Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
https://niebezpiecznik.pl/post/powazna-dziura-w-pro … wolnisz-o-30/
Orientujecie się czy stabilna wersja Debiana już dostała do repozytorium odpowiednią łatkę?
Ew. Jeśli tak, to który to pakiet i czy udczuliście spowolnienie?
Offline
W 4.14 pojawiło się
CONFIG_PAGE_TABLE_ISOLATION
sprawdź czy masz załączone.
cat /boot/config-* | grep -i CONFIG_PAGE_TABLE_ISOLATION
https://cdn.kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.14.11
Ostatnio edytowany przez arecki (2018-01-04 09:39:32)
Offline
https://security-tracker.debian.org/tracker/CVE-2017-5754
https://security-tracker.debian.org/tracker/CVE-2017-5753
Ostatnio edytowany przez Pakos (2018-01-04 09:39:20)
Offline
Te 60% to tylko głośny nagłówek dla gawiedzi.
Offline
ja włączyłem CONFIG_PAGE_TABLE_ISOLATION i na razie nie widzę istotnego zwolnienia ani większego obciążenia kompa.
Inna sprawa,ze u mnie zazwyczaj procek ma obciążenie rzędu 10-30% na każdym rdzeniu, powyżej tego toleruję tylko kompilację
w innych przypadkach robię od razu dochodzenie xD
Ostatnio edytowany przez Jacekalex (2018-01-04 12:12:34)
Online
A ja mam to w d... (głebokim poważaniu).
W robocie kupili mi nową maszynkę na Ryzenie 5 (6 core) + Radeon grafika. Miodnie
Offline
iwo napisał(-a):
https://niebezpiecznik.pl/post/powazna-dziura-w-procesorach-intela-albo-kupisz-nowy-albo-zwolnisz-o-30/
Orientujecie się czy stabilna wersja Debiana już dostała do repozytorium odpowiednią łatkę?
Ew. Jeśli tak, to który to pakiet i czy udczuliście spowolnienie?
Debian nie ma jeszcze dodanej łatki, ale jest już w kernelu Aptosid, można dodać repozytorium deb http://aptosid.office-vienna.at/aptosid/debian/ sid main fix.main albo pobrać kernel własciwy dla architektury CPU (plik linux-image) bezpośrednio ze strony i zainstalować via dpkg: http://aptosid.office-vienna.at/aptosid/debian/pool … inux-aptosid/
Offline
1.
W Archu chyba częściowo się z tym bugiem już uporali:
https://security.archlinux.org/CVE-2017-5754
https://security.archlinux.org/CVE-2017-5753
2.
Jakim prostym benchmarkiem najlepiej sprawdzić Archa przed i po aktualizacji?
Czy np. zwykłe:
$ time pi 1000000
wystarczy?
PS.
Gdzie można znaleźć listę procesorów z tym błędem?
Ostatnio edytowany przez zl23 (2018-01-04 13:56:11)
Offline
ta podatność (a właściwie 2) mają już swoją nazwę, logo i stronę:
https://meltdownattack.com/
Wygląda to paskudnie, ciekawe na ile będzie się to dało softwarowo załatać.
EDIT: Czy są jakieś wady zastosowania kernela z aptosida na desktopie z Debianem Stretch?
Ostatnio edytowany przez seler (2018-01-04 14:12:03)
Offline
seler napisał(-a):
Czy są jakieś wady zastosowania kernela z aptosida na desktopie z Debianem Stretch?
Jedynie taka, że pakiet headers wymaga w zależnościach GCC 7, ale nie wszyscy go potrzebują.
Offline
zl23 napisał(-a):
PS.
Gdzie można znaleźć listę procesorów z tym błędem?
Listy jeszcze chyba nikt nie opublikował, ale podatność może dotyczyć wszystkich procesorów, które wykorzystują przetwarzanie spekulatywne.
Offline
Meltdown (to na co są łatki) uderza głównie w procki Intela. Natomiast Spectre (na co nie ma łatek i ponoć nie będzie) we wszystkie procki od Pentium Pro z 1995, wliczając w to AMD i ARM.
https://twitter.com/i/moments/948681915485351938
Ostatnio edytowany przez seler (2018-01-04 15:17:44)
Offline
https://niebezpiecznik.pl/post/szczegoly-techniczne … wn-i-spectre/
Ciekawe czy ktokolwiek będzie korzystał ze smartfonów jak tak dalej będą te podatności wyskakiwać. xD
Offline
Najlepsze jest to, że smartfony są nośnikami najbardziej wrażliwych danych — realne kontakty, wiadomości, komunikatory/fb, zdjęcia, lokalizacja, aplikacje bankowe, hasła, wszelkie formy komunikacji (GSM, WiFi, Bluetooth etc), mikrofon, kamerki, czujniki ruchu itd.
