Kernel-Upgrade für Stretch nach Meltdown und Spectre?

Du kommst mit der Installation nicht voran oder willst noch was nachfragen? Schau auch in den "Tipps und Tricks"-Bereich.
Benutzeravatar
desputin
Beiträge: 1269
Registriert: 24.04.2015 17:16:34

Kernel-Upgrade für Stretch nach Meltdown und Spectre?

Beitrag von desputin » 19.01.2018 14:59:12

Hallo Ihr,
wißt Ihr, ob es für Debian Stable ein Kernel-Upgrade wegen der Sicherheitslücken geben wird?
Normalerweise bleibt Debian Stable ja doch immer bei einem Kernel und der wird nicht geupdated bis zum nächsten Release, oder?

Aber in diesem Fall wäre es ja quasi ein entscheidend wichtiges Sicherheits-Update und die werden ja schon geliefert.

Viele Grüße
desputin
https://www.daswirdmanjawohlnochsagenduerfen.de
https://www.neoliberalyse.de - Über die Ökonomisierung aller Lebensbereiche. |

Benutzeravatar
MSfree
Beiträge: 10685
Registriert: 25.09.2007 19:59:30

Re: Kernel-Upgrade für Stretch nach Meltdown und Spectre?

Beitrag von MSfree » 19.01.2018 15:24:35

Meltdown:
Für Wheezy, Jessie, Stretch, Buster und SID schon längst passiert.

Gegen Spectre helfen Kernelupdates nur sehr bedingt. Es gibt für einige neuere Intel CPUs Microcode-Updates.

Benutzeravatar
desputin
Beiträge: 1269
Registriert: 24.04.2015 17:16:34

Re: Kernel-Upgrade für Stretch nach Meltdown und Spectre?

Beitrag von desputin » 19.01.2018 16:49:07

D.h. die Updates für den Kernel sind im normalen dist-upgrade unter Stretch schon mitgekommen? Ich bin technisch nicht so versiert.... heißt daß, man kann Teile des Kernels austauschen, ohne hin vollständig neu zu installieren?
https://www.daswirdmanjawohlnochsagenduerfen.de
https://www.neoliberalyse.de - Über die Ökonomisierung aller Lebensbereiche. |

NAB
Beiträge: 5501
Registriert: 06.03.2011 16:02:23
Lizenz eigener Beiträge: MIT Lizenz

Re: Kernel-Upgrade für Stretch nach Meltdown und Spectre?

Beitrag von NAB » 19.01.2018 17:07:08

desputin, du stellst dir das falsch vor.

Ja, man kann den Kernel austauschen. Dabei wird er komplett neu installiert. Das ist bei dir vermutlich schon etliche Male passiert und du hast es gar nicht mitbekommen. Deswegen wird Debian Stable nicht "unstable".

Schau mal nach, du müsstest "linux-image-4.9.0-5-amd64" installiert haben in der Versionsnummer "4.9.65-3+deb9u2". Da ist der Patch gegen "Meltdown" schon enthalten.

Gegen "Spectre" gibt es noch nichts. Die knobeln noch, wie man die Sache am besten löst. Vermutlich müssen sämtliche Pakete neu kompiliert werden - das wird dann ein sehr großes Update.
Never change a broken system. It could be worse afterwards.

"No computer system can be absolutely secure." Intel Document Number: 336983-001

Benutzeravatar
desputin
Beiträge: 1269
Registriert: 24.04.2015 17:16:34

Re: Kernel-Upgrade für Stretch nach Meltdown und Spectre?

Beitrag von desputin » 19.01.2018 18:07:34

Ok, danke für die Info, jetzt kapier ich es.

Na, zumindest bin ich dann ja mal für Meltdown nicht anfällig, habe ja einen AMD, da ist sowieso nur Spectre kein Problem...

Kann man eigentlich sagen, welche von den beiden Sicherheitslücken "schlimmer" bzw. potentiell gefährlicher bzw. besser von kriminellen Auszunutzen ist in der Praxis?
https://www.daswirdmanjawohlnochsagenduerfen.de
https://www.neoliberalyse.de - Über die Ökonomisierung aller Lebensbereiche. |

NAB
Beiträge: 5501
Registriert: 06.03.2011 16:02:23
Lizenz eigener Beiträge: MIT Lizenz

Re: Kernel-Upgrade für Stretch nach Meltdown und Spectre?

