Hardware-Sicherheitslücken: Meltdown und Spectre: ehem. Intel-Bug

Alles rund um sicherheitsrelevante Fragen und Probleme.
Benutzeravatar
Par@noid
Beiträge: 244
Registriert: 09.11.2005 13:33:35
Lizenz eigener Beiträge: GNU Free Documentation License
Wohnort: Schwarzwald

Re: Hardware-Sicherheitslücken: Meltdown und Spectre: ehem. Intel-Bug

Beitrag von Par@noid » 14.02.2018 23:34:47

dufty2 hat geschrieben: ↑ zum Beitrag ↑
14.02.2018 16:27:14
Par@noid hat geschrieben: ↑ zum Beitrag ↑
14.02.2018 13:51:46
* Kernel compiled with retpoline option: YES
* Kernel compiled with a retpoline-aware compiler: YES (kernel reports full retpoline compilation)
* Retpoline enabled: NO
> STATUS: NOT VULNERABLE (Mitigation: Full generic retpoline)
Schaut irgendwie komisch aus: Not enabled aber dennoch sicher ;)

gcc-7.3 ist jetzt in buster (testing): Es geht voran :)

Abwarten und Kaffee trinken Bild
Man hilft den Menschen nicht, wenn man für sie tut, was sie selbst tun können .....

Debian GNU/Linux Bookworm/sid 64-bit| GNOME Version 43 :THX:

NAB
Beiträge: 5501
Registriert: 06.03.2011 16:02:23
Lizenz eigener Beiträge: MIT Lizenz

Re: Hardware-Sicherheitslücken: Meltdown und Spectre: ehem. Intel-Bug

Beitrag von NAB » 16.02.2018 03:39:54

Aha ... hab ich doch richtig vermutet:
https://www.paulkocher.com/doc/Microsof ... ation.html
Microsoft versucht, seinem Compiler LFENCE beizubringen ... und hat dann testweise das gesamte Windows neu durchkompiliert, also nicht nur den Kernel.

Solange nicht ganz Debian neu durchkompiliert ist, ist man also auch nicht gegen Spectre geschützt.

Der Herr Kocher orakelt da was von 60% Geschwindigkeitseinbuße bei konsequentem Einsatz von LFENCE ... ich bin ja mal gespannt ...

Heise fasst das hier zusammen:
https://www.heise.de/security/meldung/M ... 70815.html

Und hier:
https://www.theregister.co.uk/2018/02/1 ... _variants/
experimentieren sie mit neuen Angriffsszenarien. Das Interessante findet sich ganz unten im "Updated". Intel hat anscheinend schon eine Hardwarelösung entwickelt. Allerdings nennen die die auch nur "mitigation" und nicht "fix".
Never change a broken system. It could be worse afterwards.

"No computer system can be absolutely secure." Intel Document Number: 336983-001

dufty2
Beiträge: 1709
Registriert: 22.12.2013 16:41:16

Re: Hardware-Sicherheitslücken: Meltdown und Spectre: ehem. Intel-Bug

Beitrag von dufty2 » 16.02.2018 04:28:46

In sid ist derzeit gerade die 4.14.17-1 am köcheln.
Warum die .17 und nicht .18 (oder .19)? Muss man nicht verstehen :(

Bzgl. bisherige Performance-einbußen hier ein Artikeln von Brendan Gregg (of Netflix-fame):
http://www.brendangregg.com/blog/2018-0 ... mance.html
Zusammenfassung: Es hält sich - bisher - in Grenzen :)

Ich glaube nicht, dass es - rein sicherheitstechnisch - nötig sein wird, _alle_ Pakete neu zu kompilieren.
Könnte mir aber gut vorstellen, dass es zukünftig - rein packetverwaltungstechnisch - eine Standardeinstellung beim Paketbauen wird.

NAB
Beiträge: 5501
Registriert: 06.03.2011 16:02:23
Lizenz eigener Beiträge: MIT Lizenz

Re: Hardware-Sicherheitslücken: Meltdown und Spectre: ehem. Intel-Bug

Beitrag von NAB » 16.02.2018 05:15:10

Brendan Gregg beschäftigt sich einzig mit Meltdown. Das habe ich gedanklich schon abgehakt.

Genau das fehlt mir ... eine profunde Analyse, wie sich Spectre denn nun in freier Wildbahn ausnutzen lässt. Der Paul Kocher schreibt da auch nur wieder "operating systems, device drivers, web APIs, database systems, and almost anything else that receives untrusted input and may run on the same computer as untrusted code." seien angreifbar (falls sie geeignete conditional branches verwenden). An der Pauschalität dieser Aussage habe ich mal wieder meine Zweifel. Andererseits ... er ist der Fachmann.

Entweder übersehe ich da was ... oder Debian wird große Schwierigkeiten haben, Pakete in "ist angreifbar" und "ist nicht angreifbar" zu sortieren.

Davon abgesehen bräuchten wir aber erst mal einen Compiler, der die Programme mehr oder weniger intelligent mit LFENCE pflastert. Ich glaub, den von Microsoft können wir nicht nehmen ;)
Never change a broken system. It could be worse afterwards.

