Forum Debian Users Gang

Renia · 2018-01-30 18:45:21

Problemów nie miałam, kernel 4.15 z 28 stycznia ładnie się kompiluje, ale trzeba pamiętać o aktualizacji GCC.

Na szybko zainstalowałam mikrokody Intela z dystrybucji MX-15:

Kod:

apt-cache policy intel-microcode
intel-microcode:
  Zainstalowana: 3.20180123really20171117.1+mx15
  Kandydująca:   3.20180123really20171117.1+mx15
  Tabela wersji:
 *** 3.20180123really20171117.1+mx15 100
         99 http://mxrepo.com/mx/repo mx15/non-free amd64 Packages
        100 /var/lib/dpkg/status

Teraz mam już 3x "NOT VULNERABLE".

./spectre-meltdown-checker.sh
Spectre and Meltdown mitigation detection tool v0.33+

Checking for vulnerabilities on current system
Kernel is Linux 4.15.0-gcc-patch-unsigned-security #1 SMP PREEMPT Tue Jan 30 00:40:32 CET 2018 x86_64
CPU is Intel(R) Celeron(R) CPU 2.80GHz

Hardware check
* Hardware support (CPU microcode) for mitigation techniques
* Indirect Branch Restricted Speculation (IBRS)
* SPEC_CTRL MSR is available: NO
* CPU indicates IBRS capability: NO
* Indirect Branch Prediction Barrier (IBPB)
* PRED_CMD MSR is available: NO
* CPU indicates IBPB capability: NO
* Single Thread Indirect Branch Predictors (STIBP)
* SPEC_CTRL MSR is available: NO
* CPU indicates STIBP capability: NO
* Enhanced IBRS (IBRS_ALL)
* CPU indicates ARCH_CAPABILITIES MSR availability: NO
* ARCH_CAPABILITIES MSR advertises IBRS_ALL capability: NO
* CPU explicitly indicates not being vulnerable to Meltdown (RDCL_NO): NO
* CPU microcode is known to cause stability problems: NO
* CPU vulnerability to the three speculative execution attacks variants
* Vulnerable to Variant 1: YES
* Vulnerable to Variant 2: YES
* Vulnerable to Variant 3: YES

CVE-2017-5753 [bounds check bypass] aka 'Spectre Variant 1'
* Mitigated according to the /sys interface: NO (kernel confirms your system is vulnerable)
* Kernel has array_index_mask_nospec: YES (1 occurence(s) found of 64 bits array_index_mask_nospec())
> STATUS: NOT VULNERABLE (Kernel source has been patched to mitigate the vulnerability (silent backport of array_index_mask_nospec))

CVE-2017-5715 [branch target injection] aka 'Spectre Variant 2'
* Mitigated according to the /sys interface: YES (kernel confirms that the mitigation is active)
* Mitigation 1
* Kernel is compiled with IBRS/IBPB support: NO
* Currently enabled features
* IBRS enabled for Kernel space: NO
* IBRS enabled for User space: NO
* IBPB enabled: NO
* Mitigation 2
* Kernel compiled with retpoline option: YES
* Kernel compiled with a retpoline-aware compiler: YES (kernel reports full retpoline compilation)
* Retpoline enabled: YES
> STATUS: NOT VULNERABLE (Mitigation: Full generic retpoline)

CVE-2017-5754 [rogue data cache load] aka 'Meltdown' aka 'Variant 3'
* Mitigated according to the /sys interface: YES (kernel confirms that the mitigation is active)
* Kernel supports Page Table Isolation (PTI): YES
* PTI enabled and active: YES
* Running as a Xen PV DomU: NO
> STATUS: NOT VULNERABLE (Mitigation: PTI)

A false sense of security is worse than no security at all, see --disclaimer

Ładnie wygląda, ale co z tego :)

Ostatnio edytowany przez Renia (2018-01-30 19:02:45)

KerneLpaniC · 2018-01-30 21:33:58

Zazdro. Szkoda że nia ma gotowej paczki deb :D a komputer jak sie zachowuje? Jest wolniej? Stabilnie? Co to za microcode? Nieoficjalne? MX repo? Co to? Dla jakiego debiana to to jest? Przepraszam ale nie ogarniam jak Ty ;-)

ciastek1981 · 2018-01-30 21:53:49

Co do MX http://teharris.net/ i http://mxrepo.com/ Tylko nie wiem gdzie do 17 dali repo. Ogólnie MEPIS, Antix i MX Linux - bardzo konkretna ekipa, wspomagają też i Debiana dla przykładu http://forums.debian.net/viewtopic.php?f=6&t=127574

KerneLpaniC · 2018-01-30 22:11:01

MX to fork debiana z usprawnieniami ? łatają szybciej od oficjalnej wersji?

