get_fw_state()
File "/home/martin/Desktop/SA00086_Linux/common/heci.py", line 126, in get_fw_state
fw_ver = get_fw_ver()
File "/home/martin/Desktop/SA00086_Linux/common/heci.py", line 92, in get_fw_ver
mei_fd = get_mkhi_fd()
File "/home/martin/Desktop/SA00086_Linux/common/heci.py", line 29, in get_mkhi_fd
fixed_address_soft(dev_node, True)
File "/home/martin/Desktop/SA00086_Linux/mei/debugfs.py", line 88, in fixed_address_soft
if get_fa_support(device):
File "/home/martin/Desktop/SA00086_Linux/mei/debugfs.py", line 121, in get_fa_support
_, hbm = get_devstate(device)
File "/home/martin/Desktop/SA00086_Linux/mei/debugfs.py", line 98, in get_devstate
mei_dir = check_for_debugfs(device)
File "/home/martin/Desktop/SA00086_Linux/mei/debugfs.py", line 69, in check_for_debugfs
if not valid_path(mei_dir + '/meclients'):
TypeError: unsupported operand type(s) for +: 'NoneType' and 'str'
:cf