"No computer system can be absolutely secure." Intel Document Number: 336983-001

clue
Beiträge: 943
Registriert: 08.07.2007 17:36:57

Re: Hardware-Sicherheitslücken: Meltdown und Spectre: ehem. Intel-Bug

Beitrag von clue » 16.02.2018 11:03:49

https://www.heise.de/security/meldung/M ... 70686.html

und

https://www.heise.de/security/meldung/M ... 70815.html

Es sieht wohl tatsächlich danach aus, als ob wir verloren haben.

Daher finde ich diesen Kommentar auch ziemlich passend:

https://www.heise.de/newsticker/meldung ... 70946.html

Aber ja, ich weiß, unsere US-Amerikanische Abhängigkeit wird sich niemals ändern, weil das genau so gewollt ist. Das einzige worüber die sich ärgern ist doch, dass deren shit jetzt öffentlich geworden ist.
Im folgenden Artikel ist klar ersichtlich, weshalb die Chinesen nicht mehr mitspielen dürfen, dafür aber natürlich auf der ganzen Welt die total vertrauenswürdige US-Amerikanische Hardware verwendet werden soll. Der Gedanke ist doch: Wenn die Chinesen das *könnten*, dann machen das die Amis gemäß Snowden wohl schon die ganze Zeit, nicht wahr?:

https://www.heise.de/newsticker/meldung ... 70853.html

Nachdem ich das gelesen habe, ist mir nur noch zum k*tzen. Wer also glaubt, es würde sich auch nur irgendetwas ändern, nun ja ...
Offenbarung 13 erfüllt sich gerade vor unseren Augen, genießen wir also die letzten Jahre unserer Scheinfreiheit

dufty2
Beiträge: 1709
Registriert: 22.12.2013 16:41:16

Re: Hardware-Sicherheitslücken: Meltdown und Spectre: ehem. Intel-Bug

Beitrag von dufty2 » 17.02.2018 06:56:29

dufty2 hat geschrieben: ↑ zum Beitrag ↑
16.02.2018 04:28:46
In sid ist derzeit gerade die 4.14.17-1 am köcheln.
So, haben wir dann einen Unterschied zwischen testing (buster) und unstable (sid)? :

Code: Alles auswählen

# diff t u
1c1
< [    0.000000] Linux version 4.14.0-3-amd64 (debian-kernel@lists.debian.org) (gcc version 7.2.0 (Debian 7.2.0-19)) #1 SMP Debian 4.14.13-1 (2018-01-14)
---
> [    0.000000] Linux version 4.14.0-3-amd64 (debian-kernel@lists.debian.org) (gcc version 7.3.0 (Debian 7.3.0-3)) #1 SMP Debian 4.14.17-1 (2018-02-14)
Jawohl, es geht voran:

Code: Alles auswählen

# diff before after
4c4
< Kernel is Linux 4.14.0-3-amd64 #1 SMP Debian 4.14.13-1 (2018-01-14) x86_64
---
> Kernel is Linux 4.14.0-3-amd64 #1 SMP Debian 4.14.17-1 (2018-02-14) x86_64
28a29
> * Mitigated according to the /sys interface:  NO  (kernel confirms your system is vulnerable)
33a35
> * Mitigated according to the /sys interface:  YES  (kernel confirms that the mitigation is active)
42c44
<   * Kernel compiled with a retpoline-aware compiler:  UNKNOWN 
---
>   * Kernel compiled with a retpoline-aware compiler:  YES  (kernel reports full retpoline compilation)
45a48
> * Mitigated according to the /sys interface:  YES  (kernel confirms that the mitigation is active)

Benutzeravatar
Par@noid
Beiträge: 244
Registriert: 09.11.2005 13:33:35
Lizenz eigener Beiträge: GNU Free Documentation License
Wohnort: Schwarzwald

Re: Hardware-Sicherheitslücken: Meltdown und Spectre: ehem. Intel-Bug

Beitrag von Par@noid » 17.02.2018 13:56:39

Info linux kernel 4.14.17-1 sid (unstable)
Spectre and Meltdown mitigation detection tool v0.34

Checking for vulnerabilities on current system
Kernel is Linux 4.14.0-3-amd64 #1 SMP Debian 4.14.17-1 (2018-02-14) x86_64
CPU is Intel(R) Core(TM) i5-7600K CPU @ 3.80GHz

Hardware check
* Hardware support (CPU microcode) for mitigation techniques
* Indirect Branch Restricted Speculation (IBRS)
* SPEC_CTRL MSR is available: NO
* CPU indicates IBRS capability: NO
* Indirect Branch Prediction Barrier (IBPB)
* PRED_CMD MSR is available: NO
* CPU indicates IBPB capability: NO
* Single Thread Indirect Branch Predictors (STIBP)
* SPEC_CTRL MSR is available: NO
* CPU indicates STIBP capability: NO
* Enhanced IBRS (IBRS_ALL)
* CPU indicates ARCH_CAPABILITIES MSR availability: NO
* ARCH_CAPABILITIES MSR advertises IBRS_ALL capability: NO
* CPU explicitly indicates not being vulnerable to Meltdown (RDCL_NO): NO
* CPU microcode is known to cause stability problems: NO (model 158 stepping 9 ucode 0x5e)
* CPU vulnerability to the three speculative execution attacks variants
* Vulnerable to Variant 1: YES
* Vulnerable to Variant 2: YES
* Vulnerable to Variant 3: YES

