Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
Windziarze też mają przeboje z poprawką. Clickbait ...
Co ciekawe, problem leży nie po stronie błędów w oprogramowaniu, ale w konstrukcji sprzętu. Okazało się bowiem, że niektóre procesory są niezgodne ze specyfikacją, którą firma AMD dostarczyła programistom Microsoftu.
https://www.dobreprogramy.pl/Microsoft-zatrzymal-la … ws,85293.html
PS Oryginalny komunikat
Microsoft has received reports of some AMD devices getting into an unbootable state after installation of recent Windows operating system security updates. After investigating, Microsoft determined that some AMD chipsets do not conform to the documentation previously provided to Microsoft to develop the Windows operating system mitigations to protect against the chipset vulnerabilities known as Spectre and Meltdown.
https://support.microsoft.com/en-us/help/4073707/wi … based-devices
Ostatnio edytowany przez ciastek1981 (2018-01-10 00:38:46)
Offline
arecki napisał(-a):
Skrypt fajny.
Problem jest jedynie taki, na ile rozumiem ten skrypt, że nie daje mi informacji czy procesor jest podatny, daje jedynie informację czy system jest załatany (na tyle na ile to możliwe wg dzisiejszej wiedzy na temat przedmiotowych ataków).
Taka jego rola, w pierwszej linijce opisu na stronie autora jest podane: "A simple shell script to tell if your Linux installation is vulnerable against the 3 "speculative execution" CVEs." Dla tych co mają wątpliwości, czy jakiś starszy procesor jest podany bardziej adekwatne będą wcześniej podawane narzędzia. Wszystkim z nowszym sprzętem pozostaje łatanie na poziomie systemu operacyjnego.
Z ciekawości sprawdziłam jak sprawy mają się na CentOS, bo podobno pracują nad tym i po aktualizacji kernela jest już postęp, nie idealnie jak u Red Hata, ale i tak lepiej niż w innych dystrybucjach:
Offline
Renia napisał(-a):
nie idealnie jak u Red Hata, ale i tak lepiej niż w innych dystrybucjach
Nie ma to jak ślepa wiara w jakieś prowizoryczne skrypty z GitHuba.
Greg Kroah-Hartman napisał(-a):
For upstream, well, the status is there is no fixes merged into any upstream tree for these types of issues yet. There are numerous patches floating around on the different mailing lists that are proposing solutions for how to resolve them, but they are under heavy development, some of the patch series do not even build or apply to any known trees, the series conflict with each other, and it’s a general mess.
This is due to the fact that the Spectre issues were the last to be addressed by the kernel developers. All of us were working on the Meltdown issue, and we had no real information on exactly what the Spectre problem was at all, and what patches were floating around were in even worse shape than what have been publicly posted.
Because of all of this, it is going to take us in the kernel community a few weeks to resolve these issues and get them merged upstream. The fixes are coming in to various subsystems all over the kernel, and will be collected and released in the stable kernel updates as they are merged, so again, you are best off just staying up to date with either your distribution’s kernel releases, or the LTS and stable kernel releases.
[…]
The proposed solutions are not trivial, but some of them are amazingly good. The Retpoline post from Paul Turner is an example of some of the new concepts being created to help resolve these issues. This is going to be an area of lots of research over the next years to come up with ways to mitigate the potential problems involved in hardware that wants to try to predict the future before it happens.
Offline
Dla mnie ten skrypt jest ciekawostką (aktualizacje i poprawki co kilka godzin więc to raczej coś w rodzaju wersji testowej), a nie specjalistycznym narzędziem, bo takich jeszcze nie ma. Bardzo przydatny, bo nie muszę pisać swoich skryptów, żeby sprawdzać, czy patche i mikrokody, które mnie interesują są w danym kernelu.
A faktem jest, że Red Hat zadał sobie trud i nałożył łatki wedle własnej koncepcji, co można sobie sprawdzić nawet bez skryptu jak ktoś ma dostęp do maszyny z RHE6. Płatny support rządzi się swoimi prawami. Aktualizacja poszła też do CentOS.
Ostatnio edytowany przez Renia (2018-01-10 10:53:22)
Offline
Intel w końcu wydał firmware:
https://downloadcenter.intel.com/download/27431/Lin … ode-Data-File
Offline
Cześć.. ja czegoś nie rozumiem, mam debiana jessie i niby tego patcha a tu takie coś... ktoś mi powie o co chodzi bo nie jestem specem jak wy ;-)
Offline
Jessie na razie jest załatane tylko na Meltdown.
Sprawdź sobie czy masz łatkę zgodnie z tym co pisze #2.
Online
@KerneLpaniC:
dmesg | grep "Kernel/User page tables isolation:"
arecki napisał(-a):
Sprawdź sobie czy masz łatkę zgodnie z tym co pisze #2.