Beitrag von NAB » 19.01.2018 18:20:04

desputin hat geschrieben: ↑ zum Beitrag ↑
19.01.2018 18:07:34
Kann man eigentlich sagen, welche von den beiden Sicherheitslücken "schlimmer" bzw. potentiell gefährlicher bzw. besser von kriminellen Auszunutzen ist in der Praxis?
Jein.

Es wird gesagt, Meltdown sei schlimmer, weil es sehr einfach auszunutzen sei und vollen Zugriff auf den (Kernel)-Speicher bietet. Aus Sicht des Systemadministrators ist das auch "schlimmer".

Spectre sei nicht so schlimm, weil es "nur" Zugriff auf den Speicher des ausführenden Benutzers bietet. Außerdem sei Spectre schwerer auszunutzen.

Dem üblichen Heimanwender dürfte es allerdings egal sein, über welche der beiden Lücken der Angreifer an sein Online-Banking-Passwort kommt. Dem Angreifer auch.

Und zu Spectre existiert bereits eine sehr einfache Demonstration (nur für Intel?), die immerhin den gesamten Speicher deines Browsers ausliest. Für den einfachen Heimanwender ist bereits das "der SuperGAU".
Never change a broken system. It could be worse afterwards.

"No computer system can be absolutely secure." Intel Document Number: 336983-001

Benutzeravatar
Animefreak79
Beiträge: 299
Registriert: 25.11.2017 12:29:51
Lizenz eigener Beiträge: GNU General Public License

Re: Kernel-Upgrade für Stretch nach Meltdown und Spectre?

Beitrag von Animefreak79 » 19.01.2018 20:54:12

Ich bin nach wie vor der Meinung, dass in Sachen Meltdown und Spectre unnötig viel Panik verbreitet wird. Um wirklich sicherzugehen, dass das Problem gefixt wird, dürften wir ja unsere PCs jahrelang nicht mehr ins Internet lassen, denn die nächste Chipgeneration die auf den Markt gebracht wird, wird in Sachen Design sicher noch nicht soweit sein. Den Browser gut abzusichern, kann hingegen nie verkehrt sein. Ich nutze DebianChromium und unter diesen selbstverständlich entsprechende AddOns wie ScriptBlock als auch AdblockPlus. Darüberhinaus habe ich unter der URL

Code: Alles auswählen

chrome://flags/#enable-site-per-process
die Option Strict side isolation aktiviert (ist eher experimentell, hat bisher bei mir jedoch keine Probleme gemacht), welches bis zum nächsten großen Browserupdate wohl auch eingeschaltet bleibt. Auch DebianFirefox und Konsorten lassen sich bestimmt in ähnlicher Weise absichern, und mit NoScript als auch AdblockPlus ist ebenfalls ein Sicherheitsbonus gewonnen. Das ist natürlich alles kein Allheilmittel, aber man tut, was man kann.
desputin hat geschrieben:D.h. die Updates für den Kernel sind im normalen dist-upgrade unter Stretch schon mitgekommen? Ich bin technisch nicht so versiert.... heißt daß, man kann Teile des Kernels austauschen, ohne hin vollständig neu zu installieren?
Ja, die relevanten Kernelupdates hast du, zumindest in Sachen Meltdown. Darüberhinaus ist die Wahrscheinlichkeit statistisch gesehen wohl sehr gering, dass eine der beiden Lücken in absehbarer Zeit ausgenutzt wird, und dadurch ausgerechnet dein System erfolgreich kompromittieren wird. Also: Keep calm, and don't be worried.;)
~ Never change a flying system ~

Thomas141
Beiträge: 2
Registriert: 11.11.2017 13:22:33

Re: Kernel-Upgrade für Stretch nach Meltdown und Spectre?

