Hardware-Sicherheitslücken: Meltdown und Spectre: ehem. Intel-Bug

[Harakiri]

Thomas und 2 Intel-Jungs haben da über 2k Zeilen hinzugeflanscht,
musst mal nach "pti" und "CR3" glotzen.

Zumindest die entsprechende Änderungen hier

commit 3e133155f22d59b0085ef63cbcbcfbd96c4d0b70
Author: Thomas Gleixner <tglx@linutronix.de>
Date: Sun Dec 31 11:24:34 2017 +0100

x86/ldt: Plug memory leak in error path

commit a62d69857aab4caa43049e72fe0ed5c4a60518dd upstream.

The error path in write_ldt() tries to free 'old_ldt' instead of the newly
allocated 'new_ldt', resulting in a memory leak. It also misses to clean up a
half populated LDT pagetable, which is not a leak as it gets cleaned up
when the process exits.

Free both the potentially half populated LDT pagetable and the newly
allocated LDT struct. This can be done unconditionally because once an LDT
is mapped subsequent maps will succeed, because the PTE page is already
populated and the two LDTs fit into that single page.

sollte sich auf das Problem auswirken, soweit ich das als Laie verstehe.

Jedenfalls geben die Autoren von theregister.co.uk an, dass mit Version 4.14.11 das Meltdownproblem vorerst gefixt sei:

Indeed, patches for the Linux kernel are available for all to see but comments in the source code have been redacted to obfuscate the issue.

https://www.theregister.co.uk/2018/01/0 ... sign_flaw/

[dufty2]

Weiß jemand, ob und wann der Stable-Zweig ein Update für den LTS-Kernel erhalten wird?

4.4 und 4.9 sind in Bearbeitung, vgl.
https://lkml.org/lkml/2018/1/3/708
https://lkml.org/lkml/2018/1/3/660

[hikaru]

Was zum Lachen für zwischendurch:
Gerade hat auch RTL in seinen "Nachrichten" über "die Schwachstelle" berichtet. "Betroffen seien neben fast allen Prozessoren von Intel auch einige Modelle des Konkurrenten AMD und des Herstellers ARM."

Jetzt kommt's:
"Experten empfehlen den Austausch des Prozessors gegen einen der neuesten Generation."

Vier Fragen an RTL:
1. Wie tausche ich die CPU auf einem Board mit altem (oder ganz ohne) Sockel gegen eine der neuesten Generation?
2. Was soll das bringen?
3. Wer sind eure Experten?
4. Dürfen die um diese Zeit noch wach sein?

[geier22]

Ich plädiere für einen echten AMD 64 Kernel.
Sollen doch alle Intel-Jünger bestraft werden, aber nicht die letzten Getreuen von AMD.
Dann gibt es einen Intel-x64 Kernel und der alte AMD-64 bleibt halt wie er ist.

[geier22]

Jetzt kommt's:
"Experten empfehlen den Austausch des Prozessors gegen einen der neuesten Generation."

Nu ja, CPU + Board + einiges Andere noch --------> Da klingeln die Kassen
Mal sehen, wie sich die Hysterie anfachen lässt ---> Marketing ist ja die Macht Nr. 1 in unserer Gesellschaft.

Edit:
reicht eigentlich ein

Code: Alles auswählen

apt-mark hold linux-image-4.14.0-2-amd64 linux-kbuild-4.14

aus, um ein Kernel update zu verhindern?
oder besser die /etc/apt/preferences editieren ?

[MSfree]

"Experten empfehlen den Austausch des Prozessors gegen einen der neuesten Generation."

Experten? Bei RTL?


Welche neueste Generation? Der Designfehler dürfte wohl auch in Intel Core i[3/5/7/9]-8xxx stecken. Nachdem wohl auch AMD nicht ganz ungeschoren davon kommt, dürften die auch ein Problem im Ryzen haben. Da hilft wohl nur, mindestens ein Jahr zu warten, bevor wirklich redesignte CPUs auf dem Markt sind. Ein neues Stepping dürfte den Fehler wohl auch kaum mal eben auszubügeln, da muß wohl einiges am Kern geändert werden, sonst hätte Intel das nämlich über Microcodes beheben können.

[geier22]

Nachdem wohl auch AMD nicht ganz ungeschoren davon kommt, dürften die auch ein Problem im Ryzen haben.

Hab ich was überlesen, wo ist denn die Info her?

