Pagina 2 di 13
Re: Brutte notizie un po' per tutti i possessori di cpu moderne
Inviato: mer 3 gen 2018, 17:59
da rik70
brg ha scritto:Potrebbero semplicemente rilasciare a breve nuove CPU senza il baco e lasciare che le vecchie siano gestite via sistema operativo con tanto di prestazioni ridotte.
Ottime notizie, non c'è che dire
Nel mio caso comunque sono vulnerabile pure col kernel 4.11:
Codice: Seleziona tutto
*** Intel(R) ME Information ***
Engine: Intel(R) Management Engine
Version: 11.0.0.1180
SVN: 1
*** Risk Assessment ***
Based on the analysis performed by this tool: This system is vulnerable.
Explanation:
The detected version of the Intel(R) Management Engine firmware
is considered vulnerable for INTEL-SA-00086.
Contact your system manufacturer for support and remediation of this system.
Quindi, contattare il produttore della mobo o sfancul*** Intel al prossimo giro?
@ponce
che risultato ottieni dal test col kernel longterm 4.9?
Re: Brutte notizie un po' per tutti i possessori di cpu moderne
Inviato: mer 3 gen 2018, 18:04
da ponce
rik70 ha scritto:brg ha scritto:Potrebbero semplicemente rilasciare a breve nuove CPU senza il baco e lasciare che le vecchie siano gestite via sistema operativo con tanto di prestazioni ridotte.
Ottime notizie, non c'è che dire
Nel mio caso comunque sono vulnerabile pure col kernel 4.11:
Codice: Seleziona tutto
*** Intel(R) ME Information ***
Engine: Intel(R) Management Engine
Version: 11.0.0.1180
SVN: 1
*** Risk Assessment ***
Based on the analysis performed by this tool: This system is vulnerable.
Explanation:
The detected version of the Intel(R) Management Engine firmware
is considered vulnerable for INTEL-SA-00086.
Contact your system manufacturer for support and remediation of this system.
Quindi, contattare il produttore della mobo o sfancul*** Intel al prossimo giro?
l'hai fatto girare da root col 4.14.11? ne ha bisogno per fare un detect corretto.
@ponce
che risultato ottieni dal test col kernel longterm 4.9?
non ho nemmeno fatto il test perche' ho letto il changelog e non mi sembra di aver visto il backport delle patch.
Re: Brutte notizie un po' per tutti i possessori di cpu moderne
Inviato: mer 3 gen 2018, 18:12
da rik70
ponce ha scritto:l'hai fatto girare da root col 4.14.11? ne ha bisogno per fare un detect corretto.
Sì da root.
ponce ha scritto:non ho nemmeno fatto il test perche' ho letto il changelog e non mi sembra di aver visto il backport delle patch.
Sembra anche a me, ma noto che nel tuo sistema viene rilevata una versione dell'Intel Management Engine più recente rispetto al mio. Che dipenda da questo?
Se non ti viene male prova a vedere.
Re: Brutte notizie un po' per tutti i possessori di cpu moderne
Inviato: mer 3 gen 2018, 18:17
da rik70
P.S.
Confermato che è anche un problema di versione del firmware ME:
https://www.asrock.com/microsite/2017IntelFirmware/
Re: Brutte notizie un po' per tutti i possessori di cpu moderne
Inviato: mer 3 gen 2018, 18:25
da ponce
rik70 ha scritto:embra anche a me, ma noto che nel tuo sistema viene rilevata una versione dell'Intel Management Engine più recente rispetto al mio. Che dipenda da questo?
