Hardware-Sicherheitslücken: Meltdown und Spectre: ehem. Intel-Bug

[Lord_Carlos]

*hmmm*... also wenn ich Pech habe, ruckeln meine Filme wieder, wie ich das mit der AMD-CPU hatte und was der Grund war für meine Entscheidung, keine AMD-CPUs mehr zu nutzen...

Komisch heutzutage keine Hardwarebeschleunigung fuers decodieren zu benutzten.
Und so viel ich weis sind alle modernen codecs multithread faehig. Das sollten AMD CPUs besser oder genau so gut koennen.

[geier22]

Ich verstehe nur Bahnhof
Da gibt es also einen "geheimen" Bug bei den Intel-Prozessoren der letzten Dekade

Da wird irgend etwas bei der Speicherverwaltung durcheinander gebracht, was offensichtlich Angriffe ermöglicht
oder --- sehr wahrscheinlich ------ umfangreiche Angriffe begünstigt hat.
oder - auch wahrscheinlich - das war mit Absicht gemacht und die Russen habens rausbekommen

Das führt dazu, dass der CEO von Intel alle Aktien bis auf das zu haltende Minimum verscheuert.

Da gibt es geheime Patches, die die Leistung der Prozessoren mehr oder weniger erheblich bremsen.

Aber breakthewall weiss schon, das man das mit Kernel- Parametern wieder umgehen kann.

Doch wer eine AMD-CPU hat, kann das immerhin via Kernelparameter abschalten, und hat somit keine Leistungseinbußen. Ungünstig daran ist nur, dass man damit auch eine Schutzfunktion abstellt, die besonders ASLR stärkt.

Das heißt für mich, dass - mal geschätzt - zwei Drittel der Computer besitzenden Menschheit betroffen sein. wird.

Ich hab aber AMD und muss mitleiden - oder auf Sicherheitsfunktionen verzichten. ASLR - wusste gar nicht was das ist.
https://de.wikipedia.org/wiki/Address_S ... domization

Aha -

[hikaru]

Doch wer eine AMD-CPU hat, kann das immerhin via Kernelparameter abschalten, und hat somit keine Leistungseinbußen. Ungünstig daran ist nur, dass man damit auch eine Schutzfunktion abstellt, die besonders ASLR stärkt.

Warum beinträchtigt dieser Patch bzw. dessen Deaktivierung per Kernel-Argument ASLR?

Ich verstehe nur Bahnhof
Da gibt es also einen "geheimen" Bug bei den Intel-Prozessoren der letzten Dekade

Intel hat vor rund 10 Jahren ganz tief in's Klo gegriffen und seinen CPUs ein "Feature" verpasst, das es Userspace-Prozessen erlaubt Speicher aus dem Kernelspace zu lesen (und zu schreiben?) - und zwar auf eine Weise, die sich NICHT durch Software fixen lässt.
Das ist erst jetzt bekannt geworden und so haben wir heute den Salat, der seit "einer Dekade" auf Intels Buffet vergammelt.

Da wird irgend etwas bei der Speicherverwaltung durcheinander gebracht, was offensichtlich Angriffe ermöglicht
oder --- sehr wahrscheinlich ------ umfangreiche Angriffe begünstigt hat.

Dass wir erst heute davon erfahren heißt nicht, dass nicht schon früher jemand anderer über das Problem gestolpert ist und womöglich ungeniert seit Jahren seine Finger in deiner Tasche hat. Wer das sein könnte darfst du dir selbst ausmalen: Russland, China, die NSA, Marsmenschen, etc.

Das führt dazu, dass der CEO von Intel alle Aktien bis auf das zu haltende Minimum verscheuert.

Wenn der schon im November bescheid wusste, war das nicht dumm. Ich könnte den Mann verstehen.

Da gibt es geheime Patches, die die Leistung der Prozessoren mehr oder weniger erheblich bremsen.

Die Patches sind nicht geheim (du kannst alles Relevante aus dem Kernel-Code entnehmen...), bzw. werden es nicht bleiben (...Dokumentation wird folgen). Man will sie nur NOCH nicht vollständig und für jeden leserlich veröffentlichen, um das Problem behandeln zu können, bevor irgendwelche Scriptkiddies mit Exploits um sich werfen.
"Aber moment mal!" wirst du jetzt einwerfen. Ich habe doch gerade behauptet, das Problem ließe sich nicht durch Software fixen. Das stimmt auch. Deshalb basiert der Patch darauf, jedes mal den Speicher der CPU leerzuräumen, bevor ein Kontextswitch (Userspace <-> Kernelspace) passiert, so dass auch ja keine Daten von dort geklaut werden können. Und genau das ist es, was die Leistungseinbußen bringt.

