Forum Debian Users Gang

morfik · 2018-02-05 22:18:58

Do nagłówków są inne metapakiety:

Kod:

# aptitude show linux-image-aptosid-amd64
...
Depends: linux-image-4.15.0-0.slh.2-aptosid-amd64 (= 4.15-2)
Recommends: linux-headers-aptosid-amd64 (= 4.15-2)

Ostatnio edytowany przez morfik (2018-02-05 22:20:06)

arturek · 2018-02-05 22:28:15

Łatki z 4.15.1 będą w 4.14.18

https://git.kernel.org/pub/scm/linux/kernel/git/sta … 341ce7f1fe696

Renia · 2018-02-06 00:32:32

@morfik
U mnie jest tak:

Kod:

 apt-get install linux-image-aptosid-amd64
Czytanie list pakietów... Gotowe
Budowanie drzewa zależności       
Odczyt informacji o stanie... Gotowe
The following additional packages will be installed:
  linux-headers-4.15.0-0.slh.2-aptosid-amd64 linux-headers-aptosid-amd64
Zostaną zainstalowane następujące NOWE pakiety:
  linux-headers-4.15.0-0.slh.2-aptosid-amd64 linux-headers-aptosid-amd64 linux-image-aptosid-amd64
0 aktualizowanych, 3 nowo instalowanych, 0 usuwanych i 29 nieaktualizowanych.
Konieczne pobranie 9554 kB archiwów.
Po tej operacji zostanie dodatkowo użyte 51,9 MB miejsca na dysku.
Kontynuować? [T/n]

Dobre jak ktoś chce na stałe mieć ten kernel, ale moim zdaniem do testów lepiej nie mieszać sobie z instalacją zależności.

@KerneLpaniC
Jak obiecałam kernel 4.15.1 "3x NOT VULNERABLE" jest gotowy. Konfig i patche debianowskie wzięłam z 4.15 z Experimental więc jest największa szansa, że będzie dobrze chodził na Stretchu i wyższych. Udostępniam łącznie ze źródłami: https://drive.google.com/drive/folders/1pBP4NaPrTBG … nZLGL7NiOLgNY
Pobierz i zainstaluj sobie pakiet linux-image*: https://drive.google.com/open?id=1vve200Pwn_AgSa-FtMV4zWfIzoizbvMq

Kolejno, w katalogu, gdzie pobrałeś plik:

Kod:

sudo dpkg -i linux-image-4.15.1-debian-security_4.15.1-debian-1-20180205_amd64.deb
sudo apt-get install -f
sudo update-initramfs -uv -k all
sudo update-grub

Mikrokody jak wcześniej pisałam biorę z MX-a: http://mxrepo.com/mx/repo/pool/non-free/i/intel-microcode/

Tak to wygląda:

./spectre-meltdown-checker.sh
Spectre and Meltdown mitigation detection tool v0.34

Checking for vulnerabilities on current system
Kernel is Linux 4.15.1-debian-security #1 SMP Mon Feb 5 21:12:47 CET 2018 x86_64
CPU is Intel(R) Celeron(R) 2.80GHz

Hardware check
* Hardware support (CPU microcode) for mitigation techniques
* Indirect Branch Restricted Speculation (IBRS)
* SPEC_CTRL MSR is available: NO
* CPU indicates IBRS capability: NO
* Indirect Branch Prediction Barrier (IBPB)
* PRED_CMD MSR is available: NO
* CPU indicates IBPB capability: NO
* Single Thread Indirect Branch Predictors (STIBP)
* SPEC_CTRL MSR is available: NO
* CPU indicates STIBP capability: NO
* Enhanced IBRS (IBRS_ALL)
* CPU indicates ARCH_CAPABILITIES MSR availability: NO
* ARCH_CAPABILITIES MSR advertises IBRS_ALL capability: NO
* CPU explicitly indicates not being vulnerable to Meltdown (RDCL_NO): NO
* CPU microcode is known to cause stability problems: NO (model 60 stepping 3 ucode 0x22)
* CPU vulnerability to the three speculative execution attacks variants
* Vulnerable to Variant 1: YES
* Vulnerable to Variant 2: YES
* Vulnerable to Variant 3: YES