[schwedenmann]

Hallo

@geier22

https://www.heise.de/newsticker/meldung ... 32649.html

letzter Abschnitt, Info kommt von google

mfg
schwedenmann

[MSfree]

wo ist denn die Info her?

https://www.heise.de/security/meldung/G ... 32573.html

[hikaru]

Hab ich was überlesen, wo ist denn die Info her?

Der Heise-Artikel spielt im Update auf Spectre an, während der Aufhänger des Artikels eigentlich Meltdown war.
Um genau solche uninformierten Verwischungen und absichtlichen Nebelkerzen zu erkennen habe ich dafür plädiert, beide Probleme voneinander zu trennen. Anders ergibt eine Diskussion wirklich keinen Sinn.

Ich möchte daher nochmal dazu aufrufen, dass sich JEDER darüber informiert, dass es 1. ZWEI getrennte Probleme sind, und 2. zumindest im Groben auch darüber, worin der Unterschied* besteht.
Ideal wäre natürlich, die beiden Paper zu verstehen, aber das schaffen wohl die meisten nicht (ich kann auch nur grob folgen). Computerbase hat dazu einen recht guten Artikel auf deutsch. [1]

Die "Börse vor Acht" der ARD hat gerade überraschend wenig schlecht darüber berichtet (für eine Mainstream-Nachrichtensendung).

Edit:
Insbeondere sollten AMD-Nutzer verstehen, dass sie vor Spectre NICHT sicher sind. Das sollten sie im Kopf behalten, bevor sie in schadenfrohes Gelächter über Intel wegen Meltdown ausbrechen.


*) Meltdown=Kontextswitch, vermutlich nur Intel; Spectre=Isolationsbruch zwischen Userspace-Prozessen, so ziemlich alle CPUs
[1] https://www.computerbase.de/2018-01/int ... itsluecke/

[MSfree]

*) Meltdown=Kontextswitch, vermutlich nur Intel; Spectre=Isolationsbruch zwischen Userspace-Prozessen, so ziemlich alle CPUs

https://de.wikipedia.org/wiki/Meltdown_ ... eitslücke)
https://de.wikipedia.org/wiki/Spectre_( ... eitslücke)
https://meltdownattack.com/#faq-systems-meltdown

Zumindest im dritten Link ist noch die Rede davon, daß es noch nicht klar ist, ob AMD und ARM von Meltdown betroffen sind oder nicht. Insofern würde ich die beiden noch nicht endgültig aus der Untersuchungshaft entlassern.

[sommerregen]

Das heisst, ein bösartiges Javascript könnte hoch sensible Informationen auslesen wie, Passwörter, SSH-Schlüssel und vieles mehr, oder evtl. sogar aktiv gesetzte Restriktionen des Linux-Kernels aufheben und ggf. das System übernehmen

Es ist in dem Zusammenhang traurig, dass JavaScript immernoch ein Thema ist. Abgesehen davon dass es viel zu behäbig ist, hätte man - wäre man schon vor zehn Jahren von diesem "JavaScript"-Quatsch abgerückt - jetzt kein Problem mehr. Als ob damit irgendwelche Webseiten besser aussehen würden.

Viel besser wäre es, Webseiten z.B. für Lynx zu optimieren oder eine alternative, scriptfreie Version anzubieten, was viel zu selten gemacht wird. Wohl weil die "großen" uns kleinen Leute beim surfen noch mit Werbung abkassieren wollen. Das ganze "World Wide Web" ist viel zu hiesig geworden und jetzt kriegen wir die Quittung dafür.

[TomL]

Viel besser wäre es, Webseiten z.B. für Lynx zu optimieren oder eine alternative, scriptfreie Version anzubieten, was viel zu selten gemacht wird.

Wie war das noch.. so sinnvoll abgewandelt...?... "Das wäre zwar gut für die Menschen, aber schlecht fürs Geschäft"
http://www.faz.net/aktuell/wirtschaft/c ... 20493.html

Im inspirierenden Original hiess es ... so sinngemäß ... "Krieg ist zwar schlecht für die Menschen, aber gut fürs Geschäft".... irgend ein Engländer -meine ich- hats gesagt.

[Harakiri]

Ich habe so die Vorahnung dass Intel aus Scheiße Gold machen wird. Zwar nicht vorsätzlich aber zumindest nach dem Motto "Kauft die neueste und damit schnellste sowie sicherste Prozessorgeneration". Das wäre nichts Neues wenn sie das Problem des dringenden Neukaufs nicht selber geschaffen hätten.
Analog hierzu: VW bietet seinen Kunden eine "Umweltprämie" beim Diesel-Neukauf, obwohl dieselben Käufer vorher mit falschen Ausstoßangaben angeschmiert worden sind.