Aber breakthewall weiss schon, das man das mit Kernel- Parametern wieder umgehen kann.

Der Patch lässt sich über einen Kernelparameter abschalten, womit sich ein gepatchter Kernel wieder wie ein ungepatchter verhält (potenziell unsicher, aber schnell wie gewohnt).

Das heißt für mich, dass - mal geschätzt - zwei Drittel der Computer besitzenden Menschheit betroffen sein. wird.

Ich gehe eher von 80-90% aus. Wie hoch ist AMDs Marktanteil gerade?

[breakthewall]

Warum beinträchtigt dieser Patch bzw. dessen Deaktivierung per Kernel-Argument ASLR?

Ich gehe mal davon aus, ich muss ASLR bzw. Speicherverwürfelung nicht gesondert erklären. Und unter Linux gibt es im Speziellen noch KASLR, was zusätzlich auf den Linux-Kernel angewendet wird. Das Problem dabei ist, dass ASLR grundsätzlich nur das Ausnutzen von Sicherheitslücken erschwert, dies jedoch nicht verhindern kann. Dementsprechend ist diese Sicherheitstechnik angreifbar, und konnte schon oft ausgehebelt werden.

Und die neue Sicherheitstechnik namens KPTI (ehemals KAISER), sorgt dafür das die Speicherseiten des User -und Kernelspace, zukünftig voneinander isoliert bzw. getrennt werden. Das minimiert die Angriffsfläche und insbesondere sensible Kernel-Informationen zur Laufzeit, die zuvor vom Userspace aus sichtbar waren, und nun nicht länger existieren. Davon profitiert natürlich ASLR bzw. KASLR ungemein, und ist dank der Informationsarmut erheblich wirksamer als zuvor.

[rendegast]

weil in meiner VM mit lscpu die gleiche CPU angezeigt wird.

Anders als z.B. Qemu emuliert VBox keine CPU, sondern reicht nur die Host-CPU (bzw. Teile davon) in die VM durch.*

'vboxmanage --help' ->
--cpu-profile "host|Intel 80[86|286|386]"
nicht so beeindruckend wie bei qemu, aber immerhin 3 andere.
Wobei jetzt auch nicht sicher ist, ob die "Intel*" simulierte Maschinen sind oder nur ein beschränktes Durchreichen des Modells "host".

In qemu muß im Gegensatz zum vbox-Default explizit '--cpu host' gewählt werden.
(Und bei mir auch immer explizit '-enable-kvm')




EDIT Habe gerade mal eine Maschine "Intel 386" laufen lassen, es läuft grottig langsam, somit eine simulierte CPU.
Das führt zur Frage, ob die simulierten CPU (bei qemu Skylake-Client|Westmere|Nehalem|usw.) auch anfällig wären?

[dufty2]

Das Warten hat ein Ende: Meltdown und Spectre:
https://spectreattack.com/

Meltdown: Intel-only, bis zurück 1995, betrifft auch Windows und OS X
Abhilfe: Durch KPTI-Kernelupdate, Lücke ist einfach auszunutzen.
So, fehlen nur noch die debian-packages dazu [1]

Spectre: Intel, AMD, ARM, POWER, (weitere?)
Abhilfe: derzeit keine, aber die Lücke ist - zum Glück - schwierig auszunutzen.

[1] Kommt wohl daher, dass das disclosure für den 9.1. gedacht war und g**gle jetzt vorgeprescht ist.

[breakthewall]

Meltdown: Intel-only, bis zurück 1995, betrifft auch Windows und OS X
Abhilfe: Durch KPTI-Kernelupdate, Lücke ist einfach auszunutzen.
So, fehlen nur noch die debian-packages dazu [1]

Wie bitte? 1995? Zu heftig. Gerade bei hoher I/O-Auslastung, machen sich die Leistungseinbußen teils sehr stark bemerkbar, was laut Berichten mitunter über 50% betrug.

Spectre: Intel, AMD, ARM, POWER, (weitere?)
Abhilfe: derzeit keine, aber die Lücke ist - zum Glück - schwierig auszunutzen

Das einzig Positive daran ist wohl, dass das via Software adressiert werden kann, und das ohne KPTI und enorme Leistungseinbußen. Allerdings wird das wohl recht aufwändig, wodurch viele Patches und Microcode-Updates nötig werden. Zusätzlich müssen neue noch nicht existierende Compiler-Optionen geschaffen werden, um dann die ganze Software neu zu kompilieren. Soweit die bisherigen Informationen. Auch wenn dazu geraten wurde, sich gleich neue Hardware anzuschaffen die nicht betroffen ist. Das Jahr fängt ja verdammt gut an.

