Brutte notizie un po' per tutti i possessori di cpu moderne

Postate qui per tutte le discussioni legate a Linux in generale.

Moderatore: Staff

Regole del forum
1) Citare sempre la versione di Slackware usata, la versione del Kernel e magari anche la versione della libreria coinvolta. Questi dati aiutano le persone che possono rispondere.
2) Per evitare confusione prego inserire in questo forum solo topic che riguardano appunto Gnu/Linux in genere, se l'argomento è specifico alla Slackware usate uno dei forum Slackware o Slackware64.
3) Leggere attentamente le risposte ricevute
4) Scrivere i messaggi con il colore di default, evitare altri colori.
5) Scrivere in Italiano o in Inglese, se possibile grammaticalmente corretto, evitate stili di scrittura poco chiari, quindi nessuna abbreviazione tipo telegramma o scrittura stile SMS o CHAT.
6) Appena registrati è consigliato presentarsi nel forum dedicato.

La non osservanza delle regole porta a provvedimenti di vari tipo da parte dello staff, in particolare la non osservanza della regola 5 porta alla cancellazione del post e alla segnalazione dell'utente. In caso di recidività l'utente rischia il ban temporaneo.
Meskalamdug
Iper Master
Iper Master
Messaggi: 3880
Iscritto il: ven mag 14, 2004 0:00

Re: Brutte notizie un po' per tutti i possessori di cpu moderne

Messaggioda Meskalamdug » dom feb 04, 2018 23:08

Sul portatile intel il tool mi dice

CVE-2017-5754 [rogue data cache load] aka 'Meltdown' aka 'Variant 3'
* Kernel supports Page Table Isolation (PTI): YES
* PTI enabled and active: YES
* Running as a Xen PV DomU: NO
> STATUS: NOT VULNERABLE (PTI mitigates the vulnerability)

Non ci sto capendo un tubo

Avatar utente
brg
Linux 2.x
Linux 2.x
Messaggi: 442
Iscritto il: sab mar 12, 2011 14:20
Slackware: 14.2
Kernel: 4.4.38
Desktop: KDE4
Località: Montecatini
Contatta:

Re: Brutte notizie un po' per tutti i possessori di cpu moderne

Messaggioda brg » lun feb 05, 2018 9:03

Meskalamdug ha scritto:Sul portatile intel il tool mi dice

CVE-2017-5754 [rogue data cache load] aka 'Meltdown' aka 'Variant 3'
* Kernel supports Page Table Isolation (PTI): YES
* PTI enabled and active: YES
* Running as a Xen PV DomU: NO
> STATUS: NOT VULNERABLE (PTI mitigates the vulnerability)

Non ci sto capendo un tubo


Sì, scusa, sono stato troppo sbrigativo io. Meltdown dovrà essere risolto via firmware, tuttavia può essere evitato via software, abilitando una funzione del kernel (PTI) che tipicamente è disabilitata. Il fatto è che certe operazioni sono più lente a causa del PTI e quindi la questione sarà risolta solo con un aggiornamento firmware, se per risolto intendiamo la condizione di sicurezza e di prestazioni nominali. Tuttavia può darsi, anzi è probabile, che Intel non rilasci il firmware aggiornato per tutte le famiglie di CPU e quindi rimarrà solo la soluzione di abilitare il PTI. Dal kernel 4.14 il PTI è automaticamente abilitato se viene rilevata una CPU Intel.

Meskalamdug
Iper Master
Iper Master
Messaggi: 3880
Iscritto il: ven mag 14, 2004 0:00

Re: Brutte notizie un po' per tutti i possessori di cpu moderne

Messaggioda Meskalamdug » lun feb 05, 2018 16:31

brg ha scritto:
Meskalamdug ha scritto:Sul portatile intel il tool mi dice

CVE-2017-5754 [rogue data cache load] aka 'Meltdown' aka 'Variant 3'
* Kernel supports Page Table Isolation (PTI): YES
* PTI enabled and active: YES
* Running as a Xen PV DomU: NO
> STATUS: NOT VULNERABLE (PTI mitigates the vulnerability)

Non ci sto capendo un tubo


Sì, scusa, sono stato troppo sbrigativo io. Meltdown dovrà essere risolto via firmware, tuttavia può essere evitato via software, abilitando una funzione del kernel (PTI) che tipicamente è disabilitata. Il fatto è che certe operazioni sono più lente a causa del PTI e quindi la questione sarà risolta solo con un aggiornamento firmware, se per risolto intendiamo la condizione di sicurezza e di prestazioni nominali. Tuttavia può darsi, anzi è probabile, che Intel non rilasci il firmware aggiornato per tutte le famiglie di CPU e quindi rimarrà solo la soluzione di abilitare il PTI. Dal kernel 4.14 il PTI è automaticamente abilitato se viene rilevata una CPU Intel.

