Arch Linux

pitt

Gast

Intel CPU

Hallo,

die Sicherheitslücke ist ja wohl einigen lange bekannt, jetzt ist diese öffentlich, daher meine Frage macht arch da etwas oder ist das kernel's Sache den Intel wird da nichts machen nur schreiben kauft doch unsere neuste CPU da ist garantiert alles kaputt.

Als privater Rechner würde ich da nichts machen wollen aber als Cloud-Server?

Gruß

Kabbone

Mitglied

Re: Intel CPU

es wird an Kernel Patches gearbeitet, bzw. sollten diese nach meinem Wissen bereits in 4.14.11 eingeflossen sein.

shibumi

Mitglied

Re: Intel CPU

Wenn ich meiner Twitter Bubble glauben schenken darf sind Spectre und Meltdown gefixed im aktuellen Arch Kernel...

pitt

Gast

Re: Intel CPU

Danke für die Info.

sekret

Mitglied

Re: Intel CPU

Falls

zgrep CONFIG_PAGE_TABLE_ISOLATION /proc/config.gz

die Ausgabe

CONFIG_PAGE_TABLE_ISOLATION=y

ausgibt, ist der Kernel gepatcht (ist der Fall bei 4.14.11).

Falls

dmesg | grep isolation

die Ausgabe

[    0.000000] Kernel/User page tables isolation: enabled

ausgibt, ist die Isolation aktiv. Man kann sie nämlich auch deaktivieren.

Kabbone

Mitglied

Re: Intel CPU

Falls

zgrep CONFIG_PAGE_TABLE_ISOLATION /proc/config.gz

die Ausgabe

CONFIG_PAGE_TABLE_ISOLATION=y

ausgibt, ist der Kernel gepatcht (ist der Fall bei 4.14.11).

Falls

dmesg | grep isolation

die Ausgabe

[    0.000000] Kernel/User page tables isolation: enabled

ausgibt, ist die Isolation aktiv. Man kann sie nämlich auch deaktivieren.

Ich bin momentan auf linux-ryzen-git und somit 4.15.0rc6.
Da ist bei mir von isolation in dmesg nichts zu finden, obwohl CONFIG_PAGE_TABLE_ISOLATION=y gesetzt ist. Auch der Kernelparamter pti=1 brachte keinen Unterschied.

EDIT: ok, Kernelparameter pti=on, ist richtig. Allerdings ist dieser bei mir auch bei 4.14.11 nötig.

Beitrag geändert von Kabbone (05.01.2018 12:44:56)

sekret

Mitglied

Re: Intel CPU

EDIT: ok, Kernelparameter pti=on, ist richtig. Allerdings ist dieser bei mir auch bei 4.14.11 nötig.

Interessant! Ich hab überhaupt nichts gemacht, trotzdem ist pti bei mir aktiviert. Kann das von der CPU abhängen? Ich hab

# grep "model name" /proc/cpuinfo
model name      : Intel(R) Core(TM)2 Duo CPU     T5870  @ 2.00GHz
model name      : Intel(R) Core(TM)2 Duo CPU     T5870  @ 2.00GHz

ne (alte) Intel-CPU.

Edit, gerade entdeckt:

# grep "bugs" /proc/cpuinfo
bugs            : cpu_insecure
bugs            : cpu_insecure

Eventuell ist das ausschlaggebend, ob pti=on nötig ist oder nicht? Bzw falls dieses Kommando keine Ausgabe zeigt, ist man dann eh sicher?

Beitrag geändert von sekret (05.01.2018 13:40:25)

Schard-nologin

Gast

Re: Intel CPU

Es scheint demnächst wohl auch Microcode Updates zu geben: https://www.golem.de/news/spectre-und-m … 31981.html

Kabbone

Mitglied

Re: Intel CPU

Ich hatte ganz vergessen, dass AMD in den patch irgendwo eine Abfrage auf den Vendor hinterlegt hatte, bin mir jetzt aber nicht sicher für welchen Teil der Bugs das verantwortlich war.
Aber an deiner Vermutung könnte auch was dran sein:

#grep "model name" /proc/cpuinfo
model name	: AMD Ryzen 7 1700 Eight-Core Processor

#grep "bugs" /proc/cpuinfo
bugs		: sysret_ss_attrs null_seg

pitt

Gast

Re: Intel CPU

Siehe https://www.golem.de/news/spectre-und-m … 31981.html

pitt

Gast

Re: Intel CPU

Und der 4.9 soll auch den Patch haben oder bekommen.

