Updates zu Wheezy (Spectre und Meltdown)

Alles rund um sicherheitsrelevante Fragen und Probleme.
Antworten
Benutzeravatar
gnude
Beiträge: 1567
Registriert: 14.09.2009 22:05:28
Kontaktdaten:

Updates zu Wheezy (Spectre und Meltdown)

Beitrag von gnude » 15.01.2018 11:27:19

Hallo
ich habe einen root Server im Internet der mit Wheezy läuft.
Wenn ich den nun aktuallisiere, sind für Wheezy (Debian 7) schon
updates für die beiden Sicherheitslücken verfügbar?
Bei Ubuntu ist ja soweit ich weiss bisher nur Meltdown gefixed.

Wie spiele ich die Updates am besten ein?

apt-get update
apt-get distupgrade


dann ein reboot?

Benutzeravatar
Tintom
Moderator
Beiträge: 3029
Registriert: 14.04.2006 20:55:15
Wohnort: Göttingen

Re: Updates zu Wheezy (Spectre und Meltdown)

Beitrag von Tintom » 15.01.2018 11:56:19

Ernsthafte Frage: Administrierst du den Server wirklich?

Benutzeravatar
gnude
Beiträge: 1567
Registriert: 14.09.2009 22:05:28
Kontaktdaten:

Re: Updates zu Wheezy (Spectre und Meltdown)

Beitrag von gnude » 15.01.2018 13:02:04

Naja
früher war aptitude die bevorzugte Wahl
bei Debian. Ich weiss nicht wie es aktuell ist. Und wie weit die Patches fortgeschritte sind.
Das Thema ist ja recht unübersichtlich.....

uname
Beiträge: 12041
Registriert: 03.06.2008 09:33:02

Re: Updates zu Wheezy (Spectre und Meltdown)

Beitrag von uname » 15.01.2018 13:13:58

Zur Frage apt-get vs. aptitude kann ich nicht viel beitragen. Wird wohl beides funktionieren.

Aber deine Update-Frage sollte eigentlich bei allen notwendigen Updates relevant sein. Warum hast du nicht viel früher gefragt? Ich gehe mal davon aus, dass es in der Vergangenheit notwendige Patches gab (Kernel, Apache2, PHP, ...), die für deinen Server weitaus wichtiger waren als Spectre und Meltdown.


Wo du aber dabei bist, solltest du dich mit dem LTS-Support-Ende von Wheezy beschäftigen, da das irgendwann dein eigentliches Problem wird:

https://wiki.debian.org/LTS

Sicherheitshalber installiere mal Debianapt-show-versions und schau ob deine Pakete wirklich noch supportet werden.
apt-show-versions |grep wheezy |more
apt-show-versions |grep -v wheezy |more
Jeweils durchklicken und Gedanken machen. Die zweite Liste ist interessanter und sollte eigentlich leer sein.

dufty2
Beiträge: 1709
Registriert: 22.12.2013 16:41:16

Re: Updates zu Wheezy (Spectre und Meltdown)

Beitrag von dufty2 » 15.01.2018 15:07:55

"Verfolgen" kann man es auf den sog. "security-tracker":
https://security-tracker.debian.org/tra ... kage/linux

CVE-2017-5754 (Meltdown): wheezy fixed
CVE-2017-5753 (Spectre Variant 1): wheezy vulnerable
CVE-2017-5715 (Spectre Variant 2): wheezy vulnerable

Benutzeravatar
gnude
Beiträge: 1567
Registriert: 14.09.2009 22:05:28
Kontaktdaten:

Re: Updates zu Wheezy (Spectre und Meltdown)

Beitrag von gnude » 17.01.2018 09:36:43

@uname
Vielen Dank für die Antwort. Ich bin seit eingier Zeit hauptsächlich auf Ubuntu Servern
unterwegs und hier ist apt die bevorzugte Paketverwaltung. Von älteren Debian Systemen
wie Lenny oder Squeeze weiss ich noch das man aptitude empfohlen hat und der Installer
auch mit aptitude das System erstellt hat. Später hat sich das wohl geändert. Aber so tief
bin ich nicht mehr drin.

Updates ist immer ein spannendes Thema und bei Debian wie auch Ubuntu sollten Fehlerupdates
ja keine Features ändern. Trotzdem habe ich erst gestern erlebt das die aktuellsten Ubuntu
Updates eine Reihe von selbstentwickelten Perl Scripten lahmgelegt haben. Wie immer das auch geht.

