Brutte notizie un po' per tutti i possessori di cpu moderne

Postate qui per tutte le discussioni legate a Linux in generale.

Moderatore: Staff

Regole del forum
1) Citare sempre la versione di Slackware usata, la versione del Kernel e magari anche la versione della libreria coinvolta. Questi dati aiutano le persone che possono rispondere.
2) Per evitare confusione prego inserire in questo forum solo topic che riguardano appunto Gnu/Linux in genere, se l'argomento è specifico alla Slackware usate uno dei forum Slackware o Slackware64.
3) Leggere attentamente le risposte ricevute
4) Scrivere i messaggi con il colore di default, evitare altri colori.
5) Scrivere in Italiano o in Inglese, se possibile grammaticalmente corretto, evitate stili di scrittura poco chiari, quindi nessuna abbreviazione tipo telegramma o scrittura stile SMS o CHAT.
6) Appena registrati è consigliato presentarsi nel forum dedicato.

La non osservanza delle regole porta a provvedimenti di vari tipo da parte dello staff, in particolare la non osservanza della regola 5 porta alla cancellazione del post e alla segnalazione dell'utente. In caso di recidività l'utente rischia il ban temporaneo.
Meskalamdug
Iper Master
Iper Master
Messaggi: 3961
Iscritto il: ven 14 mag 2004, 0:00

Re: Brutte notizie un po' per tutti i possessori di cpu moderne

Messaggio da Meskalamdug »

ponce ha scritto:
Meskalamdug ha scritto:a)Fare uscire la 15
b)Distribuire gcc7 come fix per 14.2,con tutti gli eventuali pacchetti da ricompilare,questa è la soluzione più scomoda
ma anche la più sicura.
non credo che sarai accontentato, almeno in tempi brevi: per la 15 credo manchi ancora un po' (e' probabile che ci vada a finire anche kde5, oltre alle varie ricompilazioni che probabilmente saranno fatte per spectre) e patchare la 14.2 e' improponibile, andrebbe ricompilata quasi tutta, non sono mai stati fatti interventi massivi in quel senso su una stabile.
E le altre distro stabili che tu sappia,a che punto sono?

Avatar utente
ponce
Iper Master
Iper Master
Messaggi: 3022
Iscritto il: mer 5 mar 2008, 16:45
Nome Cognome: Matteo Bernardini
Slackware: slackware64-current
Kernel: 6.6.16
Desktop: lxde
Località: Pisa
Contatta:

Re: Brutte notizie un po' per tutti i possessori di cpu moderne

Messaggio da ponce »

che io sappia, nessuna di loro ha aggiornato il compilatore nel loro ramo stabile, ma magari mi sono perso qualcosa...

Avatar utente
ponce
Iper Master
Iper Master
Messaggi: 3022
Iscritto il: mer 5 mar 2008, 16:45
Nome Cognome: Matteo Bernardini
Slackware: slackware64-current
Kernel: 6.6.16
Desktop: lxde
Località: Pisa
Contatta:

Re: Brutte notizie un po' per tutti i possessori di cpu moderne

Messaggio da ponce »

rik70 ha scritto:Uhm... io non è che c'ho capito molto di questa storia. Il test da questo risultato:

Codice: Seleziona tutto

Kernel is Linux 4.9.78-riklts #1 SMP Sun Jan 28 15:45:08 CET 2018 x86_64
[...]
  * Kernel compiled with a retpoline-aware compiler:  YES  (kernel reports full retpoline compilation)
Dunque vulnerabile solo alla variante 1 o mi son perso qualcosa?
che compilatore e' stato usato per compilare il kernel dove hai fatto girare il test?
Secondo: quali sarebbero gli aggiornamenti firmware rilasciati da intel che causerebbero riavvii del sistema e perdita dati?
alcuni firmare specifici inclusi nella loro release 20180108, infatti sono tornati alla 20171117.
Ultima modifica di ponce il lun 29 gen 2018, 19:59, modificato 1 volta in totale.

Meskalamdug
Iper Master
Iper Master
Messaggi: 3961
Iscritto il: ven 14 mag 2004, 0:00

Re: Brutte notizie un po' per tutti i possessori di cpu moderne

Messaggio da Meskalamdug »

ponce ha scritto:che io sappia, nessuna di loro ha aggiornato il compilatore nel loro ramo stabile, ma magari mi sono perso qualcosa...
Quindi ci troviamo con tutte le distro linux vulnerabili?
Magari anche da remoto :(

rik70
Iper Master
Iper Master
Messaggi: 2489
Iscritto il: gio 10 mar 2011, 9:21
Slackware: 15.0
Kernel: 5.15.x-generic
Desktop: Sway
Distribuzione: Arch Linux

Re: Brutte notizie un po' per tutti i possessori di cpu moderne

Messaggio da rik70 »

ponce ha scritto:che compilatore e' stato usato per compilare il kernel dove hai fatto girare il test?
gcc (GCC) 7.2.1 20180116 su Archlinux.
ponce ha scritto:alcuni firmare specifici inclusi nella loro release 20180108, infatti sono tornati alla 20171117.
Ok, grazie.