CVE-2017-5753 [bounds check bypass] aka 'Spectre Variant 1'
* Mitigated according to the /sys interface: NO (kernel confirms your system is vulnerable)
* Kernel has array_index_mask_nospec: NO
* Checking count of LFENCE instructions following a jump in kernel: NO (only 2 jump-then-lfence instructions found, should be >= 30 (heuristic))
> STATUS: VULNERABLE (Kernel source needs to be patched to mitigate the vulnerability)

CVE-2017-5715 [branch target injection] aka 'Spectre Variant 2'
* Mitigated according to the /sys interface: YES (kernel confirms that the mitigation is active)
* Mitigation 1
* Kernel is compiled with IBRS/IBPB support: NO
* Currently enabled features
* IBRS enabled for Kernel space: NO
* IBRS enabled for User space: NO
* IBPB enabled: NO
* Mitigation 2
* Kernel compiled with retpoline option: YES
* Kernel compiled with a retpoline-aware compiler: YES (kernel reports full retpoline compilation)
* Retpoline enabled: YES
> STATUS: NOT VULNERABLE (Mitigation: Full generic retpoline)

CVE-2017-5754 [rogue data cache load] aka 'Meltdown' aka 'Variant 3'
* Mitigated according to the /sys interface: YES (kernel confirms that the mitigation is active)
* Kernel supports Page Table Isolation (PTI): YES
* PTI enabled and active: YES
* Running as a Xen PV DomU: NO
> STATUS: NOT VULNERABLE (Mitigation: PTI)

A false sense of security is worse than no security at all, see --disclaimer
MfG Par@noid
Man hilft den Menschen nicht, wenn man für sie tut, was sie selbst tun können .....

Debian GNU/Linux Bookworm/sid 64-bit| GNOME Version 43 :THX:

dufty2
Beiträge: 1709
Registriert: 22.12.2013 16:41:16

Re: Hardware-Sicherheitslücken: Meltdown und Spectre: ehem. Intel-Bug

Beitrag von dufty2 » 19.02.2018 04:50:25

Info linux kernel 4.15.4-1 sid (unstable)

Code: Alles auswählen

# ./spectre-meltdown-checker.sh
Spectre and Meltdown mitigation detection tool v0.35

Checking for vulnerabilities on current system
Kernel is Linux 4.15.0-1-amd64 #1 SMP Debian 4.15.4-1 (2018-02-18) x86_64
CPU is Intel(R) Atom(TM) CPU N450   @ 1.66GHz

Hardware check
* Hardware support (CPU microcode) for mitigation techniques
  * Indirect Branch Restricted Speculation (IBRS)
    * SPEC_CTRL MSR is available:  NO 
    * CPU indicates IBRS capability:  NO 
  * Indirect Branch Prediction Barrier (IBPB)
    * PRED_CMD MSR is available:  NO 
    * CPU indicates IBPB capability:  NO 
  * Single Thread Indirect Branch Predictors (STIBP)
    * SPEC_CTRL MSR is available:  NO 
    * CPU indicates STIBP capability:  NO 
  * Enhanced IBRS (IBRS_ALL)
    * CPU indicates ARCH_CAPABILITIES MSR availability:  NO 
    * ARCH_CAPABILITIES MSR advertises IBRS_ALL capability:  NO 
  * CPU explicitly indicates not being vulnerable to Meltdown (RDCL_NO):  NO 
  * CPU microcode is known to cause stability problems:  NO  (model 28 stepping 10 ucode 0x107)
* CPU vulnerability to the three speculative execution attacks variants
  * Vulnerable to Variant 1:  NO 
  * Vulnerable to Variant 2:  NO 
  * Vulnerable to Variant 3:  NO 

CVE-2017-5753 [bounds check bypass] aka 'Spectre Variant 1'
* Mitigated according to the /sys interface:  YES  (kernel confirms that your CPU is unaffected)
* Kernel has array_index_mask_nospec:  YES  (1 occurence(s) found of 64 bits array_index_mask_nospec())
* Kernel has the Red Hat/Ubuntu patch:  NO 
> STATUS:  NOT VULNERABLE  (your CPU vendor reported your CPU model as not vulnerable)

CVE-2017-5715 [branch target injection] aka 'Spectre Variant 2'
* Mitigated according to the /sys interface:  YES  (kernel confirms that your CPU is unaffected)
* Mitigation 1
  * Kernel is compiled with IBRS/IBPB support:  NO 
  * Currently enabled features
    * IBRS enabled for Kernel space:  NO 
    * IBRS enabled for User space:  NO 
    * IBPB enabled:  NO 
* Mitigation 2
  * Kernel compiled with retpoline option:  YES 
  * Kernel compiled with a retpoline-aware compiler:  UNKNOWN 
> STATUS:  NOT VULNERABLE  (your CPU vendor reported your CPU model as not vulnerable)