Jetzt kommt's:
"Experten empfehlen den Austausch des Prozessors gegen einen der neuesten Generation."

Nu ja, CPU + Board + einiges Andere noch --------> Da klingeln die Kassen
Mal sehen, wie sich die Hysterie anfachen lässt ---> Marketing ist ja die Macht Nr. 1 in unserer Gesellschaft.

[reox]

Hetzner schreibt jetzt, sie werden informieren wenn Microcode updates da sind: https://wiki.hetzner.de/index.php/Spectre_and_Meltdown

Die liste ist derzeit eher mau https://wiki.hetzner.de/index.php/Spect ... re_Updates

Aber ich hatte irgendwo gelesen, dass es gar nicht per Microcode update patchbar ist? Auch spannend wird sein, ob sie die alten CPUs auch patchen... Hab gerade mal geschaut, die Microcode version von meinem i5 ist von 2013... Da hat sich auch lang nichts getan.

[hikaru]

Zumindest im dritten Link ist noch die Rede davon, daß es noch nicht klar ist, ob AMD und ARM von Meltdown betroffen sind oder nicht. Insofern würde ich die beiden noch nicht endgültig aus der Untersuchungshaft entlassern.

Hier lohnt ein Blick in's Meltdown-Paper, insbesondere Punkt 3 "A Toy Example":
Da wird ein simpler Codeschnipsel präsentiert, der mittels Out-of-Order-Execution einen Cache-Miss generiert in dessen Folge potentiell ein Datenleck entsteht:

Code: Alles auswählen

raise_exception();
// the line below is never reached
access(probe_array[data * 4096]);

In Punkt 6.4 "Limitations on ARM and AMD" wird dann erwähnt, dass das vollständige Meltdown-Szenario mit Kernel-Leak zwar so wie präsentiert auf AMD nicht funktioniert hat, allerdings von den Autoren nicht ausgeschlossen werden kann, dass es prinzipiell funktioniert und der Fehlschlag nur auf Unzulänglichkeiten ihrer Implementierung beruht, denn das "Spielzeugsbeispiel" hat ja auch auf AMD funktioniert.

Das ist soweit erstmal eine sinnvoll vorsichtige Einschätzung, ABER man muss dabei im Auge behalten, dass das Spielzeugbeispiel nicht den Kern von Meltdown trifft, sondern lediglich eine Vorüberlegung implementiert. Der Kern von Meltdown ist der erfolgreiche Angriff des Kernelspeichers beim Kontextwechsel zwischen User- und Kernelspace. Genau das leistet das Spielzeugbeispiel nicht. Eigentlich ist es eher ein Spezialfall von Spectre, von dem ja niemand ernsthaft behauptet, dass AMD nicht auch prinzipiell betroffen sei.

Vor diesem Hintergrund muss man dann die Aussage von Lendacky bewerten:

AMD processors are not subject to the types of attacks that the kernel
page table isolation feature protects against. The AMD microarchitecture
does not allow memory references, including speculative references, that
access higher privileged data when running in a lesser privileged mode
when that access would result in a page fault.

Er sagt also, dass AMD-CPUs prinzipiell keine Speicherreferenzen durch unprivilegierten Code auf privilegierten Speicher erlauben, wenn das Ergebnis einen Speicherfehler auslösen würde.
Falls das stimmt, dann stirbt damit der Kern von Meltdown auf AMD. Die entscheidende Frage ist nun, ob Lendackys Aussage richtig ist. Ich kann diese Frage nicht beantworten. Daher schreibe ich zum Thema Meltdown und AMD immer "laut AMD".

Aber ich hatte irgendwo gelesen, dass es gar nicht per Microcode update patchbar ist?

Nachdem ich beide Paper mehr oder weniger gründlich gelesen habe würde ich ohne irgendeine Fachkenntnis zu besitzen vermuten, dass Microcode-Fixes prinzipiell möglich sein könnten.
So ein Fix müsste wohl für Meltdown darauf hinauslaufen, Kernel- und Userspace in der CPU vollständig voneinander zu trennen. Aus Nutzersicht würde das vermutlich so aussehen, dass man einen oder mehrere Kerne und einen Teil des Caches an den Kernelspace verliert. Ich halte das für praktikabel, bezweifle aber, dass diese Lösung in der Praxis besser wäre als KPTI.
Für einen Spectre-Fix müsste wohl sämtliche Out-of-Order-Funktionalität abgeschaltet werden. Abgesehen von der taktratenbedingten Leistungssteigerung und Mehrkernigkeit wirft uns das im Wesentlichen auf 486er-Niveau zurück. Das ist natürlich völlig praxisfern.