Avatar utente
ponce
Iper Master
Iper Master
Messaggi: 3022
Iscritto il: mer 5 mar 2008, 16:45
Nome Cognome: Matteo Bernardini
Slackware: slackware64-current
Kernel: 6.6.16
Desktop: lxde
Località: Pisa
Contatta:

Re: Brutte notizie un po' per tutti i possessori di cpu moderne

Messaggio da ponce »

Meskalamdug ha scritto:Magari anche da remoto :(
direttamente da remoto non credo, essendo le vulnerabilita' relative alle pagine di memoria per usarle dovranno prima ottenere un account locale...
rik70 ha scritto:gcc (GCC) 7.2.1 20180116 su Archlinux.
allora non c'e' poi tutta questa differenza nell'usare slackware current, no? ;)

rik70
Iper Master
Iper Master
Messaggi: 2489
Iscritto il: gio 10 mar 2011, 9:21
Slackware: 15.0
Kernel: 5.15.x-generic
Desktop: Sway
Distribuzione: Arch Linux

Re: Brutte notizie un po' per tutti i possessori di cpu moderne

Messaggio da rik70 »

ponce ha scritto:allora non c'e' poi tutta questa differenza nell'usare slackware current, no? ;)
Esatto, mi sa che vado di upgrade :D
Tu dici che Pat non sarà costretto ad aggiornare anche le versioni attuali?

Tornando poi sulla questione: ma è già stato rivelato qualche exploit che sfrutta queste vulnerabilità?
E sopratutto: intel sarà costretta in qualche modo (giustizia americana?) a "richiamare" le CPU difettose - almeno le ultime - e sostituirle con delle nuove?
Questa storia secondo me è una bomba a orologeria.

Avatar utente
brg
Linux 3.x
Linux 3.x
Messaggi: 580
Iscritto il: sab 12 mar 2011, 14:20
Slackware: 15.0
Kernel: 5.15.117
Desktop: KDE5
Località: Montecatini
Contatta:

Re: Brutte notizie un po' per tutti i possessori di cpu moderne

Messaggio da brg »

ponce ha scritto:
Meskalamdug ha scritto:Magari anche da remoto :(
direttamente da remoto non credo, essendo le vulnerabilita' relative alle pagine di memoria per usarle dovranno prima ottenere un account locale...
Meltdown, la vulnerabilità specifica delle CPU Intel, e Spectre versione 1 permettono exploit dimostrati tramite javascript, quindi tramite browser. Per Meltdown c'erano esempi di exploit tramite javascript già il giorno dopo l'annuncio ufficiale.

Spectre 2 in teoria può riguardare i browser, ma è molto difficile da effettuare con successo, perché bisogna conoscere con esattezza la struttura della memoria allocata. Di fatto Spectre 2 è possibile solo in un ambiente controllato. Spectre 1 si mitiga solo con patch specifiche dei programmi affetti. Meltdown con l'aggiornamento del microcodice della CPU.

La grossa differenza tra Meltdown e Spectre è che Meltdown consente di scalare i privilegi e leggere tutta la memoria, anche quella del kernel. Spectre 1 si limita al processo corrente, mentre Spectre 2 ad altri processi, ma solo se si conosce come è allocata la memoria nei processi attaccati. Spectre 1, mi autocito da pagina 1, è pericoloso solo per gli interpreti di codice (purtroppo ce n'è uno anche nel kernel, anche se è disabilitato di default) e le macchine virtuali.

Meskalamdug
Iper Master
Iper Master
Messaggi: 3961
Iscritto il: ven 14 mag 2004, 0:00

Re: Brutte notizie un po' per tutti i possessori di cpu moderne

Messaggio da Meskalamdug »

Segnalo che ho trovato un ottimo "tester" per spectre.
Fa un "attacco" sul vostro pc,se è vulnerabile riporta nell'output
"The Magic Words are Squeamish Ossifrage."
messo in colonna,altrimenti dei semplici "?"

https://github.com/Eugnis/spectre-attack

Avatar utente
conraid
Staff
Staff
Messaggi: 13630
Iscritto il: gio 14 lug 2005, 0:00
Nome Cognome: Corrado Franco
Slackware: current64
Desktop: kde
Località: Livorno
Contatta:

Re: Brutte notizie un po' per tutti i possessori di cpu moderne

Messaggio da conraid »

Codice: Seleziona tutto

# ./spectre.out 
Putting 'The Magic Words are Squeamish Ossifrage.' in memory, address 0x400d70
Reading 40 bytes:
Istruzione non consentita

Meskalamdug
Iper Master
Iper Master
Messaggi: 3961
Iscritto il: ven 14 mag 2004, 0:00

Re: Brutte notizie un po' per tutti i possessori di cpu moderne

Messaggio da Meskalamdug »

conraid ha scritto:

Codice: Seleziona tutto

# ./spectre.out 
Putting 'The Magic Words are Squeamish Ossifrage.' in memory, address 0x400d70
Reading 40 bytes:
Istruzione non consentita
Mi sembra di capire che la tua cpu sia immune.
Che cpu è?