CVE-2017-5754 [rogue data cache load] aka 'Meltdown' aka 'Variant 3'
* Mitigated according to the /sys interface:  YES  (kernel confirms that your CPU is unaffected)
* Kernel supports Page Table Isolation (PTI):  YES 
* PTI enabled and active:  NO 
* Running as a Xen PV DomU:  NO 
> STATUS:  NOT VULNERABLE  (your CPU vendor reported your CPU model as not vulnerable)

A false sense of security is worse than no security at all, see --disclaimer
#
CVE-2017-5753 ist immer noch offen trotz "Latest Stable Kernel":
https://security-tracker.debian.org/tra ... -2017-5753

4.16-rc2 (heut' nacht veröffentlich) hat weitere Patches (noch nicht in Greg's stable),
vgl. auch https://www.phoronix.com/scan.php?page= ... e-For-4.16

PTI wurde de-aktiviert, da Atom :)

DIeses spectre-meltdown-checker.sh muss man auch dauernd updaten, jetzt in Version 0.35 ;)

Benutzeravatar
Par@noid
Beiträge: 244
Registriert: 09.11.2005 13:33:35
Lizenz eigener Beiträge: GNU Free Documentation License
Wohnort: Schwarzwald

Re: Hardware-Sicherheitslücken: Meltdown und Spectre: ehem. Intel-Bug

Beitrag von Par@noid » 19.02.2018 12:02:29

Info linux kernel 4.15.4-1 (2018-02-18) x86_64 GNU/Linux sid (unstable)
Spectre and Meltdown mitigation detection tool v0.35

Checking for vulnerabilities on current system
Kernel is Linux 4.15.0-1-amd64 #1 SMP Debian 4.15.4-1 (2018-02-18) x86_64
CPU is Intel(R) Core(TM) i5-7600K CPU @ 3.80GHz

Hardware check
* Hardware support (CPU microcode) for mitigation techniques
* Indirect Branch Restricted Speculation (IBRS)
* SPEC_CTRL MSR is available: NO
* CPU indicates IBRS capability: NO
* Indirect Branch Prediction Barrier (IBPB)
* PRED_CMD MSR is available: NO
* CPU indicates IBPB capability: NO
* Single Thread Indirect Branch Predictors (STIBP)
* SPEC_CTRL MSR is available: NO
* CPU indicates STIBP capability: NO
* Enhanced IBRS (IBRS_ALL)
* CPU indicates ARCH_CAPABILITIES MSR availability: NO
* ARCH_CAPABILITIES MSR advertises IBRS_ALL capability: NO
* CPU explicitly indicates not being vulnerable to Meltdown (RDCL_NO): NO
* CPU microcode is known to cause stability problems: NO (model 158 stepping 9 ucode 0x5e)
* CPU vulnerability to the three speculative execution attacks variants
* Vulnerable to Variant 1: YES
* Vulnerable to Variant 2: YES
* Vulnerable to Variant 3: YES

CVE-2017-5753 [bounds check bypass] aka 'Spectre Variant 1'
* Mitigated according to the /sys interface: YES (kernel confirms that the mitigation is active)
* Kernel has array_index_mask_nospec: YES (1 occurence(s) found of 64 bits array_index_mask_nospec())
* Kernel has the Red Hat/Ubuntu patch: NO
> STATUS: NOT VULNERABLE (Mitigation: __user pointer sanitization)

CVE-2017-5715 [branch target injection] aka 'Spectre Variant 2'
* Mitigated according to the /sys interface: YES (kernel confirms that the mitigation is active)
* Mitigation 1
* Kernel is compiled with IBRS/IBPB support: NO
* Currently enabled features
* IBRS enabled for Kernel space: NO
* IBRS enabled for User space: NO
* IBPB enabled: NO
* Mitigation 2
* Kernel compiled with retpoline option: YES
* Kernel compiled with a retpoline-aware compiler: YES (kernel reports full retpoline compilation)
> STATUS: NOT VULNERABLE (Mitigation: Full generic retpoline)

CVE-2017-5754 [rogue data cache load] aka 'Meltdown' aka 'Variant 3'
* Mitigated according to the /sys interface: YES (kernel confirms that the mitigation is active)
* Kernel supports Page Table Isolation (PTI): YES
* PTI enabled and active: YES
* Running as a Xen PV DomU: NO
> STATUS: NOT VULNERABLE (Mitigation: PTI)

A false sense of security is worse than no security at all, see --disclaimer
MfG Par@noid :THX:
Man hilft den Menschen nicht, wenn man für sie tut, was sie selbst tun können .....