CVE-2017-5753 [bounds check bypass] aka 'Spectre Variant 1'
* Mitigated according to the /sys interface: NO (kernel confirms your system is vulnerable)
* Kernel has array_index_mask_nospec: YES (1 occurence(s) found of 64 bits array_index_mask_nospec())
> STATUS: NOT VULNERABLE (Kernel source has been patched to mitigate the vulnerability (silent backport of array_index_mask_nospec))

CVE-2017-5715 [branch target injection] aka 'Spectre Variant 2'
* Mitigated according to the /sys interface: YES (kernel confirms that the mitigation is active)
* Mitigation 1
* Kernel is compiled with IBRS/IBPB support: NO
* Currently enabled features
* IBRS enabled for Kernel space: NO
* IBRS enabled for User space: NO
* IBPB enabled: NO
* Mitigation 2
* Kernel compiled with retpoline option: YES
* Kernel compiled with a retpoline-aware compiler: YES (kernel reports full retpoline compilation)
* Retpoline enabled: YES
> STATUS: NOT VULNERABLE (Mitigation: Full generic retpoline)

CVE-2017-5754 [rogue data cache load] aka 'Meltdown' aka 'Variant 3'
* Mitigated according to the /sys interface: YES (kernel confirms that the mitigation is active)
* Kernel supports Page Table Isolation (PTI): YES
* PTI enabled and active: YES
* Running as a Xen PV DomU: NO
> STATUS: NOT VULNERABLE (Mitigation: PTI)

A false sense of security is worse than no security at all, see --disclaimer

PS. do gruba dorzucam "spectre_v2=on pti_enabled=1" ale nie wiem, czy to konieczne.

Ostatnio edytowany przez Renia (2018-02-06 00:46:59)

morfik · 2018-02-06 06:09:47

No bo masz pewnie włączone instalowanie pakietów rekomendowanych. Normalnie wygląda to tak:

Kod:

#  apt-get install linux-image-aptosid-amd64
Reading package lists... Done
Building dependency tree
Reading state information... Done
The following additional packages will be installed:
  linux-image-4.15.0-0.slh.2-aptosid-amd64
Suggested packages:
  linux-doc-4.15
Recommended packages:
  irqbalance linux-headers-aptosid-amd64
The following NEW packages will be installed:
  linux-image-4.15.0-0.slh.2-aptosid-amd64 linux-image-aptosid-amd64
0 upgraded, 2 newly installed, 0 to remove and 14 not upgraded.
Need to get 40.5 MB of archives.
After this operation, 216 MB of additional disk space will be used.
Do you want to continue? [Y/n]

KerneLpaniC · 2018-02-06 09:44:18

Gdy zainstalowałem sam linux-image-4.15.0-0.slh.2-aptosid-amd64 to przy uruchamianiu miałem same errory z dependence, może dlatego źle funkcjonował na moim hp, ale jak wyżej raczej nie chce mieszać w zależnościach.

urbinek · 2018-02-06 14:13:13

Zainstalowałem linux-image-aptosid-amd64, sterownik nie chcial się zaktualizować bo gcc =/=7.3.0. Podniosłem gcc, dalej nie działało.

Cofnąłem kernel ale nie potrafię cofnąć gcc i spółki z 7.3.0 do 7.2.0 więc nie mam środowiska graficznego :D

Kiedy się nauczę, żeby tego nie mieszać

KerneLpaniC · 2018-02-06 14:32:40

Takie większe zabawy u mnie to tylko po backupie ;p

urbinek · 2018-02-06 14:38:27

Backup mam ale systemu :D

Renia · 2018-02-06 14:54:15

@urbinek
Nie na darmo pisałam, że trzeba instalować tylko linux-image-4.15.0-0.slh.2-aptosid-amd64, by przypadkowo nie podnosić wersji GCC zanim nie przetestujemy kernela. Ale nie wszystko stracone, bo wersję danego pakietu/ów można cofnąć, przykładowe polecenia:

Kod:

sudo apt-get install --reinstall gcc -t stretch
sudo apt-get install --reinstall gcc-7 -t buster

Edit:
Tymczasem skończyłam robić kernel 4.15.1 32-bit dla Jessie, zaraz dam znać jak się spisuje.