Beitrag von Thomas141 » 20.01.2018 00:46:10

Animefreak79 hat geschrieben: ↑ zum Beitrag ↑
19.01.2018 20:54:12
Den Browser gut abzusichern, kann hingegen nie verkehrt sein. Ich nutze DebianChromium und unter diesen selbstverständlich entsprechende AddOns wie ScriptBlock als auch AdblockPlus.
Leider nutzt Adblock Plus eine Whitelist, sodass nicht alle Werbung blockiert wird (Quelle: https://www.heise.de/newsticker/meldung ... 46033.html)

Ich nehme die Browsereinstellungen anhand der folgenden Empfehlung vor: https://www.kuketz-blog.de/empfehlungsecke/
Bei dem Abschnitt "Empfehlenswerte Addons [Einsteiger]" hat man einen guten Überblick welche Addons genutzt werden können.

Den Blog verfolge ich schon seit über einem halben Jahr und es ist immer wieder lesenswert.
NAB hat geschrieben: ↑ zum Beitrag ↑
19.01.2018 17:07:08
Gegen "Spectre" gibt es noch nichts. Die knobeln noch, wie man die Sache am besten löst. Vermutlich müssen sämtliche Pakete neu kompiliert werden - das wird dann ein sehr großes Update.
Quelle: https://www.heise.de/ct/artikel/Die-Neu ... 00646.html

Auszug:
"Zum Ende der zweiten Januarwoche integrierten die Entwickler dann ein überarbeitetes Retpoline. Das blockt einige der Schwachpunkte, die zur zweiten Spectre-Variante gehören."

und weiter unten in dem Text heißt es:

"Wie bei PTI wird auch der Retpoline-Schutz in Stable- und Longterm-Kernel zurückportiert. Er ist in Linux 4.14.14 und 4.9.77 eingeflossen, die am 17. Januar erscheinen sind. Im parallel veröffentlichten 4.4.112 ist er aber nicht enthalten. "

"An Maßnahmen gegen die erste Spectre-Variante schrauben die Entwickler noch. Ähnlich wie Retpoline sind dazu Änderungen bei Kernel und Compilern nötig."

Also sollte Meltdown und Spectre v2 gepatched sein und an Spectre v1 wird noch gearbeitet.

dufty2
Beiträge: 1709
Registriert: 22.12.2013 16:41:16

Re: Kernel-Upgrade für Stretch nach Meltdown und Spectre?

Beitrag von dufty2 » 20.01.2018 04:36:34

Thomas141 hat geschrieben: ↑ zum Beitrag ↑
20.01.2018 00:46:10
Also sollte Meltdown und Spectre v2 gepatched sein und an Spectre v1 wird noch gearbeitet.
Mmmh, ja, weiss nicht. Wenn nicht mal der Meister selbst einen richtig gepatchten kernel hat,
vgl. sein Blog-post von gestern:
http://kroah.com/log/blog/2018/01/19/meltdown-status-2/

4.14.14 gibt es ja desweiteren noch nicht unter sid:

Code: Alles auswählen

# grep . /sys/devices/system/cpu/vulnerabilities/*
grep: /sys/devices/system/cpu/vulnerabilities/*: No such file or directory
# uname -a
Linux host 4.14.0-3-amd64 #1 SMP Debian 4.14.13-1 (2018-01-14) x86_64 GNU/Linux

NAB
Beiträge: 5501
Registriert: 06.03.2011 16:02:23
Lizenz eigener Beiträge: MIT Lizenz

Re: Kernel-Upgrade für Stretch nach Meltdown und Spectre?

Beitrag von NAB » 20.01.2018 05:17:57

Thomas141 hat geschrieben: ↑ zum Beitrag ↑
20.01.2018 00:46:10
"An Maßnahmen gegen die erste Spectre-Variante schrauben die Entwickler noch. Ähnlich wie Retpoline sind dazu Änderungen bei Kernel und Compilern nötig."

Also sollte Meltdown und Spectre v2 gepatched sein und an Spectre v1 wird noch gearbeitet.
Sorry, aber Heise hat da echt keinen Durchblick. Schon die Bezeichnungen "Spectre Variante 1" und "Spectre Variante 2" sind falsch. Es gibt "Variante 1" bis 3 hier:
https://googleprojectzero.blogspot.de/2 ... -side.html
Die beschreiben alle drei eine Methode, um unerlaubt an Kernel-Speicher zu kommen. Da geht es um den Kernel und die drei Varianten werden jetzt auch im Kernel gepatched. "Fertig" im Sinne von "bei Debian Stretch angekommen" ist da für Variante 1 und 2 noch NICHTS.