Perfetto,grazie.

Avatar utente
brg
Linux 2.x
Linux 2.x
Messaggi: 442
Iscritto il: sab mar 12, 2011 14:20
Slackware: 14.2
Kernel: 4.4.38
Desktop: KDE4
Località: Montecatini
Contatta:

Re: Brutte notizie un po' per tutti i possessori di cpu moderne

Messaggioda brg » lun feb 05, 2018 21:35

Uno sviluppatore di Red Hat ha tenuto una conferenza esauriente quanto lunga su queste vulnerabilità, al FOSDEM: https://fosdem.org/2018/schedule/event/closing_keynote/attachments/slides/2597/export/events/attachments/closing_keynote/slides/2597/FOSDEM_2018_Closing_Keynote.pdf. Praticamente la fattibilità di un attacco tramite Spectre 2 non è stata ancora dimostrata, se non in un unico caso controllato con una macchina virtuale che girava su un Intel Xeon: la possibilità di sfruttare con successo Spectre 2 dipende infatti da una molteplicità di fattori, che lo rende improbabile, se non impossibile. Spectre 1 e Meltdown sono invece minacce reali.

Meskalamdug
Iper Master
Iper Master
Messaggi: 3880
Iscritto il: ven mag 14, 2004 0:00

Re: Brutte notizie un po' per tutti i possessori di cpu moderne

Messaggioda Meskalamdug » mar feb 06, 2018 2:33

brg ha scritto:Uno sviluppatore di Red Hat ha tenuto una conferenza esauriente quanto lunga su queste vulnerabilità, al FOSDEM: https://fosdem.org/2018/schedule/event/closing_keynote/attachments/slides/2597/export/events/attachments/closing_keynote/slides/2597/FOSDEM_2018_Closing_Keynote.pdf. Praticamente la fattibilità di un attacco tramite Spectre 2 non è stata ancora dimostrata, se non in un unico caso controllato con una macchina virtuale che girava su un Intel Xeon: la possibilità di sfruttare con successo Spectre 2 dipende infatti da una molteplicità di fattori, che lo rende improbabile, se non impossibile. Spectre 1 e Meltdown sono invece minacce reali.

E il peggio è che per la V1 non esiste ancora la toppa.

Avatar utente
brg
Linux 2.x
Linux 2.x
Messaggi: 442
Iscritto il: sab mar 12, 2011 14:20
Slackware: 14.2
Kernel: 4.4.38
Desktop: KDE4
Località: Montecatini
Contatta:

Re: Brutte notizie un po' per tutti i possessori di cpu moderne

Messaggioda brg » mar feb 06, 2018 14:21

Meskalamdug ha scritto:E il peggio è che per la V1 non esiste ancora la toppa.


Spectre è un problema di programmazione sicura, cioè si risolve come si risolvono i problemi relativi alla SQL injection o ai buffer overflow. I programmatori che lavorano su software critico (browser, macchine virtuali) devono prendere determinati accorgimenti per evitare che Spectre possa essere sfruttato per fini malevoli.

Avatar utente
ponce
Iper Master
Iper Master
Messaggi: 2453
Iscritto il: mer mar 05, 2008 16:45
Nome Cognome: Matteo Bernardini
Slackware: slackware64-current
Kernel: 4.19.0-rc2
Desktop: lxde
Località: Pisa
Contatta:

Re: Brutte notizie un po' per tutti i possessori di cpu moderne

Messaggioda ponce » mer feb 07, 2018 10:32

Pat ha aggiornato il gcc alla 5.5.0 nella 14.2 (mai vista una cosa del genere): la nuova versione supporta retpoline e quindi il kernel compilato con quella versione ha la copertura completa per spectre v2 (esclusi gli aggiornamenti del microcode).