SUSEDJAlex

Mitglied

Re: Intel CPU

habe hier den Kernel laufen:

Linux linux-pc03 4.9.73-1-lts #1 SMP Fri Dec 29 19:25:27 CET 2017 x86_64 GNU/Linux

aber es gab keine Ausgaben wegen Bugs etc.

da muss ich wohl noch warten

LG SUSEDJAlex

Unwissender

Gast

Re: Intel CPU

Hallo,

muss ich das Paket intel-ucode installieren um mich gegen Meltdown und Spectre sicherer zu fühlen oder reicht es
wenn ich den neusten Kernel unter Arch habe? Der Kernel soll ja das Sicherheitspatch beinhalten.

Ich habe einen Intel i5-2500K, also schon etwas älter, aus dem jahr 2011.

Baldr

Mitglied

Re: Intel CPU

Kann ich dir leider nicht beantworten. Ich würde microcode aber immer einspielen, korrigiert ja auch ggf. weitere Fehler.

Soweit mir bekannt ist werden von Intel über microcode derzeit aber nur CPU‘s ab Baujahr 2013 und gepatcht. Und heute habe ich irgendwo gelesen, dass Intel das aktuelle microcode-Update zurückgezogen hat, da es wohl in einigen Fällen zu unvorhergesehenem Reboot gekommen ist.

Ich hab‘s eben trotzdem eingespielt, kann ja ggf. wieder downgraden. Meine CPU: Core i7-4702MQ.

dmesg | grep microcode

[    0.000000] microcode: microcode updated early to revision 0x23, date = 2017-11-20
[    0.980921] microcode: sig=0x306c3, pf=0x10, revision=0x23
[    0.981260] microcode: Microcode Update Driver: v2.2.

Jetzt rödelt die CPU allerdings zwischen 13-14% Auslastung im Leerlauf und laufendem Lüfter rum.

Schard-nologin

Gast

Re: Intel CPU

Die KPTI Kernel Patches senken nur das Risiko für Meltdown Angriffe.
Die Microcode Updates sollen mittelfristig gegen Spectre v1 und V2 helfen.

Unwissender

Gast

Re: Intel CPU

Hallo,

ich habe das Paket intel-ucode nicht installiert, aber ein dmesg | grep microcode liefert:

[    0.573308] microcode: sig=0x206a7, pf=0x2, revision=0x28
[    0.573412] microcode: Microcode Update Driver: v2.2.

Was blicke ich nicht?

Baldr

Mitglied

Re: Intel CPU

... Jetzt rödelt die CPU allerdings zwischen 13-14% Auslastung im Leerlauf und laufendem Lüfter rum.

Ich kann berichten das die CPU-Last nicht am microcode-update lag. War ein anderer Prozess.

Photor

Mitglied

Re: Intel CPU

Hallo,

ich habe das Paket intel-ucode nicht installiert, aber ein dmesg | grep microcode liefert:

[    0.573308] microcode: sig=0x206a7, pf=0x2, revision=0x28
[    0.573412] microcode: Microcode Update Driver: v2.2.

Was blicke ich nicht?

Hm. Ich HABE das Paket installiert (und es sollte geladen werden) und bekomme ziemlich exakt die gleiche Ausgabe. Mein Schluss daraus ist, es wird NICHT geladen bzw. hat keinen Effekt. Dem muss ich bei Gelegenheit nachgehen - jetzt erst recht.

@Unwissender: laut Wiki bedeutet Deine Ausgabe, dass keine Mickocode geladen wurde - so verstehe ich das.