Ostatnio edytowany przez Renia (2018-02-06 15:16:17)

urbinek · 2018-02-06 15:28:01

@Renia,

Wiem wiem :) Ale w zależnościach zrobił mi się większy burdel

Kod:

root@haruko:~# apt-get install --reinstall gcc-7 -t buster
Czytanie list pakietów... Gotowe
Budowanie drzewa zależności
Odczyt informacji o stanie... Gotowe
Nie udało się zainstalować niektórych pakietów. Może to oznaczać,
że zażądano niemożliwej sytuacji lub użyto dystrybucji niestabilnej,
w której niektóre pakiety nie zostały jeszcze utworzone lub przeniesione
z katalogu Incoming ("Przychodzące").
Następujące informacje mogą pomóc rozwiązać sytuację:

Następujące pakiety mają niespełnione zależności:
 gcc-7 : Wymaga: cpp-7 (= 7.2.0-19) ale nie zostanie zainstalowany
         Wymaga: gcc-7-base (= 7.2.0-19) ale 7.3.0-1 ma zostać zainstalowany
         Wymaga: libgcc-7-dev (= 7.2.0-19) ale nie zostanie zainstalowany
E: Nie udało się naprawić problemów, zatrzymano uszkodzone pakiety.
root@haruko:~# apt-get install --reinstall gcc-7-base -t buster
Czytanie list pakietów... Gotowe
Budowanie drzewa zależności
Odczyt informacji o stanie... Gotowe
Ponowna instalacja pakietu gcc-7-base nie jest możliwa, nie może on zostać pobrany.

Renia · 2018-02-06 15:44:10

Tak sobie zobacz:

Kod:

sudo apt-get install --reinstall gcc-7 cpp-7 gcc-7-base libgcc-7-dev -t buster

Jak nie da rady, to pobierz ręcznie te pakiety, zainstaluj gdebi i w ten sposób na pewno bezpiecznie zrobisz downgrade. Składnia jest prosta, gdebi nazwa_pakietu1 nazwa_pakietu2 itd.

Edit:
Wracając do Jessie 32-bit:

./spectre-meltdown-checker.sh
Spectre and Meltdown mitigation detection tool v0.34

Checking for vulnerabilities on current system
Kernel is Linux 4.15.1-security-gcc-patch #3 SMP Tue Feb 6 10:00:12 CET 2018 i686
CPU is Intel(R) Core(TM)2 Duo CPU E6850 @ 3.00GHz

Hardware check
* Hardware support (CPU microcode) for mitigation techniques
* Indirect Branch Restricted Speculation (IBRS)
* SPEC_CTRL MSR is available: NO
* CPU indicates IBRS capability: NO
* Indirect Branch Prediction Barrier (IBPB)
* PRED_CMD MSR is available: NO
* CPU indicates IBPB capability: NO
* Single Thread Indirect Branch Predictors (STIBP)
* SPEC_CTRL MSR is available: NO
* CPU indicates STIBP capability: NO
* Enhanced IBRS (IBRS_ALL)
* CPU indicates ARCH_CAPABILITIES MSR availability: NO
* ARCH_CAPABILITIES MSR advertises IBRS_ALL capability: NO
* CPU explicitly indicates not being vulnerable to Meltdown (RDCL_NO): NO
* CPU microcode is known to cause stability problems: NO (model 15 stepping 11 ucode 0xba)
* CPU vulnerability to the three speculative execution attacks variants
* Vulnerable to Variant 1: YES
* Vulnerable to Variant 2: YES
* Vulnerable to Variant 3: YES

CVE-2017-5753 [bounds check bypass] aka 'Spectre Variant 1'
* Mitigated according to the /sys interface: NO (kernel confirms your system is vulnerable)
* Kernel has array_index_mask_nospec: YES (1 occurence(s) found of 32 bits array_index_mask_nospec())
> STATUS: NOT VULNERABLE (Kernel source has been patched to mitigate the vulnerability (silent backport of array_index_mask_nospec))

CVE-2017-5715 [branch target injection] aka 'Spectre Variant 2'
* Mitigated according to the /sys interface: YES (kernel confirms that the mitigation is active)
* Mitigation 1
* Kernel is compiled with IBRS/IBPB support: NO
* Currently enabled features
* IBRS enabled for Kernel space: NO
* IBRS enabled for User space: NO
* IBPB enabled: NO
* Mitigation 2
* Kernel compiled with retpoline option: YES
* Kernel compiled with a retpoline-aware compiler: YES (kernel reports full retpoline compilation)
* Retpoline enabled: YES
> STATUS: NOT VULNERABLE (Mitigation: Full generic retpoline)