Wichtiger als Spectre und Meltdown? Ich bin mir nicht sicher, aber kann ich mir vorstellen. Denn ein
Programm muss ja zur Ausführung gebracht werden. Und bei einem Mailserver werden ja zunächst
keine Programme gestartet. Gleiches gilt für xmpp oder dlna. Sehe ich das richtig?
Die Informationspolitik ist hier sehr undurchsichtig.

Supportende ist in der Tat ein Problem. Allerdings bin ich für diesen Server nicht mehr
lange zuständig. Aber trotzdem ist das ein spanneder Punkt der auf die ToDo Liste kommt.

@dufty2
Danke. Kurz und knackig.

Benutzeravatar
MSfree
Beiträge: 10683
Registriert: 25.09.2007 19:59:30

Re: Updates zu Wheezy (Spectre und Meltdown)

Beitrag von MSfree » 17.01.2018 09:47:04

gnude hat geschrieben: ↑ zum Beitrag ↑
17.01.2018 09:36:43
@uname
Vielen Dank für die Antwort. Ich bin seit eingier Zeit hauptsächlich auf Ubuntu Servern
unterwegs und hier ist apt die bevorzugte Paketverwaltung. Von älteren Debian Systemen
wie Lenny oder Squeeze weiss ich noch das man aptitude empfohlen hat und der Installer
auch mit aptitude das System erstellt hat. Später hat sich das wohl geändert. Aber so tief
bin ich nicht mehr drin.
Es ist (zumindest bei Debian) völlig wurscht, ob man apt, apt-get oder aptitude verwendet, man kann die drei sogar sorglos mischen. Solche Kuriositäten

Code: Alles auswählen

apt update
apt-get upgrade
aptitude install ssh
Bringen Debian jedenfalls überhaupt nicht durcheinander.

aptitude ist halt als interaktives Programm, mit dem man Pakete suchen kann und sich auch eine Übersicht anzeigen lassen kann, recht bequem. Wenn ich nach etwas suche, nutze ich jedenfalls eher aptitude als apt-cache search. Andererseits nutze ich für updates/upgrades auch aus Gewohnheit apt-get.

scientific
Beiträge: 3020
Registriert: 03.11.2009 13:45:23
Lizenz eigener Beiträge: Artistic Lizenz
Kontaktdaten:

Re: Updates zu Wheezy (Spectre und Meltdown)

Beitrag von scientific » 17.01.2018 11:30:53

Ich bin jetzt verwirrt...
Ich hab auf meinem Laptop stretch + backports.

uname -a gibt mir:
Linux aldebaran 4.14.0-0.bpo.2-amd64 #1 SMP Debian 4.14.7-1~bpo9+1 (2017-12-22) x86_64 GNU/Linux
Ist mein Kernel jetzt anfällig oder nicht? Ich kann mit der Info auf Linux aldebaran 4.14.0-0.bpo.2-amd64 #1 ... GNU/Linux nix anfangen.

lg scientific
dann putze ich hier mal nur...

Eine Auswahl meiner Skripte und systemd-units.
https://github.com/xundeenergie

auch als Debian-Repo für Testing einbindbar:
deb http://debian.xundeenergie.at/xundeenergie testing main

Benutzeravatar
smutbert
Moderator
Beiträge: 8313
Registriert: 24.07.2011 13:27:39
Wohnort: Graz

Re: Updates zu Wheezy (Spectre und Meltdown)

Beitrag von smutbert » 17.01.2018 11:40:46

@scientific
Soweit ich das überblicke ist dein System damit für alles anfällig. Ein Microcode-Update für einige CPUs (Haswell und Broadwell habe ich ausprobiert) gegen Spektre 2, das alleine aber nichts hilft, ist in der unstable- und testing-Version von Debianintel-microcode (3.20180108.1) und die Page Table Isolation gegen Meltdown ist auch erst im Kernel von unstable angekommen (Debianlinux-image-4.14.0-3-amd64 4.14+89). In den backports sieht es damit afaik düster aus.

scientific
Beiträge: 3020
Registriert: 03.11.2009 13:45:23
Lizenz eigener Beiträge: Artistic Lizenz
Kontaktdaten:

Re: Updates zu Wheezy (Spectre und Meltdown)

Beitrag von scientific » 17.01.2018 13:34:01

Boa... das ist aber schon zach.