Offline
Tutaj proof of concept wykorzystujący Spectre:
https://gist.github.com/ErikAugust/724d4a969fb2c6ae1bbd7b2a9e3d4bb6
(brakuje jednej spacji w 50. linijce żeby kompilowało)
Offline
Nie wiem do końca jak, ale zainstalowałem kernel z Aptosida bez tego gcc-7 i jakoś działa:
# uname -r 4.14.0-11.slh.1-aptosid-amd64 # zgrep CONFIG_PAGE_TABLE_ISOLATION /proc/config.gz CONFIG_PAGE_TABLE_ISOLATION=y # grep bugs /proc/cpuinfo bugs : cpu_insecure bugs : cpu_insecure bugs : cpu_insecure bugs : cpu_insecure bugs : cpu_insecure bugs : cpu_insecure bugs : cpu_insecure bugs : cpu_insecure
Offline
Ja sobie sprawdziłem czy u mnie jakiś impakt będzie jeśli chodzi o wydajność procesora i wygląda na to, że u mnie zanotował on lekki boost. xD
Nie wiedziałem za bardzo czym sprawdzić, ale do głowy przyszedł mi cryptsetup, bo to głównie procek zjada i sami popatrzcie na wyniki (po lewej bez łaty, z prawej z łatą).
Testów było 5 ale w zasadzie wszystkie porównania wypadły podobnie.
To chyba coś nie tak? xD A może jakiś inny test by się przydał?
Offline
Kernel Liquorix ma już łatkę.
ciastek @ R61i ~ └─ $ ▶ cat /boot/config-$(uname -r ) | grep -i CONFIG_PAGE_TABLE_ISOLATION=y CONFIG_PAGE_TABLE_ISOLATION=y ciastek @ R61i ~ └─ $ ▶ uname -a Linux R61i 4.14.0-11.1-liquorix-amd64 #1 ZEN SMP PREEMPT liquorix 4.14-14~obs (2018-01-04) x86_64 GNU/Linux
@morfik
Ext73 na dobrych trojanach również pisał, że jego płatne Kernele z łatą przyspieszyły ;)
Ostatnio edytowany przez ciastek1981 (2018-01-05 00:07:32)
Offline
seler napisał(-a):
Tutaj proof of concept wykorzystujący Spectre:
https://gist.github.com/ErikAugust/724d4a969fb2c6ae1bbd7b2a9e3d4bb6
(brakuje jednej spacji w 50. linijce żeby kompilowało)
Hmm, po sprawdzeniu u mnie wychodzi ze luka nazwana "spectre" hula az milo.
Siedze jeszcze na kernelu 4.9 - poczekam az wyjdzie oficjalny zalatany 4.14 i przejde na niego.
Offline
No dobrze, ale co z telefonami?
Offline
No a co ma być?
Mój telefon ma bug w bluetooth, wifi, teraz w procku. Gdybym kupił ten telefon i byłby jeszcze na gwarancji, to ja bym domagał się wymiany na taki wolny od wad, a w przypadku braku możliwości, zwrotu kasy. I ja zachęcam ludzi, by w końcu zaczęli motywować producentów telefonów do aktualizacji ich firmware albo pracy nad LineageOS. xD
Offline
wikingagressor napisał(-a):
seler napisał(-a):
Tutaj proof of concept wykorzystujący Spectre:
https://gist.github.com/ErikAugust/724d4a969fb2c6ae1bbd7b2a9e3d4bb6
(brakuje jednej spacji w 50. linijce żeby kompilowało)Hmm, po sprawdzeniu u mnie wychodzi ze luka nazwana "spectre" hula az milo.
Siedze jeszcze na kernelu 4.9 - poczekam az wyjdzie oficjalny zalatany 4.14 i przejde na niego.
Problem w tym, że ta łatka nie łata Spectre, tylko Meltdown. Mam tę łatkę i wciąż ten kodzik powyżej działa. Dopiero coś próbują w tym temacie wykombinować:
https://spectreattack.com/#faq-fix
Ostatnio edytowany przez seler (2018-01-05 01:12:46)
Offline
seler napisał(-a):
Nie wiem do końca jak, ale zainstalowałem kernel z Aptosida bez tego gcc-7 i jakoś działa:
Wszystko się zgadza, bo pakiet linux-image nie wymaga nowszego GCC, dopiero przy instalacji linux-headers tego zażąda.
Ostatnio edytowany przez Renia (2018-01-05 01:19:25)
Offline
Na stronie https://security-tracker.debian.org/tracker/CVE-2017-5754 wygląda na to, że łatka łatająca Meltdown już jest gotowa dla Stretcha, tyle że chyba jeszcze nie ma w repo. Zapewne niedługo się pojawi.
Offline