Renia · 2018-01-30 22:28:18

@KerneLpaniC
MX to taka fajna dystrybucja oparta na Debianie, mają czasami szybciej nowe programy niż inni, mikrokody są w ich repo: http://mxrepo.com/mx/repo/pool/non-free/i/intel-microcode/

Mój kernel 4.15 jak na razie działa stabilnie, nie "wywraca się" jak ten z Ubuntu. Jak chcesz potestować mogę udostępnić pliki deb i źródła.

ciastek1981 · 2018-01-30 23:05:07

Debian > Antix > MX , chyba tak? Z tą różnicą, że Antix może być ustawiony na Stable, Testing, Sid, a MX jedzie na Stable. Jedna z niewielu dystrybucji w której panują nad warstwą wizualną i nad tym co pod maską. Systemd jest "disabled by default" (to akurat wada ;) ). Google Chrome, stery Nvidii czy kernel Liquorix instalujesz przez "ptaszkowanie" lub kliknięcie ikonki w menu. Dużo nakładek graficznych np. na Conky, klikasz i wybierasz co ci się podoba + od razu możliwość poprawienia konfigu.

Ostatnio edytowany przez ciastek1981 (2018-01-31 00:09:24)

KerneLpaniC · 2018-01-31 01:57:07

Dzięki za info ;-)

@Renia jeśli to nie problem dla Ciebie.. ;-) to poproszę, wciąż mało jeszcze wiem:)

Renia · 2018-01-31 23:38:02

Tymczasem pojawił się kernel 4.15 w Aptosidzie z zaaplikowanym Page Table Isolation oraz retpoline: http://aptosid.com/debian/pool/main/l/linux-aptosid/

sir_lucjan · 2018-02-01 00:02:53

Renia napisał(-a):
Tymczasem pojawił się kernel 4.15 w Aptosidzie z zaaplikowanym Page Table Isolation oraz retpoline: http://aptosid.com/debian/pool/main/l/linux-aptosid/

Nie używam kerneli aptosida - w 4.14 nie było PTI i reptoline?

Jacekalex · 2018-02-01 01:12:24

sir_lucjan napisał(-a):
Renia napisał(-a):
Tymczasem pojawił się kernel 4.15 w Aptosidzie z zaaplikowanym Page Table Isolation oraz retpoline: http://aptosid.com/debian/pool/main/l/linux-aptosid/
Nie używam kerneli aptosida - w 4.14 nie było PTI i reptoline?

U mnie 4.14.14 ma oba mechanizmy wlączone:

Kod:

egrep -i 'isolat|retpoline' /boot/config-4.14.14-g1
CONFIG_RETPOLINE=y
CONFIG_PAGE_TABLE_ISOLATION=y

Aktualne jajo Debiana Bustera też jest jako-tako załatane:

Kod:

egrep -i 'isolat|retpoline' /Debian/boot/config-4.14.0-3-amd64
CONFIG_MEMORY_ISOLATION=y
CONFIG_PAGE_TABLE_ISOLATION=y

Ostatnio edytowany przez Jacekalex (2018-02-01 01:14:01)

Renia · 2018-02-01 01:27:01

To sobie jeszcze zobaczcie w 4.14, czy retpoline macie full, czy minimal:

Kod:

grep . /sys/devices/system/cpu/vulnerabilities/*

/sys/devices/system/cpu/vulnerabilities/meltdown:Mitigation: PTI
/sys/devices/system/cpu/vulnerabilities/spectre_v1:Vulnerable
/sys/devices/system/cpu/vulnerabilities/spectre_v2:Mitigation: Full generic retpoline

uname -a
Linux renia 4.15.0-0.slh.1-aptosid-amd64 #1 SMP PREEMPT aptosid 4.15-1 (2018-01-28) x86_64 GNU/Linux


cat /proc/version
Linux version 4.15.0-0.slh.1-aptosid-amd64 (s.l-h@gmx.de) (gcc version 7.3.0 (Debian 7.3.0-1)) #1 SMP PREEMPT aptosid 4.15-1 (2018-01-28)

Przy Full generic retpoline skrypt spectre-meltdown-checker pokaże takie info: * Kernel compiled with a retpoline-aware compiler: YES (kernel reports full retpoline compilation)

Aby to uzyskać kernel musi być skompilowany z gcc w wersji nie mniejszej niż 7.3.