CentOS7 ist schon seit einigen Tagen abgedichtet... Mit stable hab ich da (wenn ich nicht den originalen Kernel von stable-backports 4.9.65-3+deb9u2 nehme) ein schönes offenes Loch... :-(

Den Kernel aus sid und den Microcode auf stable zu installieren, ist ja nicht besonders empfehlenswert...

lg scientific
dann putze ich hier mal nur...

Eine Auswahl meiner Skripte und systemd-units.
https://github.com/xundeenergie

auch als Debian-Repo für Testing einbindbar:
deb http://debian.xundeenergie.at/xundeenergie testing main

scientific
Beiträge: 3020
Registriert: 03.11.2009 13:45:23
Lizenz eigener Beiträge: Artistic Lizenz
Kontaktdaten:

Re: Updates zu Wheezy (Spectre und Meltdown)

Beitrag von scientific » 17.01.2018 14:08:59

@smutbert

Code: Alles auswählen

grave Fehler von intel-microcode (3.20170707.1~deb9u1 → 3.20180108.1) <Ausstehend>
b1 - #886998 - intel-microcode: regressions on Haswell, Broadwell (crashes/reboots) and Kaby Lake (sleep-to-ram)
klingt jetzt nicht so vertrauenswürdig... ich hab einen haswell-laptop...

Und

Code: Alles auswählen

 # dpkg -l|grep linux-image
ii  linux-image-4.13.0-trunk-amd64                              4.13.1-1~exp1                               amd64        Linux 4.13 for 64-bit PCs
ii  linux-image-4.14.0-0.bpo.2-amd64                            4.14.7-1~bpo9+1                             amd64        Linux 4.14 for 64-bit PCs
ii  linux-image-4.14.0-3-amd64                                  4.14.13-1                                   amd64        Linux 4.14 for 64-bit PCs
ist auch nicht die von dir genannte Version von 4.14.0.3-amd64 die ich soeben aus sid installierte....
dann putze ich hier mal nur...

Eine Auswahl meiner Skripte und systemd-units.
https://github.com/xundeenergie

auch als Debian-Repo für Testing einbindbar:
deb http://debian.xundeenergie.at/xundeenergie testing main

Benutzeravatar
smutbert
Moderator
Beiträge: 8313
Registriert: 24.07.2011 13:27:39
Wohnort: Graz

Re: Updates zu Wheezy (Spectre und Meltdown)

Beitrag von smutbert » 17.01.2018 14:25:32

Doch das

Code: Alles auswählen

ii  linux-image-4.14.0-3-amd64                                  4.14.13-1     
ist sie, wenn ich mich nicht komplett irre (alles ab 4.14.11?) sollte was meltdown angeht einigermaßen ok sein. Ansonsten stütze ich mich hauptsächlich auf das was ich hier im Forum lese und dieses Tool [1].

und ja es ist zach, aber was erwartet man sonst von einem "Security SuperGAU"?

Dass in CentOS schon alles abgedichtet ist, fällt mir nicht ganz leicht zu glauben:
Google ist nach dem was ich gelesen habe, bis jetzt der einzige der behauptet, dass Spectre überhaupt komplett abgedichtet werden kann.
Bei Variante 2 von Spectre benötigt die nicht-Google-Lösung/-Entschärfung ein Microcode-Update, das zuletzt noch nicht für alle CPUs existiert hat und das zumindest bei Broadwell- und Haswellsystemen schon für spontane Neustarts gesorgt hat [2]. Hat es nicht außerdem geheißen, dass für gegen Spektre alles neu kompiliert werden muss, nicht nur der Kernel?

[1] https://github.com/speed47/spectre-meltdown-checker/
[2] https://www.heise.de/newsticker/meldung ... 40326.html

Benutzeravatar
hikaru
Moderator
Beiträge: 13559
Registriert: 09.04.2008 12:48:59

Re: Updates zu Wheezy (Spectre und Meltdown)

Beitrag von hikaru » 17.01.2018 14:32:10

@scientific:
Die Backports kriegen im Gegensatz zu den regulären Quellen keine Sicherheitsupdates. In Debianlinux-image-4.9.0-5-amd64 aus Stretch ist Meltdown bereits gefixt. Zumindest Haswell selbst braucht auch keinen neueren Kernel, so dass du vermutlich auf den Backports-Kernel verzichten kannst.
Andererseits sind Kernel weitgehend austauschbar, so dass es als Übergangslösung kein Problem sein sollte, statt des Backports-Kernels Debianlinux-image-4.14.0-3-amd64 aus Sid auf deinem System zu fahren. (ohne Gewähr!)

