Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
Problemów nie miałam, kernel 4.15 z 28 stycznia ładnie się kompiluje, ale trzeba pamiętać o aktualizacji GCC.
Na szybko zainstalowałam mikrokody Intela z dystrybucji MX-15:
apt-cache policy intel-microcode intel-microcode: Zainstalowana: 3.20180123really20171117.1+mx15 Kandydująca: 3.20180123really20171117.1+mx15 Tabela wersji: *** 3.20180123really20171117.1+mx15 100 99 http://mxrepo.com/mx/repo mx15/non-free amd64 Packages 100 /var/lib/dpkg/status
Teraz mam już 3x "NOT VULNERABLE".
./spectre-meltdown-checker.sh
Spectre and Meltdown mitigation detection tool v0.33+
Checking for vulnerabilities on current system
Kernel is Linux 4.15.0-gcc-patch-unsigned-security #1 SMP PREEMPT Tue Jan 30 00:40:32 CET 2018 x86_64
CPU is Intel(R) Celeron(R) CPU 2.80GHz
Hardware check
* Hardware support (CPU microcode) for mitigation techniques
* Indirect Branch Restricted Speculation (IBRS)
* SPEC_CTRL MSR is available: NO
* CPU indicates IBRS capability: NO
* Indirect Branch Prediction Barrier (IBPB)
* PRED_CMD MSR is available: NO
* CPU indicates IBPB capability: NO
* Single Thread Indirect Branch Predictors (STIBP)
* SPEC_CTRL MSR is available: NO
* CPU indicates STIBP capability: NO
* Enhanced IBRS (IBRS_ALL)
* CPU indicates ARCH_CAPABILITIES MSR availability: NO
* ARCH_CAPABILITIES MSR advertises IBRS_ALL capability: NO
* CPU explicitly indicates not being vulnerable to Meltdown (RDCL_NO): NO
* CPU microcode is known to cause stability problems: NO
* CPU vulnerability to the three speculative execution attacks variants
* Vulnerable to Variant 1: YES
* Vulnerable to Variant 2: YES
* Vulnerable to Variant 3: YES
CVE-2017-5753 [bounds check bypass] aka 'Spectre Variant 1'
* Mitigated according to the /sys interface: NO (kernel confirms your system is vulnerable)
* Kernel has array_index_mask_nospec: YES (1 occurence(s) found of 64 bits array_index_mask_nospec())
> STATUS: NOT VULNERABLE (Kernel source has been patched to mitigate the vulnerability (silent backport of array_index_mask_nospec))
CVE-2017-5715 [branch target injection] aka 'Spectre Variant 2'
* Mitigated according to the /sys interface: YES (kernel confirms that the mitigation is active)
* Mitigation 1
* Kernel is compiled with IBRS/IBPB support: NO
* Currently enabled features
* IBRS enabled for Kernel space: NO
* IBRS enabled for User space: NO
* IBPB enabled: NO
* Mitigation 2
* Kernel compiled with retpoline option: YES
* Kernel compiled with a retpoline-aware compiler: YES (kernel reports full retpoline compilation)
* Retpoline enabled: YES
> STATUS: NOT VULNERABLE (Mitigation: Full generic retpoline)
CVE-2017-5754 [rogue data cache load] aka 'Meltdown' aka 'Variant 3'
* Mitigated according to the /sys interface: YES (kernel confirms that the mitigation is active)
* Kernel supports Page Table Isolation (PTI): YES
* PTI enabled and active: YES
* Running as a Xen PV DomU: NO
> STATUS: NOT VULNERABLE (Mitigation: PTI)
A false sense of security is worse than no security at all, see --disclaimer
Ładnie wygląda, ale co z tego :)
Ostatnio edytowany przez Renia (2018-01-30 19:02:45)
Offline
Zazdro. Szkoda że nia ma gotowej paczki deb :D a komputer jak sie zachowuje? Jest wolniej? Stabilnie? Co to za microcode? Nieoficjalne? MX repo? Co to? Dla jakiego debiana to to jest? Przepraszam ale nie ogarniam jak Ty ;-)
Offline
Co do MX http://teharris.net/ i http://mxrepo.com/ Tylko nie wiem gdzie do 17 dali repo. Ogólnie MEPIS, Antix i MX Linux - bardzo konkretna ekipa, wspomagają też i Debiana dla przykładu http://forums.debian.net/viewtopic.php?f=6&t=127574
Offline
MX to fork debiana z usprawnieniami ? łatają szybciej od oficjalnej wersji?