Spectre gibt es hier:
https://spectreattack.com/
Da wird genüsslich beschrieben, wie ein Userspace-Programm das andere belauschen kann und wie ein Tab im Webbrowser den anderen per JavaScript belauschen kann. Das hat mit dem Kernel und seinem Speicher gar nichts zu tun. Und nach meinen bisherigen Kenntnisstand kann der Kernel da auch nicht helfen - es muss jedes Programm, das du nutzt, einzeln angepasst werden. Davon in Debian bisher erledigt: NICHTS.

Heise beschreibt das für den Kernel auch sehr anschaulich: "Außerdem ist das ganze aufwendig: Die Entwickler versuchen Codestellen im Kernel zu eliminieren, die gegen die Lücke anfällig sind. Dazu müssen sie den gesamten Kernel-Code nach kritischen Stellen absuchen und auch in Zukunft darauf achten, keine neuen Angriffspunkte einzubauen.". Die gleiche Arbeit ist auch für jeden Code außerhalb des Kernels notwendig.

Für generelle Diskussionen der beiden Lücken gibt's übrigens schon einen Thread:
viewtopic.php?f=37&t=168134
Hier war ja die Frage, was bereits in Stretch angekommen ist oder noch ankommen wird. Für "Variante 1" ist das noch ungewiss (Backports Kernel mal außen vor). Und für Spectre auch.
Never change a broken system. It could be worse afterwards.

"No computer system can be absolutely secure." Intel Document Number: 336983-001

dufty2
Beiträge: 1709
Registriert: 22.12.2013 16:41:16

Re: Kernel-Upgrade für Stretch nach Meltdown und Spectre?

Beitrag von dufty2 » 20.01.2018 07:58:44

NAB hat geschrieben: ↑ zum Beitrag ↑
20.01.2018 05:17:57
Thomas141 hat geschrieben: ↑ zum Beitrag ↑
20.01.2018 00:46:10
"An Maßnahmen gegen die erste Spectre-Variante schrauben die Entwickler noch. Ähnlich wie Retpoline sind dazu Änderungen bei Kernel und Compilern nötig."

Also sollte Meltdown und Spectre v2 gepatched sein und an Spectre v1 wird noch gearbeitet.
Sorry, aber Heise hat da echt keinen Durchblick. Schon die Bezeichnungen "Spectre Variante 1" und "Spectre Variante 2" sind falsch. Es gibt "Variante 1" bis 3 hier:
https://googleprojectzero.blogspot.de/2 ... -side.html
Die beschreiben alle drei eine Methode, um unerlaubt an Kernel-Speicher zu kommen. Da geht es um den Kernel und die drei Varianten werden jetzt auch im Kernel gepatched.
Ja, und wenn Du einen Absatz weiter liest, wirst Du entdecken:

Spectre (variants 1 and 2)
Meltdown (variant 3)

Also ist es absolut ok von "Spectre Variante 1" und "Spectre Variante 2" zu sprechen, sorry.
Das sagt auch das "checker-script":

Code: Alles auswählen

# sh spectre-meltdown-checker.sh
<snip>
CVE-2017-5753 [bounds check bypass] aka 'Spectre Variant 1'
<snip>
CVE-2017-5715 [branch target injection] aka 'Spectre Variant 2'
<snip>
CVE-2017-5754 [rogue data cache load] aka 'Meltdown' aka 'Variant 3'
<snip>

NAB
Beiträge: 5501
Registriert: 06.03.2011 16:02:23
Lizenz eigener Beiträge: MIT Lizenz

Re: Kernel-Upgrade für Stretch nach Meltdown und Spectre?

Beitrag von NAB » 20.01.2018 16:44:15

dufty2 hat geschrieben: ↑ zum Beitrag ↑
20.01.2018 07:58:44
Spectre (variants 1 and 2)
Meltdown (variant 3)

Also ist es absolut ok von "Spectre Variante 1" und "Spectre Variante 2" zu sprechen, sorry.
Ja, aber klar ist es absolut okay Klammern wegzulassen ... die sind da bestimmt nur aus Schikane drin. Kommata sollten wir auch gleich weglassen - es ist doch immer schön etwas mehr Interpretationsspielraum zu haben.
Never change a broken system. It could be worse afterwards.