Ostatnio edytowany przez Renia (2018-02-01 08:03:45)

sir_lucjan · 2018-02-01 15:25:50

Mój kernel jest załatany:

Kod:

[lucjan@archlinux ~]$ grep . /sys/devices/system/cpu/vulnerabilities/*
/sys/devices/system/cpu/vulnerabilities/meltdown:Mitigation: PTI
/sys/devices/system/cpu/vulnerabilities/spectre_v1:Vulnerable
/sys/devices/system/cpu/vulnerabilities/spectre_v2:Mitigation: Full generic retpoline
[lucjan@archlinux ~]$ uname -a
Linux archlinux 4.14.16-1-bfq-sq-mq-haswell-git #1 SMP PREEMPT Wed Jan 31 18:49:26 CET 2018 x86_64 GNU/Linux

Z tego co widziałem, stockowy kernel także.

Ostatnio edytowany przez sir_lucjan (2018-02-01 15:27:01)

Renia · 2018-02-03 07:59:20

Załatane, jak pobierze się kernel i skompiluje nowym GCC.

Kernele debianowe mają tylko PTI. Po prostu pokażcie wynik spectre-meltdown-checker to lepiej będzie widać co jest załatane i czy jest aktywne.

morfik · 2018-02-03 15:12:19

Póki co sid wygląda tak (przynajmniej u mnie xD):

Tak i wiem, że znowu się zaczniecie czepiać o wyjście z terminala w obrazku, ale naprawdę o wiele czytelniejsze jest takie wyjście niż zwykły czarny tekst w znacznikach code. xD

yossarian · 2018-02-03 16:01:05

W Debianie jest wersja 4.14 z 14 stycznia:

https://security-tracker.debian.org/tracker/CVE-2017-5753

Renia · 2018-02-05 00:31:41

Pojawiła się kolejna aktualizacja kernela 4.15 w Aptosidzie więc praktycznie nie ma sensu męczyć się z robieniem własnego. Ale z ciekawości skompilowałam najświeższy 4.15.1 i oto wynik:

./spectre-meltdown-checker.sh
Spectre and Meltdown mitigation detection tool v0.34

Checking for vulnerabilities on current system
Kernel is Linux 4.15.1-gcc-patch-unsigned-security #1 SMP PREEMPT Sun Feb 4 23:27:11 CET 2018 x86_64
CPU is Intel(R) Celeron(R) 2.80GHz

Hardware check
* Hardware support (CPU microcode) for mitigation techniques
* Indirect Branch Restricted Speculation (IBRS)
* SPEC_CTRL MSR is available: NO
* CPU indicates IBRS capability: NO
* Indirect Branch Prediction Barrier (IBPB)
* PRED_CMD MSR is available: NO
* CPU indicates IBPB capability: NO
* Single Thread Indirect Branch Predictors (STIBP)
* SPEC_CTRL MSR is available: NO
* CPU indicates STIBP capability: NO
* Enhanced IBRS (IBRS_ALL)
* CPU indicates ARCH_CAPABILITIES MSR availability: NO
* ARCH_CAPABILITIES MSR advertises IBRS_ALL capability: NO
* CPU explicitly indicates not being vulnerable to Meltdown (RDCL_NO): NO
* CPU microcode is known to cause stability problems: NO (model 60 stepping 3 ucode 0x22)
* CPU vulnerability to the three speculative execution attacks variants
* Vulnerable to Variant 1: YES
* Vulnerable to Variant 2: YES
* Vulnerable to Variant 3: YES