Debian GNU/Linux Bookworm/sid 64-bit| GNOME Version 43 :THX:

Benutzeravatar
Par@noid
Beiträge: 244
Registriert: 09.11.2005 13:33:35
Lizenz eigener Beiträge: GNU Free Documentation License
Wohnort: Schwarzwald

Re: Hardware-Sicherheitslücken: Meltdown und Spectre: ehem. Intel-Bug

Beitrag von Par@noid » 19.02.2018 14:22:12

Info zu heutigen selbstgebackenen kernel 4.16.0-rc2 #1 SMP Mon Feb 19 12:53:15 CET 2018 x86_64
Spectre and Meltdown mitigation detection tool v0.35

Checking for vulnerabilities on current system
Kernel is Linux 4.16.0-rc2 #1 SMP Mon Feb 19 12:53:15 CET 2018 x86_64
CPU is Intel(R) Core(TM) i5-7600K CPU @ 3.80GHz

Hardware check
* Hardware support (CPU microcode) for mitigation techniques
* Indirect Branch Restricted Speculation (IBRS)
* SPEC_CTRL MSR is available: NO
* CPU indicates IBRS capability: NO
* Indirect Branch Prediction Barrier (IBPB)
* PRED_CMD MSR is available: NO
* CPU indicates IBPB capability: NO
* Single Thread Indirect Branch Predictors (STIBP)
* SPEC_CTRL MSR is available: NO
* CPU indicates STIBP capability: NO
* Enhanced IBRS (IBRS_ALL)
* CPU indicates ARCH_CAPABILITIES MSR availability: NO
* ARCH_CAPABILITIES MSR advertises IBRS_ALL capability: NO
* CPU explicitly indicates not being vulnerable to Meltdown (RDCL_NO): NO
* CPU microcode is known to cause stability problems: NO (model 158 stepping 9 ucode 0x5e)
* CPU vulnerability to the three speculative execution attacks variants
* Vulnerable to Variant 1: YES
* Vulnerable to Variant 2: YES
* Vulnerable to Variant 3: YES

CVE-2017-5753 [bounds check bypass] aka 'Spectre Variant 1'
* Mitigated according to the /sys interface: YES (kernel confirms that the mitigation is active)
* Kernel has array_index_mask_nospec: YES (1 occurence(s) found of 64 bits array_index_mask_nospec())
* Kernel has the Red Hat/Ubuntu patch: NO
> STATUS: NOT VULNERABLE (Mitigation: __user pointer sanitization)

CVE-2017-5715 [branch target injection] aka 'Spectre Variant 2'
* Mitigated according to the /sys interface: YES (kernel confirms that the mitigation is active)
* Mitigation 1
* Kernel is compiled with IBRS/IBPB support: NO
* Currently enabled features
* IBRS enabled for Kernel space: NO
* IBRS enabled for User space: NO
* IBPB enabled: NO
* Mitigation 2
* Kernel compiled with retpoline option: YES
* Kernel compiled with a retpoline-aware compiler: YES (kernel reports full retpoline compilation)
> STATUS: NOT VULNERABLE (Mitigation: Full generic retpoline)

CVE-2017-5754 [rogue data cache load] aka 'Meltdown' aka 'Variant 3'
* Mitigated according to the /sys interface: YES (kernel confirms that the mitigation is active)
* Kernel supports Page Table Isolation (PTI): YES
* PTI enabled and active: YES
* Running as a Xen PV DomU: NO
> STATUS: NOT VULNERABLE (Mitigation: PTI)

A false sense of security is worse than no security at all, see --disclaimer

MfG Par@noid
Man hilft den Menschen nicht, wenn man für sie tut, was sie selbst tun können .....

Debian GNU/Linux Bookworm/sid 64-bit| GNOME Version 43 :THX:

dufty2
Beiträge: 1709
Registriert: 22.12.2013 16:41:16

Re: Hardware-Sicherheitslücken: Meltdown und Spectre: ehem. Intel-Bug

Beitrag von dufty2 » 19.02.2018 16:52:11

Par@noid hat geschrieben: ↑ zum Beitrag ↑
19.02.2018 14:22:12
Info zu heutigen selbstgebackenen kernel 4.16.0-rc2 #1 SMP Mon Feb 19 12:53:15 CET 2018 x86_64
Wenn man einen Diff machen zwischer dieser Ausgabe und Deiner vorherigen, dann sind sie gleich bis auf die eine Zeile mit der Kernelbezeichnung.
Danke, dass das script den Unterschied zwischen 4.15.4 und 4.16.0-rc2 (derzeit) nicht erkennt.

Dein "Thumbs Up" im vorherigen Post in Ehren, denke aber, das Thema wird uns noch länger beschäftigen ...

Benutzeravatar
ingo2
Beiträge: 1124
Registriert: 06.12.2007 18:25:36
Lizenz eigener Beiträge: GNU Free Documentation License
Wohnort: Wo der gute Riesling wächst

Re: Hardware-Sicherheitslücken: Meltdown und Spectre: ehem. Intel-Bug

Beitrag von ingo2 » 19.02.2018 16:59:12

towo hat geschrieben: ↑ zum Beitrag ↑
09.02.2018 22:15:59
Spectre zu patchen wird halt schwierig für Stable, weil der Kernel mit gcc-7.3 als Minimum benötigt wird.
Initialer Spectre_v1 Schutz ist im Moment nur in 4.15.2 und 4.14.18 verfügbar.
Also, gestern bekam Jessie einen neuen gcc 4.9 und das changelog dazu sagte "mit backport der retpoline-patches". Dann sollte der Backport für Stretch auch bald erscheine.