Offline
@KerneLpaniC
MX to taka fajna dystrybucja oparta na Debianie, mają czasami szybciej nowe programy niż inni, mikrokody są w ich repo: http://mxrepo.com/mx/repo/pool/non-free/i/intel-microcode/
Mój kernel 4.15 jak na razie działa stabilnie, nie "wywraca się" jak ten z Ubuntu. Jak chcesz potestować mogę udostępnić pliki deb i źródła.
Offline
Debian > Antix > MX , chyba tak? Z tą różnicą, że Antix może być ustawiony na Stable, Testing, Sid, a MX jedzie na Stable. Jedna z niewielu dystrybucji w której panują nad warstwą wizualną i nad tym co pod maską. Systemd jest "disabled by default" (to akurat wada ;) ). Google Chrome, stery Nvidii czy kernel Liquorix instalujesz przez "ptaszkowanie" lub kliknięcie ikonki w menu. Dużo nakładek graficznych np. na Conky, klikasz i wybierasz co ci się podoba + od razu możliwość poprawienia konfigu.
Ostatnio edytowany przez ciastek1981 (2018-01-31 00:09:24)
Offline
Dzięki za info ;-)
@Renia jeśli to nie problem dla Ciebie.. ;-) to poproszę, wciąż mało jeszcze wiem:)
Offline
Tymczasem pojawił się kernel 4.15 w Aptosidzie z zaaplikowanym Page Table Isolation oraz retpoline: http://aptosid.com/debian/pool/main/l/linux-aptosid/
Offline
Renia napisał(-a):
Tymczasem pojawił się kernel 4.15 w Aptosidzie z zaaplikowanym Page Table Isolation oraz retpoline: http://aptosid.com/debian/pool/main/l/linux-aptosid/
Nie używam kerneli aptosida - w 4.14 nie było PTI i reptoline?
Offline
sir_lucjan napisał(-a):
Renia napisał(-a):
Tymczasem pojawił się kernel 4.15 w Aptosidzie z zaaplikowanym Page Table Isolation oraz retpoline: http://aptosid.com/debian/pool/main/l/linux-aptosid/
Nie używam kerneli aptosida - w 4.14 nie było PTI i reptoline?
U mnie 4.14.14 ma oba mechanizmy wlączone:
egrep -i 'isolat|retpoline' /boot/config-4.14.14-g1 CONFIG_RETPOLINE=y CONFIG_PAGE_TABLE_ISOLATION=y
Aktualne jajo Debiana Bustera też jest jako-tako załatane:
egrep -i 'isolat|retpoline' /Debian/boot/config-4.14.0-3-amd64 CONFIG_MEMORY_ISOLATION=y CONFIG_PAGE_TABLE_ISOLATION=y
Ostatnio edytowany przez Jacekalex (2018-02-01 01:14:01)
Offline
To sobie jeszcze zobaczcie w 4.14, czy retpoline macie full, czy minimal:
grep . /sys/devices/system/cpu/vulnerabilities/* /sys/devices/system/cpu/vulnerabilities/meltdown:Mitigation: PTI /sys/devices/system/cpu/vulnerabilities/spectre_v1:Vulnerable /sys/devices/system/cpu/vulnerabilities/spectre_v2:Mitigation: Full generic retpoline uname -a Linux renia 4.15.0-0.slh.1-aptosid-amd64 #1 SMP PREEMPT aptosid 4.15-1 (2018-01-28) x86_64 GNU/Linux cat /proc/version Linux version 4.15.0-0.slh.1-aptosid-amd64 (s.l-h@gmx.de) (gcc version 7.3.0 (Debian 7.3.0-1)) #1 SMP PREEMPT aptosid 4.15-1 (2018-01-28)
Przy Full generic retpoline skrypt spectre-meltdown-checker pokaże takie info: * Kernel compiled with a retpoline-aware compiler: YES (kernel reports full retpoline compilation)
Aby to uzyskać kernel musi być skompilowany z gcc w wersji nie mniejszej niż 7.3.