Se non ti viene male prova a vedere.
ora che ci penso bene ricordo di aver aggiornato il firmware dell'Intel Management Engine a fine novembre (il 27, per la precisione), quando avevo cercato aggiornamenti per il bios della scheda madre della mia workstation qui al lavoro: questo update era stato rilasciato il 22 di novembre 2017.
comunque ho provato anche col portatile di casa (bios discretamente vecchio)
Codice: Seleziona tutto
./intel_sa00086.py
INTEL-SA-00086 Detection Tool
Copyright(C) 2017, Intel Corporation, All rights reserved
Application Version: 1.0.0.152
Scan date: 2018-01-03 17:28:28 GMT
*** Host Computer Information ***
Name: toscibo
Manufacturer: TOSHIBA
Model: SATELLITE L755
Processor Name: Intel(R) Core(TM) i5-2410M CPU @ 2.30GHz
OS Version: Slackware 14.2 (4.14.11-ck1)
*** Intel(R) ME Information ***
Engine: Intel(R) Management Engine
Version: 7.1.10.1065
SVN: 0
*** Risk Assessment ***
Based on the analysis performed by this tool: This system is not vulnerable.
For more information refer to the INTEL-SA-00086 Detection Tool Guide or the
Intel Security Advisory Intel-SA-00086 at the following link:
https://www.intel.com/sa-00086-support
Re: Brutte notizie un po' per tutti i possessori di cpu moderne
Inviato: mer 3 gen 2018, 18:30
da rik70
ponce ha scritto:
ora che ci penso bene ricordo di aver aggiornato il firmware dell'Intel Management Engine a fine novembre (il 27, per la precisione), quando avevo cercato aggiornamenti per il bios della scheda madre della mia workstation qui al lavoro: questo update era stato rilasciato il 22 di novembre 2017.
Ricordi cosa avevi aggiornato? Solo il firmware ME o l'intero BIOS/UEFI?
Re: Brutte notizie un po' per tutti i possessori di cpu moderne
Inviato: mer 3 gen 2018, 18:37
da ponce
solo il firmware ME, l'ultimo bios della scheda era di agosto (e lo avevo aggiornato in quel periodo).
Re: Brutte notizie un po' per tutti i possessori di cpu moderne
Inviato: mer 3 gen 2018, 21:29
da rik70
Ok aggiornato il firmware ME:
Codice: Seleziona tutto
Manufacturer: To Be Filled By O.E.M.
*** Intel(R) ME Information ***
Engine: Intel(R) Management Engine
Version: 11.8.50.3425
SVN: 3
Processor Name: Intel(R) Core(TM) i3-6100 CPU @ 3.70GHz
*** Risk Assessment ***
Based on the analysis performed by this tool: This system is not vulnerable. It has already been patched.
kernel 4.9.74.
Ho sudato freddo perché il sistema dopo il riavvio si è spento per poi riaccendersi da solo.
Ma bando alle ciance: quindi ora il sistema non è + vulnerabile nemmeno col kernel longterm?
Non è che c'ho capito molto di questa storia:
- si parla di un bug risolvibile solo via software;
- poi Intel rilascia un aggiornamento firmware e la questione sembra risolta (via hardware?).
Per non parlare poi della faccenda del presunto calo di prestazioni che a questo punto è tutto da verificare.
Idee?
Re: Brutte notizie un po' per tutti i possessori di cpu moderne
Inviato: mer 3 gen 2018, 23:34
da brg
rik70 ha scritto:Intel rilascia un aggiornamento firmware e la questione sembra risolta (via hardware?).
Al momento in cui scrivo è risolvibile solo via sistema operativo.
Intel rivelerà il problema e la soluzione che adotterà la settimana prossima.
Re: Brutte notizie un po' per tutti i possessori di cpu moderne
Inviato: gio 4 gen 2018, 7:34
da ponce
Re: Brutte notizie un po' per tutti i possessori di cpu moderne
Inviato: gio 4 gen 2018, 10:05
da conraid
La cosa sembra più seria di quanto avessi pensato.
p.s.
incide tanto il kernel con la patch sulle prestazioni? avete provato?
Re: Brutte notizie un po' per tutti i possessori di cpu moderne
Inviato: gio 4 gen 2018, 10:09
da ponce
a pelle non mi rendo conto della differenza, ma non ho fatto benchmark approfonditi con tutti i programmi che uso...