NAB
Beiträge: 5501
Registriert: 06.03.2011 16:02:23
Lizenz eigener Beiträge: MIT Lizenz

Re: Hardware-Sicherheitslücken: Meltdown und Spectre: ehem. Intel-Bug

Beitrag von NAB » 23.02.2018 02:58:02

Jupp ... mit dem neusten Stretch Kernel 4.9.0-6 (4.9.82-1+deb9u2) steht bei mir auch überall "Not Vulnerable".

Interessanter Weise auch bei einem Kaby Lake bei "Spectre Variant 2", genau wie bei Par@noid, wie auch immer die das hinbekommen haben ...
Never change a broken system. It could be worse afterwards.

"No computer system can be absolutely secure." Intel Document Number: 336983-001

Benutzeravatar
ingo2
Beiträge: 1124
Registriert: 06.12.2007 18:25:36
Lizenz eigener Beiträge: GNU Free Documentation License
Wohnort: Wo der gute Riesling wächst

Re: Hardware-Sicherheitslücken: Meltdown und Spectre: ehem. Intel-Bug

Beitrag von ingo2 » 23.02.2018 11:43:35

So, jetzt fehlt in Stretch wohl noch etwas - trotz neuem Kernel und Compiler:
* Mitigation 2
* Kernel compiled with retpoline option: YES
* Kernel compiled with a retpoline-aware compiler: YES (kernel reports full retpoline compilation)
* Retpoline enabled: NO
> STATUS: NOT VULNERABLE (Mitigation: Full generic retpoline)
ist retpoline nicht aktiv.
Weiß da Jemand genaueres, muß man da dem Kernel einen Boot-Parameter übergeben, oder ist das dem fehlenden Microcode-Update (Ivy-Bridge i5-3570K) zu verdanken, oder ist das ein Bug im spectre-meltdown-checker v0.34?

Nice
Beiträge: 416
Registriert: 14.06.2017 19:36:20

Re: Hardware-Sicherheitslücken: Meltdown und Spectre: ehem. Intel-Bug

Beitrag von Nice » 23.02.2018 12:34:16

Mit dem neuen Kernel sieht es bei mir auch ganz gut aus.
Lediglich die Meldung
CVE-2017-5754 [rogue data cache load] aka 'Meltdown' aka 'Variant 3'
* Mitigated according to the /sys interface: NO (kernel confirms your system is vulnerable)
* Kernel supports Page Table Isolation (PTI): NO
* PTI enabled and active: NO
* Running as a Xen PV DomU: NO
> STATUS: VULNERABLE (PTI is needed to mitigate the vulnerability)
verstehe ich nicht recht, beziehungsweise mir ist nicht klar, ob und was ich wie machen soll.
Der Thread https://github.com/speed47/spectre-melt ... /issues/56 brachte mich auch nicht weiter.

dufty2
Beiträge: 1709
Registriert: 22.12.2013 16:41:16

Re: Hardware-Sicherheitslücken: Meltdown und Spectre: ehem. Intel-Bug

Beitrag von dufty2 » 23.02.2018 18:58:00

Das Script hat ja inzwischen die Version 0.35 (ob das jetzt einen großen Unterschied macht, sei mal dahingestellt).

Jedenfalls laut security-tracker ist CVE-2017-5754 (Meltdown) gelöst bei stretch mit dem 4.9.82-1+deb9u2:
https://security-tracker.debian.org/tra ... -2017-5754

Gestern gab's auch Updates: 4.4.117, 4.9.83, 4.14.21, 4.15.5.
Da sind auch noch ein paar Optimierungen dabei.

CVE-2017-5753 (Spectre Variant 1) ist jedenfalls gemäss Debian noch unvollständig/nicht gelöst:
https://security-tracker.debian.org/tra ... -2017-5753

Ihr könntet ja mal Eure 'cat /proc/cpuinfo | grep -m 1 "model name" ' posten, ob auch andere mit gleichen CPU die Probleme - laut Skript - haben.

Benutzeravatar
Par@noid
Beiträge: 244
Registriert: 09.11.2005 13:33:35
Lizenz eigener Beiträge: GNU Free Documentation License
Wohnort: Schwarzwald