"No computer system can be absolutely secure." Intel Document Number: 336983-001

geier22

Re: Kernel-Upgrade für Stretch nach Meltdown und Spectre?

Beitrag von geier22 » 08.02.2018 16:07:28

Kernel 4.15.2 scheint dann vollständig gepatcht zu sein.
siehe: https://sparkylinux.org/linux-kernel-4-15-2/

geier22

Re: Kernel-Upgrade für Stretch nach Meltdown und Spectre?

Beitrag von geier22 » 09.02.2018 15:07:51

Hab mir mal den spectre-meltdown-checker.sh von https://github.com/speed47/spectre-meltdown-checker
runter-geladen. Da wird man wohl noch eine Weile warten müssen bis der Kernel 4.15.2 in Buster erscheint
Hier mal die Terminal-Ausgabe:

Code: Alles auswählen

Kernel is Linux 4.14.0-3-amd64 #1 SMP Debian 4.14.13-1 (2018-01-14) x86_64
CPU is AMD FX(tm)-6300 Six-Core Processor
Bild

Benutzeravatar
towo
Beiträge: 4403
Registriert: 27.02.2007 19:49:44
Lizenz eigener Beiträge: GNU Free Documentation License

Re: Kernel-Upgrade für Stretch nach Meltdown und Spectre?

Beitrag von towo » 09.02.2018 16:54:30

Oder die richtige Distro verwenden ;)

Bild

Nice
Beiträge: 416
Registriert: 14.06.2017 19:36:20

Re: Kernel-Upgrade für Stretch nach Meltdown und Spectre?

Beitrag von Nice » 09.02.2018 17:28:50

Und was ist Deiner Empfehlung nach die richtige Distro?

geier22

Re: Kernel-Upgrade für Stretch nach Meltdown und Spectre?

Beitrag von geier22 » 09.02.2018 17:42:03

Na Siduction, Steht doch in der Ausgabe :THX:

Nice
Beiträge: 416
Registriert: 14.06.2017 19:36:20

Re: Kernel-Upgrade für Stretch nach Meltdown und Spectre?

Beitrag von Nice » 09.02.2018 17:42:39

Thx!

geier22

Re: Kernel-Upgrade für Stretch nach Meltdown und Spectre?

Beitrag von geier22 » 10.02.2018 00:25:03

Wie aussagefähig ist das eigentlich in einer VM ??

Bild

Benutzeravatar
desputin
Beiträge: 1269
Registriert: 24.04.2015 17:16:34

Re: Kernel-Upgrade für Stretch nach Meltdown und Spectre?

Beitrag von desputin » 14.02.2018 16:05:54

Und ich habe ganz viele "UNKNOWN"s....:

http://investorenarchitektur.de/wp-cont ... 155640.png
Zuletzt geändert von desputin am 15.02.2018 15:58:10, insgesamt 1-mal geändert.
https://www.daswirdmanjawohlnochsagenduerfen.de
https://www.neoliberalyse.de - Über die Ökonomisierung aller Lebensbereiche. |

dufty2
Beiträge: 1709
Registriert: 22.12.2013 16:41:16

Re: Kernel-Upgrade für Stretch nach Meltdown und Spectre?

Beitrag von dufty2 » 15.02.2018 15:20:50

Mmmh, ja, die ersten Zeilen der Ausgabe des Skriptes (die man auch ohne screenshot hinbekommt hier zu posten) hast Du evtl. übersehen, die da - vermutlich - lauten:

Code: Alles auswählen

$ ./spectre-meltdown-checker.sh 
Spectre and Meltdown mitigation detection tool v0.34+

Note that you should launch this script with root privileges to get accurate information.
We'll proceed but you might see permission denied errors.
To run it as root, you can try the following command: sudo ./spectre-meltdown-checker.sh

<snip>
;)

Benutzeravatar
desputin
Beiträge: 1269
Registriert: 24.04.2015 17:16:34

Re: Kernel-Upgrade für Stretch nach Meltdown und Spectre?