CVE-2017-5753 [bounds check bypass] aka 'Spectre Variant 1'
* Mitigated according to the /sys interface: NO (kernel confirms your system is vulnerable)
* Kernel has array_index_mask_nospec: YES (1 occurence(s) found of 64 bits array_index_mask_nospec())
> STATUS: NOT VULNERABLE (Kernel source has been patched to mitigate the vulnerability (silent backport of array_index_mask_nospec))

CVE-2017-5715 [branch target injection] aka 'Spectre Variant 2'
* Mitigated according to the /sys interface: YES (kernel confirms that the mitigation is active)
* Mitigation 1
* Kernel is compiled with IBRS/IBPB support: NO
* Currently enabled features
* IBRS enabled for Kernel space: NO
* IBRS enabled for User space: NO
* IBPB enabled: NO
* Mitigation 2
* Kernel compiled with retpoline option: YES
* Kernel compiled with a retpoline-aware compiler: YES (kernel reports full retpoline compilation)
* Retpoline enabled: YES
> STATUS: NOT VULNERABLE (Mitigation: Full generic retpoline)

CVE-2017-5754 [rogue data cache load] aka 'Meltdown' aka 'Variant 3'
* Mitigated according to the /sys interface: YES (kernel confirms that the mitigation is active)
* Kernel supports Page Table Isolation (PTI): YES
* PTI enabled and active: YES
* Running as a Xen PV DomU: NO
> STATUS: NOT VULNERABLE (Mitigation: PTI)

A false sense of security is worse than no security at all, see --disclaimer

KerneLpaniC · 2018-02-05 11:54:44

to ja już sam nie wiem czy czekać na łaty dla stretcha czy instalować z aptosida ;(

Renia · 2018-02-05 12:48:15

Długo możesz poczekać, bo GCC 7.3 jest dopiero w Unstable, a kompilacja z reptoline niższą wersją GCC ma średni sens. Kernel z Aptosida jest OK moim zdaniem, mam go jako drugi.

Ostatnio edytowany przez Renia (2018-02-05 12:48:32)

KerneLpaniC · 2018-02-05 13:36:55

@Renia a czy w wolnej chwili mogłabyś mi napisać jakie pliki deb zainstalować i co w terminalu ewentualnie wklepać bo ja nie ogarniam tak mocno a kernele to kiedyś dawno w ubuntu sobie zmieniałem.

Mam 64bit system na intelu

Renia · 2018-02-05 14:10:39

Dodaj sobie do pliku /etc/apt/sources.list repozytorium Aptosida:

Kod:

deb http://aptosid.office-vienna.at/aptosid/debian/ sid main fix.main

Potem:

Kod:

sudo apt-get update
sudo apt-get install aptosid-archive-keyring
sudo apt-get update
sudo apt-get install linux-image-4.15.0-0.slh.2-aptosid-amd64
sudo update-grub

Ostatnio edytowany przez Renia (2018-02-05 14:11:09)

KerneLpaniC · 2018-02-05 14:15:50

dzięki wielkie ;-)

instalacja bez problemu ale przy starcie systemu sypało errorami
dwa procek się grzał o 10stopni wiecej niz zwyczajnie, do tego dziwna praca wiatraka
skrypt pokazywał ze jestem odporny tylko na meltdown i tylko jedną z wersji spectre więc coś nie tak

wróciłem do 4.9.0-5 ;p

Ostatnio edytowany przez KerneLpaniC (2018-02-05 14:53:52)

Renia · 2018-02-05 15:01:42

Co to za sprzęt? Laptop? Widocznie kernel Aptosidowy mu nie służy.

KerneLpaniC · 2018-02-05 15:13:19

@Renia tak lapek ;-)

morfik · 2018-02-05 18:25:28

Jak już instalujecie kernele to instalujcie "metapakiety", typu: linux-image-aptosid-amd64 , wtedy będzie wam automatycznie aktualizował się kernel ile tylko wypuszczą nową wersję.

Renia · 2018-02-05 20:01:21

Metapakiety oczywiście lepiej, ale ten akurat pociągnie headers i jego zależności, a nie każdemu to potrzebne. Twórca Aprosida lubi laptopy, ale Acera, widzę, że łata pod tym kątem :)

Co do 4.15 myślę, że może wkrótce być w Experimental, bo siedzi tam wersja 4.15.0-rc8, kolejna wersja powinna być już z reptoline. Pod Debiana to raczej pewniejszy kernel niż innej dystrybucji.

