Pagina 1 di 13

Brutte notizie un po' per tutti i possessori di cpu moderne

Inviato: mer 3 gen 2018, 9:22
da ponce
E' stato scoperto un baco architetturale nella gestione delle pagine di memoria dei processori Intel non risolvibile tramite aggiornamenti del microcode e quindi necessariamente affrontabile a livello di sistema operativo: il vero problema e' che le patch risolutive per il kernel linux rallentano l'esecuzione del codice, anche sui processori della AMD che non dovrebbero essere affetti dal bug originale

http://pythonsweetness.tumblr.com/post/ ... page-table
http://www.theregister.co.uk/2018/01/02 ... sign_flaw/

P.S. nel nuovo kernel 4.14.11 in current sono incluse le patch ( CONFIG_PAGE_TABLE_ISOLATION=y ).

Re: Brutte notizie un po' per tutti i possessori di cpu moderne

Inviato: mer 3 gen 2018, 9:55
da conraid
Ma si può dire N a quella voce? Cosa comporta?

Re: Brutte notizie un po' per tutti i possessori di cpu moderne

Inviato: mer 3 gen 2018, 10:25
da ponce
e' spiegato nell'articolo su "The Register"
At best, the vulnerability could be leveraged by malware and hackers to more easily exploit other security bugs.

At worst, the hole could be abused by programs and logged-in users to read the contents of the kernel's memory. Suffice to say, this is not great. The kernel's memory space is hidden from user processes and programs because it may contain all sorts of secrets, such as passwords, login keys, files cached from disk, and so on. Imagine a piece of JavaScript running in a browser, or malicious software running on a shared public cloud server, able to sniff sensitive kernel-protected data.

Specifically, in terms of the best-case scenario, it is possible the bug could be abused to defeat KASLR: kernel address space layout randomization. This is a defense mechanism used by various operating systems to place components of the kernel in randomized locations in virtual memory. This mechanism can thwart attempts to abuse other bugs within the kernel: typically, exploit code – particularly return-oriented programming exploits – relies on reusing computer instructions in known locations in memory.

If you randomize the placing of the kernel's code in memory, exploits can't find the internal gadgets they need to fully compromise a system. The processor flaw could be potentially exploited to figure out where in memory the kernel has positioned its data and code, hence the flurry of software patching.
se hai una cpu AMD dovresti pero' essere tranquillo, a quello che dice AMD stessa: tieni di conto che i dettagli del baco in questione non sono ancora stati resi pubblici, la notizia e' basata fondamentalmente sulle deduzioni del secondo articolo su tumblr (e sulle fonti che questo cita).

Re: Brutte notizie un po' per tutti i possessori di cpu moderne

Inviato: mer 3 gen 2018, 10:32
da conraid
È che ho un notebook del 2007, con Intel core 2 duo T7100, va già lento se rallenta ancora è un dramma.

p.s.
non riesco a trovare una lista dei processori coinvolti, mi par di capire i 64bit con almeno due core però.

Re: Brutte notizie un po' per tutti i possessori di cpu moderne

Inviato: mer 3 gen 2018, 10:40
da ponce
ho appena visto che quelli della AMD disabiliteranno di default la page table isolation (questa patch pero' non e' ancora nei kernel rilasciati)

https://lkml.org/lkml/2017/12/27/2
conraid ha scritto:È che ho un notebook del 2007, con Intel core 2 duo T7100, va già lento se rallenta ancora è un dramma.
a quello che leggo e deduco dal thread citato qui subito sopra dovresti poter provare a passare tra i parametri del kernel al boot (ovviamente a tuo rischio e pericolo) "pti=off"

https://lkml.org/lkml/2017/12/27/2
conraid ha scritto:non riesco a trovare una lista dei processori coinvolti, mi par di capire i 64bit con almeno due core però.
e' presto, il baco non e' ancora stato rilasciato ufficialmente.

Re: Brutte notizie un po' per tutti i possessori di cpu moderne

Inviato: mer 3 gen 2018, 10:44
da conraid
Ma io ricompilo da solo il kernel quindi per ora ho detto N alla page isolation, poi con calma studio meglio la cosa.

Mi sa però che per comprare nuovo notebook meglio aspettare le nuove cpu

Re: Brutte notizie un po' per tutti i possessori di cpu moderne

Inviato: mer 3 gen 2018, 11:39
da rik70
E Intel che dice?
Ci ridà i soldi indietro o....

Re: Brutte notizie un po' per tutti i possessori di cpu moderne

Inviato: mer 3 gen 2018, 11:45
da ponce
rik70 ha scritto:E Intel che dice?
Ci ridà i soldi indietro o....
...e' piu' probabile che ci faccia a tutti un bel pernacchione.

Re: Brutte notizie un po' per tutti i possessori di cpu moderne

Inviato: mer 3 gen 2018, 12:19
da rik70
ponce ha scritto: ...e' piu' probabile che ci faccia a tutti un bel pernacchione.
Già... e vai a fargli causa... da solo.