Beitrag von desputin » 15.02.2018 15:59:05

Na gut, mein System ist dann wohl doch recht anfällig, trotz AMD:
http://investorenarchitektur.de/wp-cont ... 155640.png
https://www.daswirdmanjawohlnochsagenduerfen.de
https://www.neoliberalyse.de - Über die Ökonomisierung aller Lebensbereiche. |

mclien
Beiträge: 2427
Registriert: 06.12.2005 10:38:46
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Baustelle

Re: Kernel-Upgrade für Stretch nach Meltdown und Spectre?

Beitrag von mclien » 02.04.2018 12:52:23

Bin ich irgendwie zu doof?
Ich habe meine Maschine gerade mit einem update und upgrade beglückt, trotzdem:

Code: Alles auswählen

uname -a
Linux eline 4.9.0-4-amd64 #1 SMP Debian 4.9.65-3+deb9u1 (2017-12-23) x86_64 GNU/Linux
sollte da nicht "4.9.65-3+deb9u2" bei rauskommen?
so sieht die sources.list aus:

Code: Alles auswählen

deb http://ftp.de.debian.org/debian/ stretch main non-free contrib
deb-src http://ftp.de.debian.org/debian/ stretch main non-free contrib

deb http://security.debian.org/debian-security stretch/updates main contrib non-free
deb-src http://security.debian.org/debian-security stretch/updates main contrib non-free

# stretch-updates, previously known as 'volatile'
deb http://ftp.de.debian.org/debian/ stretch-updates main contrib non-free
deb-src http://ftp.de.debian.org/debian/ stretch-updates main contrib non-free

# backports
deb http://ftp.debian.org/debian stretch-backports main
übersehe ich irgendwas?
Bei der Inst. habe ich ja irgendwann die Wahl zwischen genauer Kernel version und nur Main Version. Normal nehme ich da natürlich die Main Version, um updates zu bekommen. Wo finde ich eigentlich hinterher diese Einstellung wieder?

NAB
Beiträge: 5501
Registriert: 06.03.2011 16:02:23
Lizenz eigener Beiträge: MIT Lizenz

Re: Kernel-Upgrade für Stretch nach Meltdown und Spectre?

Beitrag von NAB » 02.04.2018 14:42:53

mclien hat geschrieben: ↑ zum Beitrag ↑
02.04.2018 12:52:23
sollte da nicht "4.9.65-3+deb9u2" bei rauskommen?
Nein. Da sollte 4.9.82-1+deb9u3 bei rauskommen:
https://packages.debian.org/stretch/lin ... .0-6-amd64

Dein Kernel hängt bei linux-image-4.9.0-5 (und sollte in der Tat inzwischen bei 4.9.65-3+deb9u2 sein). Inzwischen gibt's aber linux-image-4.9.0-6.

Ist "linux-image-amd64" installiert?
Never change a broken system. It could be worse afterwards.

"No computer system can be absolutely secure." Intel Document Number: 336983-001

mclien
Beiträge: 2427
Registriert: 06.12.2005 10:38:46
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Baustelle

Re: Kernel-Upgrade für Stretch nach Meltdown und Spectre?

Beitrag von mclien » 02.04.2018 14:52:02

NAB hat geschrieben: ↑ zum Beitrag ↑
02.04.2018 14:42:53
...
Ist "linux-image-amd64" installiert?
es ist (nachdem ich apt statt apt-get benutzt habe , ist auch der "fast" aktuelle Kernel da. Was habe ich denn da wieder verpasst?)

Code: Alles auswählen

dpkg -l |grep linux-image-amd64
ii  linux-image-amd64                     4.9+80+deb9u4                     amd64        Linux for 64-bit PCs (meta-package)
EDIT: wenn ich dann auch mal den richtigen Befehl für die Kernelversion nutze, kommt auch das richtige raus:

Code: Alles auswählen

uname -a
Linux eline 4.9.0-6-amd64 #1 SMP Debian 4.9.82-1+deb9u3 (2018-03-02) x86_64 GNU/Linux
Aber apt vs. apt-get habe ich noch nicht wirklich gecheckt...

Antworten