Forum Debian Users Gang

Ogłoszenie

#151 2018-01-30 18:45:21

Renia - Użytkownik

Re: Poważny błąd w CPU Intela wymaga jego wymiany albo spowolnienia do 63%

Kod:

#152 2018-01-30 21:33:58

KerneLpaniC - Użytkownik

Re: Poważny błąd w CPU Intela wymaga jego wymiany albo spowolnienia do 63%

#153 2018-01-30 21:53:49

ciastek1981 - Użytkownik

Re: Poważny błąd w CPU Intela wymaga jego wymiany albo spowolnienia do 63%

#154 2018-01-30 22:11:01

KerneLpaniC - Użytkownik

Re: Poważny błąd w CPU Intela wymaga jego wymiany albo spowolnienia do 63%

#155 2018-01-30 22:28:18

Renia - Użytkownik

Re: Poważny błąd w CPU Intela wymaga jego wymiany albo spowolnienia do 63%

#156 2018-01-30 23:05:07

ciastek1981 - Użytkownik

Re: Poważny błąd w CPU Intela wymaga jego wymiany albo spowolnienia do 63%

#157 2018-01-31 01:57:07

KerneLpaniC - Użytkownik

Re: Poważny błąd w CPU Intela wymaga jego wymiany albo spowolnienia do 63%

#158 2018-01-31 23:38:02

Renia - Użytkownik

Re: Poważny błąd w CPU Intela wymaga jego wymiany albo spowolnienia do 63%

#159 2018-02-01 00:02:53

sir_lucjan - Kierowca Bombowca

Re: Poważny błąd w CPU Intela wymaga jego wymiany albo spowolnienia do 63%

Renia napisał(-a):

#160 2018-02-01 01:12:24

Jacekalex - Podobno człowiek...;)

Re: Poważny błąd w CPU Intela wymaga jego wymiany albo spowolnienia do 63%

sir_lucjan napisał(-a):

Renia napisał(-a):

Kod:

Kod:

#161 2018-02-01 01:27:01

Renia - Użytkownik

Re: Poważny błąd w CPU Intela wymaga jego wymiany albo spowolnienia do 63%

Kod:

#162 2018-02-01 15:25:50

sir_lucjan - Kierowca Bombowca

Re: Poważny błąd w CPU Intela wymaga jego wymiany albo spowolnienia do 63%

Kod:

#163 2018-02-03 07:59:20

Renia - Użytkownik

Re: Poważny błąd w CPU Intela wymaga jego wymiany albo spowolnienia do 63%

#164 2018-02-03 15:12:19

morfik - Cenzor wirtualnego świata

Re: Poważny błąd w CPU Intela wymaga jego wymiany albo spowolnienia do 63%

#165 2018-02-03 16:01:05

yossarian - Szczawiożerca

Re: Poważny błąd w CPU Intela wymaga jego wymiany albo spowolnienia do 63%

#166 2018-02-05 00:31:41

Renia - Użytkownik

Re: Poważny błąd w CPU Intela wymaga jego wymiany albo spowolnienia do 63%

#167 2018-02-05 11:54:44

KerneLpaniC - Użytkownik

Re: Poważny błąd w CPU Intela wymaga jego wymiany albo spowolnienia do 63%

#168 2018-02-05 12:48:15

Renia - Użytkownik

Re: Poważny błąd w CPU Intela wymaga jego wymiany albo spowolnienia do 63%

#169 2018-02-05 13:36:55

KerneLpaniC - Użytkownik

Re: Poważny błąd w CPU Intela wymaga jego wymiany albo spowolnienia do 63%

#170 2018-02-05 14:10:39

Renia - Użytkownik

Re: Poważny błąd w CPU Intela wymaga jego wymiany albo spowolnienia do 63%

Kod:

Kod:

#171 2018-02-05 14:15:50

KerneLpaniC - Użytkownik

Re: Poważny błąd w CPU Intela wymaga jego wymiany albo spowolnienia do 63%

#172 2018-02-05 15:01:42

Renia - Użytkownik

Re: Poważny błąd w CPU Intela wymaga jego wymiany albo spowolnienia do 63%

#173 2018-02-05 15:13:19

KerneLpaniC - Użytkownik