Ostatnio edytowany przez Renia (2018-02-01 08:03:45)
Offline
Mój kernel jest załatany:
[lucjan@archlinux ~]$ grep . /sys/devices/system/cpu/vulnerabilities/* /sys/devices/system/cpu/vulnerabilities/meltdown:Mitigation: PTI /sys/devices/system/cpu/vulnerabilities/spectre_v1:Vulnerable /sys/devices/system/cpu/vulnerabilities/spectre_v2:Mitigation: Full generic retpoline [lucjan@archlinux ~]$ uname -a Linux archlinux 4.14.16-1-bfq-sq-mq-haswell-git #1 SMP PREEMPT Wed Jan 31 18:49:26 CET 2018 x86_64 GNU/Linux
Z tego co widziałem, stockowy kernel także.
Ostatnio edytowany przez sir_lucjan (2018-02-01 15:27:01)
Offline
Załatane, jak pobierze się kernel i skompiluje nowym GCC.
Kernele debianowe mają tylko PTI. Po prostu pokażcie wynik spectre-meltdown-checker to lepiej będzie widać co jest załatane i czy jest aktywne.
Offline
Póki co sid wygląda tak (przynajmniej u mnie xD):
Tak i wiem, że znowu się zaczniecie czepiać o wyjście z terminala w obrazku, ale naprawdę o wiele czytelniejsze jest takie wyjście niż zwykły czarny tekst w znacznikach code. xD
Offline
W Debianie jest wersja 4.14 z 14 stycznia:
https://security-tracker.debian.org/tracker/CVE-2017-5753
Offline
Pojawiła się kolejna aktualizacja kernela 4.15 w Aptosidzie więc praktycznie nie ma sensu męczyć się z robieniem własnego. Ale z ciekawości skompilowałam najświeższy 4.15.1 i oto wynik:
./spectre-meltdown-checker.sh
Spectre and Meltdown mitigation detection tool v0.34
Checking for vulnerabilities on current system
Kernel is Linux 4.15.1-gcc-patch-unsigned-security #1 SMP PREEMPT Sun Feb 4 23:27:11 CET 2018 x86_64
CPU is Intel(R) Celeron(R) 2.80GHz
Hardware check
* Hardware support (CPU microcode) for mitigation techniques
* Indirect Branch Restricted Speculation (IBRS)
* SPEC_CTRL MSR is available: NO
* CPU indicates IBRS capability: NO
* Indirect Branch Prediction Barrier (IBPB)
* PRED_CMD MSR is available: NO
* CPU indicates IBPB capability: NO
* Single Thread Indirect Branch Predictors (STIBP)
* SPEC_CTRL MSR is available: NO
* CPU indicates STIBP capability: NO
* Enhanced IBRS (IBRS_ALL)
* CPU indicates ARCH_CAPABILITIES MSR availability: NO
* ARCH_CAPABILITIES MSR advertises IBRS_ALL capability: NO
* CPU explicitly indicates not being vulnerable to Meltdown (RDCL_NO): NO
* CPU microcode is known to cause stability problems: NO (model 60 stepping 3 ucode 0x22)
* CPU vulnerability to the three speculative execution attacks variants
* Vulnerable to Variant 1: YES
* Vulnerable to Variant 2: YES
* Vulnerable to Variant 3: YES
CVE-2017-5753 [bounds check bypass] aka 'Spectre Variant 1'
* Mitigated according to the /sys interface: NO (kernel confirms your system is vulnerable)
* Kernel has array_index_mask_nospec: YES (1 occurence(s) found of 64 bits array_index_mask_nospec())
> STATUS: NOT VULNERABLE (Kernel source has been patched to mitigate the vulnerability (silent backport of array_index_mask_nospec))