Re: Hardware-Sicherheitslücken: Meltdown und Spectre: ehem. Intel-Bug

Beitrag von Par@noid » 12.03.2018 13:40:57

stable: 4.15.9 2018-03-11

Hardware check
* Hardware support (CPU microcode) for mitigation techniques
* Indirect Branch Restricted Speculation (IBRS)
* SPEC_CTRL MSR is available: YES
* CPU indicates IBRS capability: YES (SPEC_CTRL feature bit)
* Indirect Branch Prediction Barrier (IBPB)
* PRED_CMD MSR is available: YES
* CPU indicates IBPB capability: YES (SPEC_CTRL feature bit)
* Single Thread Indirect Branch Predictors (STIBP)
* SPEC_CTRL MSR is available: YES
* CPU indicates STIBP capability: YES
* Enhanced IBRS (IBRS_ALL)
* CPU indicates ARCH_CAPABILITIES MSR availability: NO
* ARCH_CAPABILITIES MSR advertises IBRS_ALL capability: NO
* CPU explicitly indicates not being vulnerable to Meltdown (RDCL_NO): NO
* CPU microcode is known to cause stability problems: NO (model 158 stepping 9 ucode 0x84)
* CPU vulnerability to the three speculative execution attacks variants
* Vulnerable to Variant 1: YES
* Vulnerable to Variant 2: YES
* Vulnerable to Variant 3: YES

CVE-2017-5753 [bounds check bypass] aka 'Spectre Variant 1'
* Mitigated according to the /sys interface: YES (kernel confirms that the mitigation is active)
* Kernel has array_index_mask_nospec: YES (1 occurence(s) found of 64 bits array_index_mask_nospec())
* Kernel has the Red Hat/Ubuntu patch: NO
> STATUS: NOT VULNERABLE (Mitigation: __user pointer sanitization)

CVE-2017-5715 [branch target injection] aka 'Spectre Variant 2'
* Mitigated according to the /sys interface: YES (kernel confirms that the mitigation is active)
* Mitigation 1
* Kernel is compiled with IBRS/IBPB support: YES
* Currently enabled features
* IBRS enabled for Kernel space: UNKNOWN
* IBRS enabled for User space: UNKNOWN
* IBPB enabled: UNKNOWN
* Mitigation 2
* Kernel compiled with retpoline option: YES
* Kernel compiled with a retpoline-aware compiler: YES (kernel reports full retpoline compilation)
> STATUS: NOT VULNERABLE (Mitigation: Full generic retpoline, IBPB)

CVE-2017-5754 [rogue data cache load] aka 'Meltdown' aka 'Variant 3'
* Mitigated according to the /sys interface: YES (kernel confirms that the mitigation is active)
* Kernel supports Page Table Isolation (PTI): YES
* PTI enabled and active: YES
* Running as a Xen PV DomU: NO
> STATUS: NOT VULNERABLE (Mitigation: PTI)
Man hilft den Menschen nicht, wenn man für sie tut, was sie selbst tun können .....

Debian GNU/Linux Bookworm/sid 64-bit| GNOME Version 43 :THX:

seanxenos
Beiträge: 110
Registriert: 31.01.2015 14:11:36

Re: Hardware-Sicherheitslücken: Meltdown und Spectre: ehem. Intel-Bug

Beitrag von seanxenos » 14.03.2018 13:58:27

Ich habe mal eine Frage zu den upgedateten Microcodes von Intel, es gibt da ein neues Update vom 12.03.2018

https://downloadcenter.intel.com/downlo ... -Data-File

Intel beschreibt auf der Downloadseite ein relativ einfaches Verfahren den Microcode selbst unter /lib/firmware/intel-ucode/
mit der neuen Version zu überschreiben und anschließend mit echo 1 > /sys/devices/system/cpu/microcode/reload auf den neuen Microcode upzudaten

Spricht etwas dagegen das händisch so zu machen?
Bisher hatte ich auf ein Update des Pakets intel-microcode gewartet

Was hat es mit den Einträgen in /lib/firmware/intel-ucode/ mit der Endung initram.fs auf sich?
Diese sind in der alten Version Vorhanden, im neuen Intel Microcode aber nicht

fireburner
Beiträge: 140
Registriert: 01.12.2017 20:51:31
Lizenz eigener Beiträge: neue BSD Lizenz
Wohnort: Dänenland

Re: Hardware-Sicherheitslücken: Meltdown und Spectre: ehem. Intel-Bug

Beitrag von fireburner » 14.03.2018 14:20:06

Ich würde noch die paar Stunden/Tage abwarten, bis der neueste Microde im entsprechenden Debian Paket aktualisiert wurde.

seanxenos
Beiträge: 110
Registriert: 31.01.2015 14:11:36

Re: Hardware-Sicherheitslücken: Meltdown und Spectre: ehem. Intel-Bug

Beitrag von seanxenos » 14.03.2018 14:32:36

ja, das dachte ich auch

bin aber auch gerade neugierig und möchte ein bisschen mehr verstehen, wie mein Linux System an dieser Stelle arbeitet

Was ist die Funktion der .initramfs Dateien, wenn sie im intel-ucode Verzeichnis abgelegt werden? /lib/firmware/intel-ucode/

Werden die .initramfs Dateien von meinem System selbst erzeugt oder sind sie im intel-microcode Paket enthalten?