Dosyć karkołomna to metoda ;)
Offline
@yossarian, w ten sposób będzie miał przeszukane wszystkie konfiguracje.
Mało prawdopodobne ale, może po prostu "siedzi" nie na tym jajku.
Online
Na tym zrzucie widać na którym kernelu:
3.16.51-3 z 13 Dec 2017
Łatka prawdopodobnie jeszcze nieaktywna
W ogóle skąd taka lamerska maniera wrzucania obrazków z wynikami konsolowych narzędzi?
Offline
Ten skrypt niekoniecznie musi podawać prawdę.
Niektórzy lubią jak jest kolorowo :D.
Online
dmesg zawsze powie prawdę bo to z aktualnie uruchomionego systemu.
A te wszystkie skrypty niekoniecznie…
arecki napisał(-a):
Niektórzy lubią jak jest kolorowo :D.
Polecam kredki.
Offline
@KerneLpaniC
Skrypt zgodnie z zaleceniami autora uruchom z prawami roota, czyli trzeba użyć su lub sudo.
yossarian napisał(-a):
W ogóle skąd taka lamerska maniera wrzucania obrazków z wynikami konsolowych narzędzi?
Po to, żeby wieczni malkontenci mieli się czego przyczepić :)
arecki napisał(-a):
Ten skrypt niekoniecznie musi podawać prawdę.
Ale akurat podał po raz kolejny prawdę mimo, że wszystkiego nie odczytał, bo kernel 3.16 z Debiana jest załatany na Meltdown dopiero od wersji 3.16.51-3+deb8u1.
Offline
yossarian napisał(-a):
arecki napisał(-a):
Niektórzy lubią jak jest kolorowo :D.
Polecam kredki.
@yossarian tobie polecam tabletki na ból pewnej części ciała ;)
Ostatnio edytowany przez arecki (2018-01-10 14:48:50)
Online
Tabletki potem, gdy już wszystkim pokażesz jak skopiować fragment wyników tych skryptów — oczywiście w formie tekstowej.
Offline
arecki napisał(-a):
yossarian napisał(-a):
arecki napisał(-a):
Niektórzy lubią jak jest kolorowo :D.
Polecam kredki.
@yossarian tobie polecam tabletki na ból pewnej części ciała ;)
Maść działa o wiele lepiej bo miejscowo ;)
Offline
Mój bład... kernel mi sie nie zaktualizował, teraz test z kernelem z patchem dla jessie..
po patchu nadal dziura? czy to ma zwiazek z tym ze system 32 bit?
Ostatnio edytowany przez KerneLpaniC (2018-01-10 15:00:59)
Offline
urbinek napisał(-a):
Maść działa o wiele lepiej bo miejscowo ;)
Niektórym by się przydała na inną część ciała, ale taka niestety nie istnieje.
Pozostają tradycyjne szpitale wysoce specjalistyczne;)
Polecam powrót do tematu wątku.
Offline
yossarian napisał(-a):
urbinek napisał(-a):
Maść działa o wiele lepiej bo miejscowo ;)
Niektórym by się przydała na inną część działa, ale taka niestety nie istnieje.
Pozostają tradycyjne szpitale wysoce specjalistyczne;)
Polecam powrót do tematu wątku.
To po co wywoływałeś zboczenie z głównego wątku? :>
Offline
Dajcie już spokój z kłótniami :)
@KerneLpaniC
Jak już korzystasz ze skryptu to uruchom go jak autor zaleca:
sudo sh ./spectre-meltdown-checker.sh
Offline
@Renia ok... zrobiłem jak radzisz ale wynik ten sam.. 3x VULNERABLE ... nie rozumiem czy patch nie działa ,czy to wina 32bit bo tak mi ktoś zasugerował, czy skrypt nie działa jak powinien.
Offline
A wystarczyło zajrzeć do dziennika zmian:
* [amd64] Implement Kernel Page Table Isolation (KPTI, aka KAISER)
(CVE-2017-5754)
Offline
No to d.... nie patch :)
Offline
Czyli wszystko się zgadza, a skrypt nie kłamie. Ten kernel nie ma patcha na Meltdown, można też sprawdzić w konfigu:
cat config-3.16.0-4-686-pae | grep ISOLATION CONFIG_MEMORY_ISOLATION=y
Offline
W Stretchu jest podobnie:
* x86: setup PCID, preparation work for KPTI.
- x86/mm/64: Fix reboot interaction with CR4.PCIDE
- x86/mm: Add the 'nopcid' boot option to turn off PCID
- x86/mm: Disable PCID on 32-bit kernels
- x86/mm: Enable CR4.PCIDE on supported systems
* [amd64] Implement Kernel Page Table Isolation (KPTI, aka KAISER)
(CVE-2017-5754)
Załatanie tego wszystkiego jeszcze długo potrwa.
Offline