[hikaru]

Ich gehe mal davon aus, ich muss ASLR bzw. Speicherverwürfelung nicht gesondert erklären. Und unter Linux gibt es im Speziellen noch KASLR, was zusätzlich auf den Linux-Kernel angewendet wird. Das Problem dabei ist, dass ASLR grundsätzlich nur das Ausnutzen von Sicherheitslücken erschwert, dies jedoch nicht verhindern kann. Dementsprechend ist diese Sicherheitstechnik angreifbar, und konnte schon oft ausgehebelt werden.

Und die neue Sicherheitstechnik namens KPTI (ehemals KAISER), sorgt dafür das die Speicherseiten des User -und Kernelspace, zukünftig voneinander isoliert bzw. getrennt werden. Das minimiert die Angriffsfläche und insbesondere sensible Kernel-Informationen zur Laufzeit, die zuvor vom Userspace aus sichtbar waren, und nun nicht länger existieren. Davon profitiert natürlich ASLR bzw. KASLR ungemein, und ist dank der Informationsarmut erheblich wirksamer als zuvor.

Dem Beitrag kann ich folgen. Ich verstehe aber nach wie vor nicht, wie du zu der Schlussfolgerung kommst, dass KPTI ASLR schwächt.

Meltdown: Intel-only, bis zurück 1995

Also eher zwei Dekaden als eine!
Es sind wohl "nur" Out-of-Order"-Intel-CPUs von Meltdown betroffen. D.h., Atoms bis einschließlich Silvermont sind auch ohne KPTI nicht betroffen. Banking sollte ich bis zum Eintreffen der Patches wohl auf mein Diamondville-Netbook verlagern.

Meltdown hat es zu einer kurzen und unspezifischen Erwähnung in die ZDF-Nachrichten geschafft:

Sicherheitslücken in Computerchips ... v.a. Intel betroffen

[MarkusF]

ich verstehe leider nicht allzuviel vom Chipdesignen, aber ich will mal zusammenfassen was ich bisher verstanden habe. Bitte die Aussagen gerne kommentieren/widerlegen.


der BUG ist bei Intel gewissermaßen 'in Hardware gegossen'
jeder neue Chip den ich mir gedenke zu kaufen, auch die in der Roadmap f. 2018 haben/hätten diesen Fehler
Intel muss, um das Problem an der Wurzel zu packen, seinen Fertigungsprozess verändern

bei bestehenden Intel-Chips, fast jedes gebräuchlichen Alters, muss per Kernelupdate abgeholfen werden, was noch unbekannte Leistungseinbußen und damit verbunden auch sinkende Energieeffizienz mit sich bringt

[Lord_Carlos]

der BUG ist bei Intel gewissermaßen 'in Hardware gegossen'
jeder neue Chip den ich mir gedenke zu kaufen, auch die in der Roadmap f. 2018 haben/hätten diesen Fehler
Intel muss, um das Problem an der Wurzel zu packen, seinen Fertigungsprozess verändern

bei bestehenden Intel-Chips, fast jedes gebräuchlichen Alters, muss per Kernelupdate abgeholfen werden, was noch unbekannte Leistungseinbußen und damit verbunden auch sinkende Energieeffizienz mit sich bringt

Genau, und dazu gibt es noch ein anderen bug.
Der ist schwerer auszunutzen aber auch schwerer zu Patchen. AMD ist auch betroffen.

[schwedenmann]

hallo

weitere Neuigkeiten: https://www.heise.de/security/meldung/G ... 32573.html


jetzt wohl auch AMD + ARM betroffen, die Lücke ist wohl größer und umfassender als bisher zugegeben.

mfg
schwedenmann

[Lord_Carlos]

jetzt wohl auch AMD + ARM betroffen, die Lücke ist wohl größer und umfassender als bisher zugegeben.

So habe ich es verstanden:
AMD ist laut eigenen Angaben teilweise von Spectre betroffen, aber nicht von Meltdown wie Intel.
Der Kernelpatch ist fuer Meltdown, und deswegen gibt es ein patch fuer den patch um AMD CPUs vom neuen "langsamen" code auszuschliessen.
Fuer Spectre gibt es noch kein patch. Ist aber auch schwerer auszunutzen.

Man darf mich gerne korrigieren.

[hikaru]

Genau, es gibt Meltdown und Spectre.