Avatar utente
ponce
Iper Master
Iper Master
Messaggi: 3022
Iscritto il: mer 5 mar 2008, 16:45
Nome Cognome: Matteo Bernardini
Slackware: slackware64-current
Kernel: 6.6.16
Desktop: lxde
Località: Pisa
Contatta:

Re: Brutte notizie un po' per tutti i possessori di cpu moderne

Messaggio da ponce »

non credo che questo codice sia efficace per testare la copertura da spectre v2 (l'unica implementata, al momento): a quel che sembra funziona solo attaccando il solito processo (non legge la memoria di un altro processo).

https://github.com/Eugnis/spectre-attack/issues/19

Avatar utente
brg
Linux 3.x
Linux 3.x
Messaggi: 580
Iscritto il: sab 12 mar 2011, 14:20
Slackware: 15.0
Kernel: 5.15.117
Desktop: KDE5
Località: Montecatini
Contatta:

Re: Brutte notizie un po' per tutti i possessori di cpu moderne

Messaggio da brg »

ponce ha scritto:non credo che questo codice sia efficace per testare la copertura da spectre v2 (l'unica implementata, al momento): a quel che sembra funziona solo attaccando il solito processo (non legge la memoria di un altro processo).

https://github.com/Eugnis/spectre-attack/issues/19
Come ho già fatto notare, l'attuazione di Spectre v2 ha come prerequisito imprescindibile che l'aggressore conosca esattamente la struttura della memoria del processo attaccato. È praticamente impossibile da effettuare, se non con attacchi molto specifici per obiettivi molto specifici ed è a tutt'oggi indimostrato in casi reali, anche simulati.

Avatar utente
conraid
Staff
Staff
Messaggi: 13630
Iscritto il: gio 14 lug 2005, 0:00
Nome Cognome: Corrado Franco
Slackware: current64
Desktop: kde
Località: Livorno
Contatta:

Re: Brutte notizie un po' per tutti i possessori di cpu moderne

Messaggio da conraid »

Meskalamdug ha scritto:
conraid ha scritto:

Codice: Seleziona tutto

# ./spectre.out 
Putting 'The Magic Words are Squeamish Ossifrage.' in memory, address 0x400d70
Reading 40 bytes:
Istruzione non consentita
Mi sembra di capire che la tua cpu sia immune.
Che cpu è?
Intel(R) Core(TM)2 Duo CPU T7100

Da altri test risultava vulnerabile. Ora ho kernel e gcc aggiornati però.

Avatar utente
conraid
Staff
Staff
Messaggi: 13630
Iscritto il: gio 14 lug 2005, 0:00
Nome Cognome: Corrado Franco
Slackware: current64
Desktop: kde
Località: Livorno
Contatta:

Re: Brutte notizie un po' per tutti i possessori di cpu moderne

Messaggio da conraid »

per esempio il tool di Intel restituisce questo:

Codice: Seleziona tutto

INTEL-SA-00086 Detection Tool
Copyright(C) 2017-2018, Intel Corporation, All rights reserved.

Application Version: 1.1.169.0
Scan date: 2018-02-02 08:22:01 GMT

*** Host Computer Information ***
Name: blankstar.home.local
Manufacturer: Hewlett-Packard
Model: HP Compaq 6710s (GB880ET#ABZ)
Processor Name: Intel(R) Core(TM)2 Duo CPU     T7100  @ 1.80GHz
OS Version: Slackware  14.2  (4.15.0-cf)

*** Risk Assessment ***
Detection Error: This system may be vulnerable,
  either the Intel(R) MEI/TXEI driver is not installed
  (available from your system manufacturer)
  or the system manufacturer does not permit access
  to the ME/TXE from the host driver.

For more information refer to the INTEL-SA-00086 Detection Tool Guide or the
  Intel Security Advisory Intel-SA-00086 at the following link:
  https://www.intel.com/sa-00086-support
Tra l'altro come installo i drive mcode?
la vecchia modalità, anche se c'è compilato il supporto, da errore

Codice: Seleziona tutto

# dd if=microcode.dat of=/dev/cpu/microcode bs=1M
dd: errore scrivendo '/dev/cpu/microcode': Argomento non valido
1+0 record dentro
0+0 record fuori
0 bytes copied, 0,00279344 s, 0,0 kB/s
e infatti nel dmesg ho

Codice: Seleziona tutto

[ 5877.238195] microcode: error! Bad data in microcode data file


quindi ho copiato come indicato nel readme

Codice: Seleziona tutto

intel-ucode dirctory contains binary microcode files named in
family-model-stepping pattern. The file is supported in most modern Linux
distributions. It's generally located in the /lib/firmware directory,
and can be updated throught the microcode reload interface.

To update the intel-ucode package to the system, one need:
1. Ensure the existence of /sys/devices/system/cpu/microcode/reload
2. Copy intel-ucode directory to /lib/firmware, overwrite the files in
/lib/firmware/intel-ucode/
3. Write the reload interface to 1 to reload the microcode files, e.g.
  echo 1 > /sys/devices/system/cpu/microcode/reload
ma poi

Codice: Seleziona tutto

[ 5840.055294] microcode: updated to revision 0xa4, date = 2010-10-02

Rispondi