Meskalamdug
Iper Master
Iper Master
Messaggi: 3880
Iscritto il: ven mag 14, 2004 0:00

Re: Brutte notizie un po' per tutti i possessori di cpu moderne

Messaggioda Meskalamdug » gio feb 08, 2018 3:30

ponce ha scritto:Pat ha aggiornato il gcc alla 5.5.0 nella 14.2 (mai vista una cosa del genere): la nuova versione supporta retpoline e quindi il kernel compilato con quella versione ha la copertura completa per spectre v2 (esclusi gli aggiornamenti del microcode).

Faccio il test subito.
Ottima mossa di Pat,ma se la faceva prima mi evitava la migrazione a current..
:o

Meskalamdug
Iper Master
Iper Master
Messaggi: 3880
Iscritto il: ven mag 14, 2004 0:00

Re: Brutte notizie un po' per tutti i possessori di cpu moderne

Messaggioda Meskalamdug » gio feb 08, 2018 4:08

Testato con lo script,slackware 14.2 adesso è coperta.

https://github.com/speed47/spectre-meltdown-checker

Meskalamdug
Iper Master
Iper Master
Messaggi: 3880
Iscritto il: ven mag 14, 2004 0:00

Re: Brutte notizie un po' per tutti i possessori di cpu moderne

Messaggioda Meskalamdug » ven feb 09, 2018 9:05


rik70
Master
Master
Messaggi: 1933
Iscritto il: gio mar 10, 2011 9:21
Slackware: 14.2
Kernel: 4.18
Desktop: Xfce 4.12
Distribuzione: archlinux

Re: Brutte notizie un po' per tutti i possessori di cpu moderne

Messaggioda rik70 » mar feb 13, 2018 13:49

Meskalamdug ha scritto:Qualcosa si muove per la v1

kernel 4.9.81:
CVE-2017-5753 [bounds check bypass] aka 'Spectre Variant 1'
* Mitigated according to the /sys interface: YES (kernel confirms that the mitigation is active)
* Kernel has array_index_mask_nospec: YES (1 occurence(s) found of 64 bits array_index_mask_nospec())
> STATUS: NOT VULNERABLE (Mitigation: __user pointer sanitization)

Meskalamdug
Iper Master
Iper Master
Messaggi: 3880
Iscritto il: ven mag 14, 2004 0:00

Re: Brutte notizie un po' per tutti i possessori di cpu moderne

Messaggioda Meskalamdug » mer feb 14, 2018 14:32

rik70 ha scritto:
Meskalamdug ha scritto:Qualcosa si muove per la v1

kernel 4.9.81:
CVE-2017-5753 [bounds check bypass] aka 'Spectre Variant 1'
* Mitigated according to the /sys interface: YES (kernel confirms that the mitigation is active)
* Kernel has array_index_mask_nospec: YES (1 occurence(s) found of 64 bits array_index_mask_nospec())
> STATUS: NOT VULNERABLE (Mitigation: __user pointer sanitization)

Siamo tutti coperti?
Bene

Meskalamdug
Iper Master
Iper Master
Messaggi: 3880
Iscritto il: ven mag 14, 2004 0:00

Re: Brutte notizie un po' per tutti i possessori di cpu moderne

Messaggioda Meskalamdug » mer feb 14, 2018 17:38

Su slackware 14.2 con kernel 4.14.19(ricompilato con il config della current) mi da luce verde sulle tre vulnerabilità.
Ho usato questo tool
https://github.com/speed47/spectre-meltdown-checker

Meskalamdug
Iper Master
Iper Master
Messaggi: 3880
Iscritto il: ven mag 14, 2004 0:00

Re: Brutte notizie un po' per tutti i possessori di cpu moderne

Messaggioda Meskalamdug » lun mar 12, 2018 23:48

Per possessori di Microserver Gen8,hpe ha rilasciato gli aggiornamenti firmware il 22 Gennaio

https://support.hpe.com/hpsc/doc/public ... 39267en_us

rik70
Master
Master
Messaggi: 1933
Iscritto il: gio mar 10, 2011 9:21
Slackware: 14.2
Kernel: 4.18
Desktop: Xfce 4.12
Distribuzione: archlinux

Re: Brutte notizie un po' per tutti i possessori di cpu moderne

Messaggioda rik70 » mar mar 13, 2018 11:33

Anche ASRock ha rilasciato aggiornamenti BIOS:
2018/3/12
Update Skylake CPU Microcode to revision C2 and Kabylake CPU Microcode to revision 84. (For CPU security update)

P.s.
Ci sarà da fidarsi?