Sbaglio o stanno testando dei fix nel kernel 4.15?

Re: Brutte notizie un po' per tutti i possessori di cpu moderne

Inviato: mer 3 gen 2018, 12:51
da ponce
rik70 ha scritto:Sbaglio o stanno testando dei fix nel kernel 4.15?
hanno gia' fatto il backport nel 4.14.11, credo proprio che siano anche nel 4.15.0-rcX...

Re: Brutte notizie un po' per tutti i possessori di cpu moderne

Inviato: mer 3 gen 2018, 15:28
da ponce
e' uscita una paginetta di intel

https://www.intel.com/content/www/us/en ... tware.html

e un tool per verificare se la cpu e' vulnerabile: scompattatelo in una directory creata appositamente e lanciate lo script python da root

https://downloadcenter.intel.com/download/27150?v=t

qui, su slackware64-current con kernel 4.14.11

Codice: Seleziona tutto

INTEL-SA-00086 Detection Tool
Copyright(C) 2017, Intel Corporation, All rights reserved

Application Version: 1.0.0.152
Scan date: 2018-01-03 14:23:21 GMT

*** Host Computer Information ***
Name: preacher
Manufacturer: System manufacturer
Model: System Product Name
Processor Name: Intel(R) Core(TM) i7-6700 CPU @ 3.40GHz
OS Version: Slackware  14.2  (4.14.11)

*** Intel(R) ME Information ***
Engine: Intel(R) Management Engine
Version: 11.8.50.3399
SVN: 3

*** Risk Assessment ***
Based on the analysis performed by this tool: This system is not vulnerable. It has already been patched.

For more information refer to the INTEL-SA-00086 Detection Tool Guide or the
  Intel Security Advisory Intel-SA-00086 at the following link:
  https://www.intel.com/sa-00086-support

Re: Brutte notizie un po' per tutti i possessori di cpu moderne

Inviato: mer 3 gen 2018, 15:31
da brg
Ci sono due questioni relative a questa patch di sicurezza. La prima riguarda il KASLR, che senza questa patch è vulnerabile su tutte le CPU x86 esistenti. Questo problema era stato scoperto nel 2016, ma, siccome a parte qualche fanatico della sicurezza nessuno usa il KASLR, la patch non era stata introdotta, visto che comportava un grosso carico computazionale in più per la CPU. La seconda questione riguarda un bug che riguarda tutte le CPU Intel dal pentium in poi [sic!] che consentirebbe di scrivere negli spazi di memoria del kernel. Il problema è risolvibile usando la stessa patch del KASLR, che nel frattempo è stata ottimizata un po' (inizialmente dava un sovraccarico computazionale del 30%).

In conclusione, se avete CPU AMD (come il desktop del sottoscritto), potete tranquillamente farne a meno, se non trovate il KASLR necessario. Altrimenti potete farci un pensierino, ma non mi fascerei troppo la testa per un'utenza desktop. Ovviamente sui server è tutto un altro discorso.

Edit: il CEO di Intel si è venduto tutte le azioni un mesetto fa, https://www.fool.com/investing/2017/12/ ... stock.aspx 8)

Re: Brutte notizie un po' per tutti i possessori di cpu moderne

Inviato: mer 3 gen 2018, 16:40
da rik70

Codice: Seleziona tutto

*** Intel(R) ME Information ***
Engine: Intel(R) Management Engine
Version: 11.0.0.1180
SVN: 1

*** Risk Assessment ***
Based on the analysis performed by this tool: This system is vulnerable.
Explanation:
The detected version of the Intel(R) Management Engine firmware
  is considered vulnerable for INTEL-SA-00086.
  Contact your system manufacturer for support and remediation of this system.
...su kernel 4.9.74.

Non ho capito se la faccenda se la deve "smazzare" il produttore della scheda madre o "basta" aggiornare il kernel.

Re: Brutte notizie un po' per tutti i possessori di cpu moderne

Inviato: mer 3 gen 2018, 17:12
da ponce
rik70 ha scritto:Non ho capito se la faccenda se la deve "smazzare" il produttore della scheda madre o "basta" aggiornare il kernel.
bisogna aggiornare il kernel.

Re: Brutte notizie un po' per tutti i possessori di cpu moderne

Inviato: mer 3 gen 2018, 17:20
da brg
rik70 ha scritto:Non ho capito se la faccenda se la deve "smazzare" il produttore della scheda madre o "basta" aggiornare il kernel.
In altri tempi l'Intel richiamò le CPU difettose (bug FDIV), ma in questo caso non sembra essere una soluzione fattibile. Potrebbero semplicemente rilasciare a breve nuove CPU senza il baco e lasciare che le vecchie siano gestite via sistema operativo con tanto di prestazioni ridotte. Il problema di prestazioni si ha soprattutto durante le commutazioni di contesto (quindi i videogiochi sono salvi :) ).