So jetzt hab ich das erstmal auskommentiert.
Aber verstehen tue ich das immer noch nicht richtig:
Code: Alles auswählen
dpkg -l intel-microcode
ii intel-microcode 3.20200609.2 amd64 Processor microcode firmware for Intel CPUs
Soweit so gut
Es müsste doch irgendwo stehen, welche Version genutzt wird
die Zeile sagt darüber ja wohl nichts aus:
Code: Alles auswählen
# dmesg|grep -i microcode -A2
[ 0.000000] microcode: microcode updated early to revision 0xd6, date = 2020-04-23
[ 0.000000] Linux version 5.6.0-2-amd64 (debian-kernel@lists.debian.org) (gcc version 9.3.0 (Debian 9.3.0-13)) #1 SMP Debian 5.6.14-1 (2020-05-23)
[ 0.000000] Command line: BOOT_IMAGE=/boot/vmlinuz-5.6.0-2-amd64 root=UUID=051b95a4-f99d-4808-9237-5a7d0b976423 ro quiet
Ich verstehe da diese Datumsangabe überhaupt nicht.
Der Package-Tracker gibt an:
Code: Alles auswählen
[2020-06-13] intel-microcode 3.20200609.2 MIGRATED to testing (Debian testing watch)
[2020-05-27] intel-microcode 3.20200520.1 MIGRATED to testing (Debian testing watch)
[2020-05-15] intel-microcode 3.20200508.1 MIGRATED to testing (Debian testing watch)
Was bedeutet denn nun
updated early to revision 0xd6, date = 2020-04-23
Kann ja wohl nicht mit der Version von heute übereinstimmen.
Mit viel Fantasie kann man das aus der changelog erdenken, da gibt es ja wenigstens das Datum ein paar mal:
Code: Alles auswählen
$ zcat /usr/share/doc/intel-microcode/changelog.gz
2020-06-09:
* Implements mitigation for CVE-2020-0543 Special Register Buffer Data
Sampling (SRBDS), aka INTEL-SA-00320
* Known to fix the regression introduced in release 2019-11-12 (sig
0x50564, rev. 0x2000065), which would cause several systems with
Skylake Xeon, Skylake HEDT processors to hang on warm reboots
* Updated Microcodes:
sig 0x000306c3, pf_mask 0x32, 2019-11-12, rev 0x0028, size 23552
sig 0x000306d4, pf_mask 0xc0, 2019-11-12, rev 0x002f, size 19456
sig 0x00040651, pf_mask 0x72, 2019-11-12, rev 0x0026, size 22528
sig 0x00040661, pf_mask 0x32, 2019-11-12, rev 0x001c, size 25600
sig 0x00040671, pf_mask 0x22, 2019-11-12, rev 0x0022, size 14336
sig 0x00050653, pf_mask 0x97, 2020-04-24, rev 0x1000157, size 32768
sig 0x00050654, pf_mask 0xb7, 2020-04-24, rev 0x2006906, size 34816
sig 0x00050656, pf_mask 0xbf, 2020-04-23, rev 0x4002f01, size 52224
sig 0x00050657, pf_mask 0xbf, 2020-04-23, rev 0x5002f01, size 52224
sig 0x000506e3, pf_mask 0x36, 2020-04-27, rev 0x00dc, size 104448
sig 0x000806e9, pf_mask 0x10, 2020-04-27, rev 0x00d6, size 103424
sig 0x000806e9, pf_mask 0xc0, 2020-04-27, rev 0x00d6, size 103424
sig 0x000806ea, pf_mask 0xc0, 2020-04-27, rev 0x00d6, size 103424
sig 0x000806eb, pf_mask 0xd0, 2020-04-27, rev 0x00d6, size 103424
sig 0x000806ec, pf_mask 0x94, 2020-04-23, rev 0x00d6, size 103424
sig 0x000906e9, pf_mask 0x2a, 2020-04-23, rev 0x00d6, size 103424
sig 0x000906ea, pf_mask 0x22, 2020-04-27, rev 0x00d6, size 102400
sig 0x000906eb, pf_mask 0x02, 2020-04-23, rev 0x00d6, size 103424
sig 0x000906ec, pf_mask 0x22, 2020-04-27, rev 0x00d6, size 102400
sig 0x000906ed, pf_mask 0x22, 2020-04-23, rev 0x00d6, size 103424
* Updated Microcodes (later reported to cause regressions):
sig 0x000406e3, pf_mask 0xc0, 2020-04-27, rev 0x00dc, size 104448
Der Changelog aud der Webseite sagt was anderes;
https://launchpad.net/debian/+source/in ... 20200609.2
Wie auch immer, der spectre-meltdown-checker sagt:
Code: Alles auswählen
# ./spectre-meltdown-checker.sh
Spectre and Meltdown mitigation detection tool v0.43
Checking for vulnerabilities on current system
Kernel is Linux 5.6.0-2-amd64 #1 SMP Debian 5.6.14-1 (2020-05-23) x86_64
CPU is Intel(R) Core(TM) i9-9900 CPU @ 3.10GHz
[.......]
> SUMMARY: CVE-2017-5753:OK CVE-2017-5715:OK CVE-2017-5754:OK
CVE-2018-3640:OK CVE-2018-3639:OK CVE-2018-3615:OK CVE-2018-3620:OK
CVE-2018-3646:OK CVE-2018-12126:OK CVE-2018-12130:OK
CVE-2018-12127:OK CVE-2019-11091:OK CVE-2019-11135:OK
CVE-2018-12207:OK CVE-2020-0543:OK
Ich will es dabei erstmal bewenden lassen. Eine Frage habe ich aber noch:
https://launchpad.net/debian/+source/in ... 20200609.2 sagt:
* ucode-blacklist: blacklist models 0x8e and 0x9e from late-loading,
just in case. Note that Debian does not do late loading by itself.
Refer to LP#1883002 for the report, 0x806ec hangs upon late load.
Wie muss man sich das Vorstellen (deshalb ist das ja wohl nur geblacklistetd)?
Note that Debian does not do late loading by itself.