Ciao
Photor

SUSEDJAlex

Mitglied

Re: Intel CPU

Ein Update des Kernels 4.9.77-lts hat diese Sicherheitslücke geschlossen...

dmesg | grep iso
[    0.000000] Kernel/User page tables isolation: enabled

dmesg | grep microcode
[    0.000000] microcode: microcode updated early to revision 0x28, date = 2017-11-17
[    0.656602] microcode: sig=0x306d4, pf=0x40, revision=0x28
[    0.656745] microcode: Microcode Update Driver: v2.01 <tigran@aivazian.fsnet.co.uk>, Peter Oruba

zgrep CONFIG_PAGE_TABLE_ISOLATION /proc/config.gz
CONFIG_PAGE_TABLE_ISOLATION=y

grep "bugs" /proc/cpuinfo 
bugs		: cpu_meltdown spectre_v1 spectre_v2
bugs		: cpu_meltdown spectre_v1 spectre_v2
bugs		: cpu_meltdown spectre_v1 spectre_v2
bugs		: cpu_meltdown spectre_v1 spectre_v2

LG SUSEDJAlex

Baldr

Mitglied

Re: Intel CPU

Linux 4.14.14 sollte das gleiche machen http://www.pro-linux.de/news/1/25515/me … ungen.html. Ist aber noch nicht im Testing.

SUSEDJAlex

Mitglied

Re: Intel CPU

schau mal in den Changelog:

https://cdn.kernel.org/pub/linux/kernel … og-4.14.14

LG SUSEDJAlex

LinLin

Mitglied

Re: Intel CPU

Hier gibt es ein Script zum checken der Lücken

https://9300.hostserv.eu/bibel/index.ph … 26_Spectre

Spectre and Meltdown mitigation detection tool v0.31

Checking for vulnerabilities against running kernel Linux 4.14.15-1-ARCH #1 SMP PREEMPT Tue Jan 23 21:49:25 UTC 2018 x86_64
CPU is Intel(R) Core(TM) i5-4670K CPU @ 3.40GHz

CVE-2017-5753 [bounds check bypass] aka 'Spectre Variant 1'
* Checking whether we're safe according to the /sys interface:  NO  (kernel confirms your system is vulnerable)
> STATUS:  VULNERABLE  (Vulnerable)

CVE-2017-5715 [branch target injection] aka 'Spectre Variant 2'
* Checking whether we're safe according to the /sys interface:  YES  (kernel confirms that the mitigation is active)
> STATUS:  NOT VULNERABLE  (Mitigation: Full generic retpoline)

CVE-2017-5754 [rogue data cache load] aka 'Meltdown' aka 'Variant 3'
* Checking whether we're safe according to the /sys interface:  YES  (kernel confirms that the mitigation is active)
> STATUS:  NOT VULNERABLE  (Mitigation: PTI)

A false sense of security is worse than no security at all, see --disclaimer

Beitrag geändert von LinLin (15.02.2018 21:49:37)

LinLin

Mitglied

Re: Intel CPU

Habs mal laufen lassen

Spectre and Meltdown mitigation detection tool v0.31

Note that you should launch this script with root privileges to get accurate information.
We'll proceed but you might see permission denied errors.
To run it as root, you can try the following command: sudo ./Melt_Spec_Checker

Checking for vulnerabilities against running kernel Linux 4.15.3-1-ARCH #1 SMP PREEMPT Mon Feb 12 23:01:17 UTC 2018 x86_64
CPU is Intel(R) Core(TM) i5-4670K CPU @ 3.40GHz

CVE-2017-5753 [bounds check bypass] aka 'Spectre Variant 1'
* Checking whether we're safe according to the /sys interface:  YES  (kernel confirms that the mitigation is active)
> STATUS:  NOT VULNERABLE  (Mitigation: __user pointer sanitization)

CVE-2017-5715 [branch target injection] aka 'Spectre Variant 2'
* Checking whether we're safe according to the /sys interface:  YES  (kernel confirms that the mitigation is active)
> STATUS:  NOT VULNERABLE  (Mitigation: Full generic retpoline)

CVE-2017-5754 [rogue data cache load] aka 'Meltdown' aka 'Variant 3'
* Checking whether we're safe according to the /sys interface:  YES  (kernel confirms that the mitigation is active)
> STATUS:  NOT VULNERABLE  (Mitigation: PTI)

A false sense of security is worse than no security at all, see --disclaimer

Jetzt habt ihr euch aber ein paar Bier verdient.

Link:
https://9300.hostserv.eu/bibel/index.ph … 26_Spectre

Beitrag geändert von LinLin (15.02.2018 21:48:46)