PS: Dieser Stretch-relevante Teil der Diskussion würde vermutlich besser in den Hauptthread zu Meltdown/Spectre [1] passen, oder in einen eigenen Thread, statt hier in den Softwarearchäologen-Thread.


[1] viewtopic.php?f=37&t=168134

Benutzeravatar
smutbert
Moderator
Beiträge: 8313
Registriert: 24.07.2011 13:27:39
Wohnort: Graz

Re: Updates zu Wheezy (Spectre und Meltdown)

Beitrag von smutbert » 18.01.2018 09:50:35

Für diese Bemerkung missbrauche ich diesen Thread aber noch: Der neue Kernel ist in den backports (Debianlinux-image-4.14.0-0.bpo.3-amd64) angekommen.

Benutzeravatar
xcomm
Beiträge: 793
Registriert: 21.09.2003 05:12:01
Wohnort: Europe
Kontaktdaten:

Re: Updates zu Wheezy (Spectre und Meltdown)

Beitrag von xcomm » 26.01.2018 14:19:43

Hi Gemeinde,

nochmal zum Original-Post zurück.

"sind für Wheezy (Debian 7) schon updates ... verfügbar?"

Das ist kein gepatchter Kernel, oder?

Code: Alles auswählen

Package: linux-image-3.2.0-5-amd64
Source: linux
Version: 3.2.96-3
Wird es in wheezy LTS keinen gepatchten Kernel geben, weil das nur ab 4.xx geht?


Danke, xcomm

P.S::
backports (Debianlinux-image-4.14.0-0.bpo.3-amd64) scheint mir nicht wheezy-backports sondern höher.
https://packages.debian.org/wheezy-back ... mage-amd64
wheezy-backports linux-image-amd64 (3.16+63~bpo70+1)

Benutzeravatar
hikaru
Moderator
Beiträge: 13559
Registriert: 09.04.2008 12:48:59

Re: Updates zu Wheezy (Spectre und Meltdown)

Beitrag von hikaru » 26.01.2018 14:34:41

Aus dem Changelog für Debianlinux-image-3.2.0-5-amd64
linux (3.2.96-3) wheezy-security; urgency=high

* [amd64] Implement Kernel Page Table Isolation (KPTI, aka KAISER)
(CVE-2017-5754)

* Bump ABI to 5 and apply deferred stable changes:
- Input: i8042 - break load dependency between atkbd/psmouse and i8042
- Input: i8042 - set up shared ps2_cmd_mutex for AUX ports
- ACPICA: Utilities: split IO address types from data type models.
- ALSA: Enable CONFIG_ZONE_DMA for smaller PCI DMA masks
- libata: Align ata_device's id on a cacheline
- libata: Ignore spurious PHY event on LPM policy change
- net/ipv6: add sysctl option accept_ra_min_hop_limit
* USB: core: prevent malicious bNumInterfaces overflow (CVE-2017-17558)
* [x86] KVM: Fix stack-out-of-bounds read in write_mmio (CVE-2017-17741)
* crypto: salsa20 - fix blkcipher_walk API usage (CVE-2017-17805)
* crypto: hmac - require that the underlying hash algorithm is unkeyed
(CVE-2017-17806)
* KEYS: add missing permission check for request_key() destination
(CVE-2017-17807)

-- Ben Hutchings <ben@decadent.org.uk> Sat, 06 Jan 2018 22:07:04 +0000
Da ist also für Meltdown schon ein Fix drin.
Der Wheezy-Backports-Kernel hat seit Dezember 2014 keine Updates mehr gesehen.

Benutzeravatar
xcomm
Beiträge: 793
Registriert: 21.09.2003 05:12:01
Wohnort: Europe
Kontaktdaten:

Re: Updates zu Wheezy (Spectre und Meltdown)

Beitrag von xcomm » 09.02.2018 13:22:17

Danke nochmal !

vi `dpkg -L linux-image-3.2.0-5-amd64 | grep change`

Antworten