Sollte ich sie bei einem manuellen Update löschen? Muss ich sie neu erzeugen für die neue Version des microcodes?

seanxenos
Beiträge: 110
Registriert: 31.01.2015 14:11:36

Re: Hardware-Sicherheitslücken: Meltdown und Spectre: ehem. Intel-Bug

Beitrag von seanxenos » 14.03.2018 15:24:17

Im readme zum intel-microcode Paket habe ich den Abschnitt "Downloading new microcode data from Intel" gefunden

Dort steht auch: "After you install the updated intel-microcode.dat file, run as root:

update-initramfs -u
"

Alllerdings bezieht sich die Beschreibung dort noch auf das Updateverfahren über die intel-microcode.dat in /dev/cpu/microcode

und nicht auf /lib/firmware/intel-ucode/

seanxenos
Beiträge: 110
Registriert: 31.01.2015 14:11:36

Re: Hardware-Sicherheitslücken: Meltdown und Spectre: ehem. Intel-Bug

Beitrag von seanxenos » 14.03.2018 15:34:43

Da es sich bei meinem Prozessor um einen Haswell-Tap, also i5-4690 handelt, treffen eventuell die Dateien in der /lib/firmware/intel-ucode/ für die Typen
Haswell HSW-ULT Cx/Dx 06-45-01

oder

Haswell HSW Cx/Dx 06-3c-03
zu

Dort ist jeweils auch eine .initramfs Datei älteren Datums zu diesen Prozessortypen hinterlegt.

seanxenos
Beiträge: 110
Registriert: 31.01.2015 14:11:36

Re: Hardware-Sicherheitslücken: Meltdown und Spectre: ehem. Intel-Bug

Beitrag von seanxenos » 20.03.2018 13:14:11

Nachtrag:

die neuen Intel Microcodes werden jetzt auch als Paket für Stretch als Update bereitgestellt.

Nach der Installation und einem Neustart werden die .initramfs Dateien neu vom System erstellt, der Microcode hat das Datum 12.03.18, die .initramfs Dateien das Datum der Updateinstallation

Ohne weitere Anleitungen oder Hilfe war es mir nicht möglich die Dateien selbst zu erstellen, daher habe ich auf das Update des Pakets gewartet.

Schlauer geworden bin ich nun aber nicht, wie mein Linux-System an dieser Stelle arbeitet, schade. :cry:

Benutzeravatar
ingo2
Beiträge: 1124
Registriert: 06.12.2007 18:25:36
Lizenz eigener Beiträge: GNU Free Documentation License
Wohnort: Wo der gute Riesling wächst

Re: Hardware-Sicherheitslücken: Meltdown und Spectre: ehem. Intel-Bug

Beitrag von ingo2 » 21.03.2018 12:04:49

Was erstaunlich ist, jetzt sind auch Updates für Sandy- und Ivy-Bridge dabei, obwohl es vorher hieß "nur ab Haswell".
Aus dem changelog:
* New upstream microcode data file 20180312 (closes: #886367)

+ Implements IBRS/IBPB/STIPB support, Spectre-v2 mitigation for:
Sandybridge, Ivy Bridge, Haswell, Broadwell, Skylake, Kaby Lake,
Coffee Lake
Bei meinem i5-3570K funktioniert es:
microcode updated early to revision 0x1f, date = 2018-02-07
vorher war's die revision 0x1c.
Und der Checker sagt:
Hardware check
* Hardware support (CPU microcode) for mitigation techniques
* Indirect Branch Restricted Speculation (IBRS)
* SPEC_CTRL MSR is available: YES
* CPU indicates IBRS capability: YES (SPEC_CTRL feature bit)
* Indirect Branch Prediction Barrier (IBPB)
* PRED_CMD MSR is available: YES
* CPU indicates IBPB capability: YES (SPEC_CTRL feature bit)
* Single Thread Indirect Branch Predictors (STIBP)
* SPEC_CTRL MSR is available: YES
* CPU indicates STIBP capability: YES
* Enhanced IBRS (IBRS_ALL)
* CPU indicates ARCH_CAPABILITIES MSR availability: NO
* ARCH_CAPABILITIES MSR advertises IBRS_ALL capability: NO
Aber brauchen wir das unter Linux wirklich?
Der Kernel ist doch mit "retpoline patch" kompiliert und das ist auch aktiv?

NAB
Beiträge: 5501
Registriert: 06.03.2011 16:02:23
Lizenz eigener Beiträge: MIT Lizenz

Re: Hardware-Sicherheitslücken: Meltdown und Spectre: ehem. Intel-Bug

Beitrag von NAB » 21.03.2018 15:37:29

ingo2 hat geschrieben: ↑ zum Beitrag ↑
21.03.2018 12:04:49
Aber brauchen wir das unter Linux wirklich?
Der Kernel ist doch mit "retpoline patch" kompiliert und das ist auch aktiv?
Ja, aber das gilt nur für den Kernel. Das Userland ist nach wie vor offen wie ein Scheunentor. Und da mag es Sinn machen, dass jeder Prozess sich selber aussuchen kann, ob er lieber Retpoline oder Intels neue Microcodes nutzen möchte ... vielleicht gibt's da Performance-Unterschiede. Ich finde dazu nach wie vor wenig Handfestes.
Never change a broken system. It could be worse afterwards.

"No computer system can be absolutely secure." Intel Document Number: 336983-001

Antworten