Re: Brutte notizie un po' per tutti i possessori di cpu moderne
Inviato: gio 4 gen 2018, 13:17
da rik70
Mah.. a questo punto aspettiamo notizie da intel. Io comunque ho problemi col kernel 4.14.11:
Codice: Seleziona tutto
[ 64.812623] Failed to release pages: bind_count=1, pages_pin_count=1, pin_display=0
[ 64.812644] ------------[ cut here ]------------
[ 64.812698] WARNING: CPU: 3 PID: 49 at drivers/gpu/drm/i915/i915_gem_userptr.c:89 cancel_userptr+0xdc/0xe0 [i915]
Non mi crea blocchi o altri problemi, ma non è rassicurante. Mi sa che mi tocca aprire un bug su freedesktop, nel frattempo torno al kernel 4.9.
Re: Brutte notizie un po' per tutti i possessori di cpu moderne
Inviato: gio 4 gen 2018, 13:42
da brg
Propriamente sono tre vulnerabilità, attraverso due differenti bachi:
https://googleprojectzero.blogspot.it/2 ... -side.html.
Codice: Seleziona tutto
[1] bounds check bypass (CVE-2017-5753) - consente di leggere la memoria nel contesto corrente
[2] branch target injection (CVE-2017-5715) - consente di iniettare codice nel contesto corrente
[3] rogue data cache load (CVE-2017-5754) - consente di leggere memoria ovunque senza alterare il funzionamento del processo attaccato
A tal proposito AMD ha rilasciato una
dichiarazione in cui afferma che: la prima vulnerabilità è risolvibile solo via software dalle applicazioni interessate, la seconda è quasi impossibile da effettuare con successo su processori AMD e la terza, che è la più grave, riguarda solo Intel. Per la terza esiste già un exploit.
A tal proposito è intervenuto anche Linus:
https://marc.info/?l=linux-kernel&m=151502350206820&w=2.
conraid ha scritto:incide tanto il kernel con la patch sulle prestazioni? avete provato?
Ci sono vari benchmark in giro, comunque il succo è che influisce solo sulle commutazioni di contesto: dipende se il tuo carico di lavoro prevede molto commutazioni di contesto oppure no.
Re: Brutte notizie un po' per tutti i possessori di cpu moderne
Inviato: gio 4 gen 2018, 20:41
da uboot
.. un aiuto : dando il comando da root ./intel_sa00086.py mi restituisce i seguenti errori ..
la versione di Python 2.7.11 quella di default penso
Codice: Seleziona tutto
INTEL-SA-00086 Detection Tool
Copyright(C) 2017, Intel Corporation, All rights reserved
Application Version: 1.0.0.152
Scan date: 2018-01-04 19:29:53 GMT
*** Host Computer Information ***
Name: Slacky
Manufacturer: Dell Inc.
Model: OptiPlex 780
Processor Name: Intel(R) Core(TM)2 Quad CPU Q9550 @ 2.83GHz
OS Version: Slackware 14.2 (4.4.14)
Traceback (most recent call last):
File "./intel_sa00086.py", line 133, in <module>
sys.exit(main())
File "./intel_sa00086.py", line 75, in main
ver_str, code, family, svn = get_fw_state()
File "/home/martin/Desktop/SA00086_Linux/common/heci.py", line 126, in get_fw_state
fw_ver = get_fw_ver()
File "/home/martin/Desktop/SA00086_Linux/common/heci.py", line 92, in get_fw_ver
mei_fd = get_mkhi_fd()
File "/home/martin/Desktop/SA00086_Linux/common/heci.py", line 29, in get_mkhi_fd
fixed_address_soft(dev_node, True)
File "/home/martin/Desktop/SA00086_Linux/mei/debugfs.py", line 88, in fixed_address_soft
if get_fa_support(device):
File "/home/martin/Desktop/SA00086_Linux/mei/debugfs.py", line 121, in get_fa_support
_, hbm = get_devstate(device)
File "/home/martin/Desktop/SA00086_Linux/mei/debugfs.py", line 98, in get_devstate
mei_dir = check_for_debugfs(device)
File "/home/martin/Desktop/SA00086_Linux/mei/debugfs.py", line 69, in check_for_debugfs
if not valid_path(mei_dir + '/meclients'):
TypeError: unsupported operand type(s) for +: 'NoneType' and 'str'