Meltdown betrifft bisher nachvollziehbar "nur" Out-of-Order-Intels und ist das Thema über das wir hier im Thread bisher hauptsächlich gesprochen haben. Meltdown kompromittiert die Trennung zwischen User- und Kernelspace. Dagegen soll der KPTI-Patch helfen (auf Kosten teils heftiger Leitungseinbußen) und wird wohl demnächst in allen relevanten Debiankernels eintreffen.
AMD behauptet, selbst nicht betroffen zu sein. Im Meltdown-Paper Punkt 6.4 [1] wird allerdings gesagt, dass prinzipiell auch AMD angreifbar sei, das Fehlverhalten bei AMD aber schwerer auszulösen sei - zu schwer für das dort vorgestellte Exploit.

Spectre kompromittiert die Isolation von Userspaceprozessen untereinander und ist nicht nur auf Intel beschränkt. AMD, viele ARM-CPUs (alle Massenmarktrelevanten: Smartphones, Tablets, etc.) und möglicherweise weitere Architekturen/Hersteller sind betroffen. Ein Fix ist vorläufig nicht absehbar. Als halbwegs brauchbare Sofortmaßnahme für Nutzer könnte ich mir vorstellen, jedes sicherheitsrelevante Anwendungsszenario in eine eigene VM auszulagern (Voraussetzung: Der Hostrechner ist nicht (mehr) von Meltdown betroffen). Spectre haben wir hier eigentlich noch gar nicht behandelt und bisher habe ich dazu auch wenige Informationen gesehen.
Als Referenz das Spectre-Paper [2]

Meiner Wahrnehmung nach geht Spectre momentan in der Berichterstattung hinter Meltdown unter bzw. beide werden munter miteinander vermengt, so dass ich befürchte, dass der Fix für Meltdown die Aufmerksamkeit gegenüber Spectre einschlafen lässt, oder dass der auf absehbare Zeit fehlende Fix für Spectre unnötige Aufregung in Bezug auf Meltdown verursachen wird.
Ich wäre daher dafür, das wir uns zumindest hier bemühen, beide Probleme sauber voneinander zu trennen. Als eine Maßnahme dazu würde ich vorschlagen, den Thread-Titel in sowas wie "Hardware-Sicherheitslücken: Meltdown und Spectre" umzubenennen, denn zumindest in Bezug auf Spectre ist der aktuelle Titel "Intel-Bug" irreführend.

[1] & [2] jeweils aus [3]

Edits

[1] https://meltdownattack.com/meltdown.pdf
[2] https://spectreattack.com/spectre.pdf
[3] https://www.heise.de/security/meldung/G ... 32573.html

[MarkusF]

Als eine Maßnahme dazu würde ich vorschlagen, den Thread-Titel in sowas wie "Hardware-Sicherheitslücken: Meltdown und Spectre" umzubenennen, denn zumindest in Bezug auf Spectre ist der aktuelle Titel "Intel-Bug" irreführend.

ok, macht Sinnn. Hat aber wohl nur den Initalpost geändert. Liebe Mods, tut euch keinen Zwang an das zu korrigeren...

[TuxPeter]

Ok, ich hatte ich gerade mein neues Board mit Intel G4560 "Kaby Lake" eingebaut und war happy. Bis ich das mit dem Intel-Bug gelesen hatte.
Jetzt gab es gab ein Bios-Update mit Datum vom 04.12.17. Laut Readme mit folgenden Änderungen:

2. This BIOS fixes the following problem of the previous version:
- Improve NVME compatibility.
- Update micro code.
- Improve USB 2.0 device can not work properly after resume from S3 mode.
- Improve memory compatibility.
- Update Intel ME for security vulnerabilities

Kann ich jetzt wieder glücklich sein?

[Lord_Carlos]

Glaube nicht, das ist bestimmt ein aelterer bug.

[TuxPeter]

Ja, die wären da ja ziemlich schnell gewesen. Egal, ich mach mich da jetzt nicht verrückt.

[hikaru]

@MarkusF:
Danke!

Board mit Intel G4560 "Kaby Lake"
[..]
Jetzt gab es gab ein Bios-Update mit Datum vom 04.12.17.
[..]
Kann ich jetzt wieder glücklich sein?

Soweit ich es verstehe, nein. Meltdown ist prinzipiell nicht durch ein BIOS- oder Microcode-Update zu fixen, deren Effekte ja nur beim Start des Systems zum Tragen kommen. Meltdown muss auf betroffener Hardware vom Betriebssystemkernel während der Laufzeit kontinuierlich behandelt werden.