[Lord_Carlos]

Es ist in dem Zusammenhang traurig, dass JavaScript immernoch ein Thema ist. Abgesehen davon dass es viel zu behäbig ist, hätte man - wäre man schon vor zehn Jahren von diesem "JavaScript"-Quatsch abgerückt - jetzt kein Problem mehr. Als ob damit irgendwelche Webseiten besser aussehen würden.

[DeletedUserReAsG]

Danke, dass du den Thread für’s Unterwegslesen via Telephon unbrauchbar gemacht hast

[katzenfan]

Danke, dass du den Thread für’s Unterwegslesen via Telephon unbrauchbar gemacht hast

Ist's nicht möglich, solch ein Bildchen mittels Adblock zu unterdrücken?
Am PC funzt das doch auch.

[dufty2]

Oh, da ist doch so ein Update für stable reingekommen,
schätze, der server muss rebooted werden

https://lists.debian.org/debian-securit ... 00000.html

[dufty2]

Jetzt kommt's:
"Experten empfehlen den Austausch des Prozessors gegen einen der neuesten Generation."

Vier Fragen an RTL:
1. Wie tausche ich die CPU auf einem Board mit altem (oder ganz ohne) Sockel gegen eine der neuesten Generation?
2. Was soll das bringen?
3. Wer sind eure Experten?
4. Dürfen die um diese Zeit noch wach sein?

Ach hikaru, bei Computer-Schwachstellen befrägt man das CERT, das weisst doch jetzt jedes Kind:

Solution - Replace CPU hardware

The underlying vulnerability is primarily caused by CPU implementation optimization choices. Fully removing the vulnerability requires replacing vulnerable CPU hardware.

Einen Tag später haben sie dann ihre Empfehlung doch etwas angepasst
https://www.kb.cert.org/vuls/id/584653

[MarkusF]

Oh, da ist doch so ein Update für stable reingekommen,
schätze, der server muss rebooted werden

Hatte gestern ein größeres Script am Laufen (PHP), Laufzeit ca. 4h, heute Nacht das neue Image eingespielt, reboot und dann das gleiche nochmal, - gut 3% langsamger.
Ist sicher nicht repräsentativ und es gäbe sicher auch eine Unschärfe auch mit dem gleichen alten Image, bin aber mal gespannt auf andere Performanceerfahrungen.

[hikaru]

Der KPTI-"Benchmark" mit den krassesten Ergebnissen soll wohl du -s im Rootverzeichnis sein.

[Tintom]

Ich plädiere für einen echten AMD 64 Kernel.
Sollen doch alle Intel-Jünger bestraft werden, aber nicht die letzten Getreuen von AMD.
Dann gibt es einen Intel-x64 Kernel und der alte AMD-64 bleibt halt wie er ist.

In Kernel 4.15 wird PTI für AMD-Prozessoren deaktiviert. Kriegen wir demnächst dann -intel64 und -amd64 Kernel?

Linus Torvalds has now ended up pulling the latest PTI fixes that also include the change to disable page table isolation for now on all AMD CPUs.

[hikaru]

Naive Idee für einen Spectre-Fix in Hardware:
Würde man zukünftige CPUs mit einem dedizierten spekulativen Cache ausstatten, dessen Inhalte nur für den spekulativ ausgeführten Code lesbar sind und die erst beim Commit des spekulativen Zweigs in den konventionellen Cache kopiert werden, dann müsste das doch Spectre-Angriffe wirksam abwürgen, oder?
Der Preis wäre neben etwas mehr Silizium für den zusätzlichen Cache ein Leistungsverlust durch das Kopieren zwischen den Caches beim Commit.

Etwas weniger futuristisch:
Ließen sich bei aktuellen CPUs per Microcode Teile des existierenden Caches für die Dauer einer spekulativen Operation als "spekulativ" markieren und wirksam vor Zugriffen durch nichtspekulativen Code schützen? Schöner Nebeneffekt: Kein Leistungsverlust durch Cache-Kopiererei.
Falls das funktioniert, ähnlicher Ansatz für Meltdown: Cache-Teile temporär als "Kernel-only" markieren und Zugriffe aus dem Userspace darauf verhindern. Macht AMD vielleicht schon heute genau das?