CVE-2017-5754 [rogue data cache load] aka 'Meltdown' aka 'Variant 3'
* Mitigated according to the /sys interface: NO (kernel confirms your system is vulnerable)
* Kernel supports Page Table Isolation (PTI): NO
* PTI enabled and active: NO
* Running as a Xen PV DomU: NO
> STATUS: VULNERABLE (PTI is needed to mitigate the vulnerability)

A false sense of security is worse than no security at all, see --disclaimer

PTI nie ma, co prawda ktoś porobił łatki na 32-bit, ale z nimi system restartuje się więc nic na siłę.

Edit2:
Zaznaczam, że moje kernele nie wymuszają upgrade GCC, wymagane do instalacji jest tylko to co zazwyczaj jest w systemie, czyli kmod linux-base init-ramfstools (ten ostatni najlepiej najnowszy z backportów).

Ostatnio edytowany przez Renia (2018-02-06 16:52:25)

morfik · 2018-02-06 17:10:15

A nie prościej jest ustawić PIN na testing/stable, coś ala:

Kod:

Package: *
Pin: release o=Debian,a=testing
Pin-Priority: 1001

i dać apt-get dist-upgrade ? xD Raz dwa cofnie do testinga i fiksnie wszelkie zależności. Ja już nie pamiętam ile razy już tak dawałem downgrade z sida do testinga i zawsze działało. xD Choć się nauczyłem zaglądać w log apt (jak coś to kopia jest zawsze w /var/log/apt/) no i piny nadaje tylko aktualizowanym pakietom, coś w stylu:

Kod:

Package: *gtk-3* *gtksource*-3*
Pin: release o=Debian,a=testing
Pin: version 3.18*
Pin-Priority: 1001

Ten wyżej to był akurat upgrade gtk3, który się zakończył katastrofą w przeszłości ale system się podniósł parę minut później. xD

Także zobaczcie sobie co tam było w upgrade.

urbinek · 2018-02-07 20:33:11

morfik napisał(-a):
A nie prościej jest ustawić PIN na testing/stable, coś ala:
Kod:
Package: *
Pin: release o=Debian,a=testing
Pin-Priority: 1001
i dać apt-get dist-upgrade ? xD R

*_* na to w sumie nie wpadłem, cofnęło wszystko i działa :D

Renia · 2018-02-08 15:11:24

arturek napisał(-a):
Łatki z 4.15.1 będą w 4.14.18

https://git.kernel.org/pub/scm/linux/kernel/git/sta … 341ce7f1fe696

4.14.18 oraz 4.15.2 już są, właśnie skompilowałam ten ostatni:

./spectre-meltdown-checker.sh
Spectre and Meltdown mitigation detection tool v0.34+

Checking for vulnerabilities on current system
Kernel is Linux 4.15.2-security #1 SMP Thu Feb 8 00:53:08 CET 2018 x86_64
CPU is Intel(R) Celeron(R) 2.80GHz

Hardware check
* Hardware support (CPU microcode) for mitigation techniques
* Indirect Branch Restricted Speculation (IBRS)
* SPEC_CTRL MSR is available: NO
* CPU indicates IBRS capability: NO
* Indirect Branch Prediction Barrier (IBPB)
* PRED_CMD MSR is available: NO
* CPU indicates IBPB capability: NO
* Single Thread Indirect Branch Predictors (STIBP)
* SPEC_CTRL MSR is available: NO
* CPU indicates STIBP capability: NO
* Enhanced IBRS (IBRS_ALL)
* CPU indicates ARCH_CAPABILITIES MSR availability: NO
* ARCH_CAPABILITIES MSR advertises IBRS_ALL capability: NO
* CPU explicitly indicates not being vulnerable to Meltdown (RDCL_NO): NO
* CPU microcode is known to cause stability problems: NO (model 60 stepping 3 ucode 0x22)
* CPU vulnerability to the three speculative execution attacks variants
* Vulnerable to Variant 1: YES
* Vulnerable to Variant 2: YES
* Vulnerable to Variant 3: YES