[MarkusF]

Immerhin haben jetzt auch die div. Blätter begonnen detaillierter zu berichten
http://www.spiegel.de/netzwelt/netzpoli ... 86116.html

auch die Bild ist schon auf den Zug aufgesprungen, und das ganz ohne nacktes Fleisch. Fehlt also nur noch der tweet vom Onkel Donald.
Vorschlag meinerseits: "my meltdown is greater.."

[Harakiri]

Wer es sehr eilig hat kann die neueste Vanilla-Kernelversion 4.14.11 bauen. Die hat hat bereits eine Fehlerkorrektur für die Intelproblematik integriert.
https://cdn.kernel.org/pub/linux/kernel ... og-4.14.11

Ich persönlich patche das Ganze dann noch mit den Debian-Kernelpatches 4.14.x. Bei mir läuft das stabil, aber ansonsten kann das natürlich jeder nur auf eigene Verantwortung machen

[rendegast]

Die hat hat bereits eine Fehlerkorrektur für die Intelproblematik integriert.
https://cdn.kernel.org/pub/linux/kernel ... og-4.14.11

Ist dieser damit gemeint?

commit 72a2beddcd3240047552de69ce45a28029c7e56c
Author: Thomas Gleixner <tglx@linutronix.de>
Date: Mon Dec 4 15:07:33 2017 +0100

x86/cpufeatures: Add X86_BUG_CPU_INSECURE

commit a89f040fa34ec9cd682aed98b8f04e3c47d998bd upstream.

Many x86 CPUs leak information to user space due to missing isolation of
user space and kernel space page tables. There are many well documented
ways to exploit that.

The upcoming software migitation of isolating the user and kernel space
page tables needs a misfeature flag so code can be made runtime
conditional.

Add the BUG bits which indicates that the CPU is affected and add a feature
bit which indicates that the software migitation is enabled.

Assume for now that _ALL_ x86 CPUs are affected by this. Exceptions can be
made later.

Betrifft es weitere der Patches?
Für Laien wie mich liest sich das alles erstmal unspektakulär, gut versteckt am Ende der Liste.
Nix "Meltdown" / "Spectre" / "Intel-Bug".

Und für die eigene amd-CPU muß das wohl erstmal händisch wieder deaktiviert werden.
Oder sind amd-CPU jetzt doch/auch betroffen?

[Harakiri]

@rendegast
Genau der Patch. Sieht für mich auch danach aus als wäre das die "Erste Hilfe". Das Ganze wird sicherlich noch differenzierter ausgearbeitet.
Ob der AMD davon auch betroffen ist kann ich allerdings nicht beurteilen.

[anachoret4]

Weiß jemand, ob und wann der Stable-Zweig ein Update für den LTS-Kernel erhalten wird?

[hikaru]

Das Commit-Zitat von rendegast liest sich, als bezöge es sich auf Meltdown. AMD wäre davon also (laut AMD) nicht betroffen.

Ich habe gerade das Spectre-Paper zur Hälfte gelesen und zur Hälfte überflogen. Da Spectre auf Speculative Execution [1] beruht, sollten meiner Laieneinschätzung nach alle CPUs davor sicher sein, die kein Speculative Execution unterstützen. Der erste Ansatz in die Richtung dürfte auf x86 cmov gewesen sein. Alles was kein cmov kann, sollte also sicher sein. Dafür muss man leider recht weit zurück. Bei Intel heißt das bis einschließlich Pentium I (nicht Pro), bei AMD bis einschließlich K6-3.
In Anbetracht dessen, dass AMD behauptet, nicht von Meltdown betroffen zu sein, dürfte mein Museumsrechner mit dem K6-2 und Jessie momentan zu den sichersten Rechnern der Welt gehören.

Eine im Spectre-Paper erwähnte Maßnahme um die Angriffsfläche zumindest etwas zu verringern, wäre das Abschalten von Hyperthreading. Das ist allerdings keine sichere Lösung des Problems.

Es sei vielleicht noch anzumerken, dass die Spectre-Autoren ausdrücklich Intel, ARM, Qualcomm (arm) und "anderen Herstellern" für die professionelle Zusammenarbeit danken, jedoch AMD hier nicht namentlich erwähnen. Keine Ahnung, ob das was zu bedeuten hat.


[1] https://en.wikipedia.org/wiki/Speculative_execution

[dufty2]

Ist dieser damit gemeint?

Nö, jener fügt bei der

Code: Alles auswählen

$ cat /proc/cpuinfo

-Ausgabe nur das langweilige
CPU_INSECURE
hinzu.

Thomas und 2 Intel-Jungs haben da über 2k Zeilen hinzugeflanscht,
musst mal nach "pti" und "CR3" glotzen.