CVE-2017-5715 [branch target injection] aka 'Spectre Variant 2'
* Mitigated according to the /sys interface: YES (kernel confirms that the mitigation is active)
* Mitigation 1
* Kernel is compiled with IBRS/IBPB support: NO
* Currently enabled features
* IBRS enabled for Kernel space: NO
* IBRS enabled for User space: NO
* IBPB enabled: NO
* Mitigation 2
* Kernel compiled with retpoline option: YES
* Kernel compiled with a retpoline-aware compiler: YES (kernel reports full retpoline compilation)
* Retpoline enabled: YES
> STATUS: NOT VULNERABLE (Mitigation: Full generic retpoline)
CVE-2017-5754 [rogue data cache load] aka 'Meltdown' aka 'Variant 3'
* Mitigated according to the /sys interface: YES (kernel confirms that the mitigation is active)
* Kernel supports Page Table Isolation (PTI): YES
* PTI enabled and active: YES
* Running as a Xen PV DomU: NO
> STATUS: NOT VULNERABLE (Mitigation: PTI)
A false sense of security is worse than no security at all, see --disclaimer
Offline
to ja już sam nie wiem czy czekać na łaty dla stretcha czy instalować z aptosida ;(
Offline
Długo możesz poczekać, bo GCC 7.3 jest dopiero w Unstable, a kompilacja z reptoline niższą wersją GCC ma średni sens. Kernel z Aptosida jest OK moim zdaniem, mam go jako drugi.
Ostatnio edytowany przez Renia (2018-02-05 12:48:32)
Offline
@Renia a czy w wolnej chwili mogłabyś mi napisać jakie pliki deb zainstalować i co w terminalu ewentualnie wklepać bo ja nie ogarniam tak mocno a kernele to kiedyś dawno w ubuntu sobie zmieniałem.
Mam 64bit system na intelu
Offline
Dodaj sobie do pliku /etc/apt/sources.list repozytorium Aptosida:
deb http://aptosid.office-vienna.at/aptosid/debian/ sid main fix.main
Potem:
sudo apt-get update sudo apt-get install aptosid-archive-keyring sudo apt-get update sudo apt-get install linux-image-4.15.0-0.slh.2-aptosid-amd64 sudo update-grub
Ostatnio edytowany przez Renia (2018-02-05 14:11:09)
Offline
dzięki wielkie ;-)
instalacja bez problemu ale przy starcie systemu sypało errorami
dwa procek się grzał o 10stopni wiecej niz zwyczajnie, do tego dziwna praca wiatraka
skrypt pokazywał ze jestem odporny tylko na meltdown i tylko jedną z wersji spectre więc coś nie tak
wróciłem do 4.9.0-5 ;p
Ostatnio edytowany przez KerneLpaniC (2018-02-05 14:53:52)
Offline
Co to za sprzęt? Laptop? Widocznie kernel Aptosidowy mu nie służy.
Offline
@Renia tak lapek ;-)
Offline
Jak już instalujecie kernele to instalujcie "metapakiety", typu: linux-image-aptosid-amd64 , wtedy będzie wam automatycznie aktualizował się kernel ile tylko wypuszczą nową wersję.
Offline
Metapakiety oczywiście lepiej, ale ten akurat pociągnie headers i jego zależności, a nie każdemu to potrzebne. Twórca Aprosida lubi laptopy, ale Acera, widzę, że łata pod tym kątem :)
Co do 4.15 myślę, że może wkrótce być w Experimental, bo siedzi tam wersja 4.15.0-rc8, kolejna wersja powinna być już z reptoline. Pod Debiana to raczej pewniejszy kernel niż innej dystrybucji.
Offline