CVE-2017-5753 [bounds check bypass] aka 'Spectre Variant 1'
* Mitigated according to the /sys interface: YES (kernel confirms that the mitigation is active)
* Kernel has array_index_mask_nospec: YES (1 occurence(s) found of 64 bits array_index_mask_nospec())
> STATUS: NOT VULNERABLE (Mitigation: __user pointer sanitization)

CVE-2017-5715 [branch target injection] aka 'Spectre Variant 2'
* Mitigated according to the /sys interface: YES (kernel confirms that the mitigation is active)
* Mitigation 1
* Kernel is compiled with IBRS/IBPB support: NO
* Currently enabled features
* IBRS enabled for Kernel space: NO
* IBRS enabled for User space: NO
* IBPB enabled: NO
* Mitigation 2
* Kernel compiled with retpoline option: YES
* Kernel compiled with a retpoline-aware compiler: YES (kernel reports full retpoline compilation)
* Retpoline enabled: NO
> STATUS: NOT VULNERABLE (Mitigation: Full generic retpoline)

CVE-2017-5754 [rogue data cache load] aka 'Meltdown' aka 'Variant 3'
* Mitigated according to the /sys interface: YES (kernel confirms that the mitigation is active)
* Kernel supports Page Table Isolation (PTI): YES
* PTI enabled and active: YES
* Running as a Xen PV DomU: NO
> STATUS: NOT VULNERABLE (Mitigation: PTI)

Niespodzianka, bo Retpoline jest, ale nieaktywne i nie pomaga ustawienie w grubie "spectre_v2=on".

arturek · 2018-02-12 20:40:29

Łatki będą w 4.9.81
https://git.kernel.org/pub/scm/linux/kernel/git/sta … 019934a43c5e6

tylko w "Stretch" bez gcc-7.3, za niewiele to da

Ostatnio edytowany przez arturek (2018-02-12 20:46:50)

ciastek1981 · 2018-02-17 22:06:58

Dobre trojany przynoszą porcję kolejnych "pozytywnych" wiadomości

https://www.dobreprogramy.pl/Ulepszone-wersje-atako … ws,86128.html

KerneLpaniC · 2018-02-18 12:12:47

sid 4.14.17-1 fixed

morfik · 2018-02-21 23:47:54

Do sida trafił 4.15.0-1-amd64 i tu już wszystko jest "fixed", także chyba w końcu połatali. xD

hi · 2018-02-22 02:06:47

btw. a jaja od aptosida nie mają już problemu z blobem od nvidii najnowszym i vmware? Kiedyś za cholerę nie mógł mi zbudować modułów (najnowsze gcc zgodne z hedersem było) i przerzuciłem się na liquorixa (duży plus to, że ZEN ogarnia apparmora w przeciwieństwie do jajek od aptosida)

Ostatnio edytowany przez hi (2018-02-22 02:10:40)

KerneLpaniC · 2018-02-22 09:47:10

A ja dalej nie wiem co zrobić ze swoim stretchem... tylko na meltdown nie jestem podatny..

Renia · 2018-02-22 12:31:24

Musisz czekać, aż GGC 7.0.3 wejdzie do Stretcha. Albo zrobić upgrade do tej wersji i zainstalować kernel z Sida.

KerneLpaniC · 2018-02-22 12:50:22

a skad pewnosc ze 7.0.3 wejdzie do Stretch?

Renia · 2018-02-22 12:58:31

Źle napisałam, chodzi o 7.3.0. Wystarczy, żeby w backport się znalazło.

arturek · 2018-02-22 17:13:12

Renia napisał(-a):
Źle napisałam, chodzi o 7.3.0. Wystarczy, żeby w backport się znalazło.

Do Stretch wejdzie

Kod:

 gcc-6 (6.3.0-18+deb9u1) stretch-security; urgency=medium
 .
   * Backport of retpoline support by HJ Lu

https://tracker.debian.org/news/935148

czyli gcc-6 z łatkami retpoline

Renia · 2018-02-22 17:38:17

Nie wiem, czy ta łatka załatwia problem na GCC 6, jeśli tak, to dobrze, ale dla tych co będą kernel sami kompilować. Reszta musi brać co jest, czyli 4.14 albo 4.15 z Debiana, a tam użyte jest GCC 7.3.0:

Kod:

cat /proc/version
Linux version 4.14.0-3-amd64 (debian-kernel@lists.debian.org) (gcc version 7.3.0 (Debian 7.3.0-3)) #1 SMP Debian 4.14.17-1 (2018-02-14)

Forum Debian Users Gang

Ogłoszenie

#176 2018-02-05 22:18:58

morfik - Cenzor wirtualnego świata

Re: Poważny błąd w CPU Intela wymaga jego wymiany albo spowolnienia do 63%

Kod:

#177 2018-02-05 22:28:15

arturek - Członek DUG

Re: Poważny błąd w CPU Intela wymaga jego wymiany albo spowolnienia do 63%

#178 2018-02-06 00:32:32

Renia - Użytkownik

Re: Poważny błąd w CPU Intela wymaga jego wymiany albo spowolnienia do 63%

Kod:

Kod:

#179 2018-02-06 06:09:47

morfik - Cenzor wirtualnego świata

Re: Poważny błąd w CPU Intela wymaga jego wymiany albo spowolnienia do 63%

Kod:

#180 2018-02-06 09:44:18

KerneLpaniC - Użytkownik

Re: Poważny błąd w CPU Intela wymaga jego wymiany albo spowolnienia do 63%

#181 2018-02-06 14:13:13

urbinek - Dzban Naczelny

Re: Poważny błąd w CPU Intela wymaga jego wymiany albo spowolnienia do 63%

#182 2018-02-06 14:32:40

KerneLpaniC - Użytkownik

Re: Poważny błąd w CPU Intela wymaga jego wymiany albo spowolnienia do 63%

#183 2018-02-06 14:38:27

urbinek - Dzban Naczelny

Re: Poważny błąd w CPU Intela wymaga jego wymiany albo spowolnienia do 63%

#184 2018-02-06 14:54:15

Renia - Użytkownik

Re: Poważny błąd w CPU Intela wymaga jego wymiany albo spowolnienia do 63%

Kod:

#185 2018-02-06 15:28:01

urbinek - Dzban Naczelny

Re: Poważny błąd w CPU Intela wymaga jego wymiany albo spowolnienia do 63%

Kod:

#186 2018-02-06 15:44:10

Renia - Użytkownik

Re: Poważny błąd w CPU Intela wymaga jego wymiany albo spowolnienia do 63%

Kod:

#187 2018-02-06 17:10:15

morfik - Cenzor wirtualnego świata

Re: Poważny błąd w CPU Intela wymaga jego wymiany albo spowolnienia do 63%

Kod:

Kod:

#188 2018-02-07 20:33:11

urbinek - Dzban Naczelny

Re: Poważny błąd w CPU Intela wymaga jego wymiany albo spowolnienia do 63%

morfik napisał(-a):

Kod:

#189 2018-02-08 15:11:24

Renia - Użytkownik

Re: Poważny błąd w CPU Intela wymaga jego wymiany albo spowolnienia do 63%

arturek napisał(-a):

#190 2018-02-12 20:40:29

arturek - Członek DUG

Re: Poważny błąd w CPU Intela wymaga jego wymiany albo spowolnienia do 63%

#191 2018-02-17 22:06:58

ciastek1981 - Użytkownik

Re: Poważny błąd w CPU Intela wymaga jego wymiany albo spowolnienia do 63%

#192 2018-02-18 12:12:47

KerneLpaniC - Użytkownik

Re: Poważny błąd w CPU Intela wymaga jego wymiany albo spowolnienia do 63%

#193 2018-02-21 23:47:54

morfik - Cenzor wirtualnego świata

Re: Poważny błąd w CPU Intela wymaga jego wymiany albo spowolnienia do 63%

#194 2018-02-22 02:06:47

hi - Zbanowany

Re: Poważny błąd w CPU Intela wymaga jego wymiany albo spowolnienia do 63%

#195 2018-02-22 09:47:10

KerneLpaniC - Użytkownik

Re: Poważny błąd w CPU Intela wymaga jego wymiany albo spowolnienia do 63%

#196 2018-02-22 12:31:24

Renia - Użytkownik

Re: Poważny błąd w CPU Intela wymaga jego wymiany albo spowolnienia do 63%

#197 2018-02-22 12:50:22

KerneLpaniC - Użytkownik

Re: Poważny błąd w CPU Intela wymaga jego wymiany albo spowolnienia do 63%