Intel: Spekulationen über ernste Sicherheitslücke in allen CPUs

[guest6]

Spekulationen über eine potenziell massive Sicherheitslücke in allen Intel-CPUs sorgen aktuell für Aufsehen, weil zum Umgehen dieses Hardware-Bugs tiefgreifende Umbauarbeiten an Betriebssystemen erforderlich sind, die sich obendrein negativ auf die Leistung auswirken. AMD-CPUs sind nicht betroffen.

Die Entwickler des Linux-Kernels haben in den letzten Wochen tiefgreifende Umbauarbeiten am Virtual-Memory-Subsystem des Kernels vorgenommen. Nicht-trivialen Änderungen an diesem zentralen Teil des Linux-Kernels gehen sonst üblicherweise monate- oder jahrelange Diskussionen voraus. Und als wäre das noch nicht genug, werden diese großen Patches aktuell nicht nur in die kommende Version 4.15 des Linux-Kernels eingebaut, sondern auch in die bereits veröffentlichten und als ,,stabil" deklarierten Kernel 4.9 und 4.14 zurückportiert. Aufmerksamen Beobachtern wird zunehmend klar, dass es für diese insbesondere über die Feiertage außergewöhnliche Hektik einen triftigen Grund geben muss.
Eine offenbar massive Lücke in Intel-CPUs

Dem aktuellen Vernehmen nach verhindern die Patches das Ausnutzen einer massiven Sicherheitslücke in allen Intel-CPUs. Offenbar kann ein Prozess eine Intel-CPU durch Ausnutzen eines Hardware-Bugs dazu bringen, Speicherbereiche spekulativ zu laden und den Zugriff darauf dann ohne weitere Prüfung zu erlauben, ohne dass der Prozess die erforderlichen Rechte hat. So kann ein unprivilegierter Prozess auf den Speicher des Kernels zugreifen, in welchem sich sensible Daten befinden können. Besonders prekär ist das für Cloud-Provider wie Amazon und Google, die ein Ausbrechen aus virtuellen Maschinen verhindern wollen. Darüber hinaus könnte die als ,,Defense in Depth" eingesetzte Sicherheitstechnik Address Space Layout Randomization (ASLR) des Kernels ausgehebelt werden.
Für Linux gibt es einen Workaround

Der von den Linux-Entwicklern für diesen Hardware-Bug in Intel-CPUs jetzt eingebaute Workaround namens Kernel Page-Table Isolation (PTI bzw. KPTI) sorgt dafür, dass der Speicherbereich des Kernels nicht mehr in den Speicherbereich der Prozesse gemappt wird. Mit PTI sieht ein Prozess also nur noch seinen eigenen Speicherbereich. Der Speicherbereich des Kernels ist für ihn schlicht unsichtbar, sodass eine offenbar leicht auszuhebelnde Zugriffsprüfung keine Rolle mehr spielt.

Kleiner Exkurs: Prozesse arbeiten mit virtuellen Speicheradressen (,,Virtual Memory") beginnend bei 0. Es ist die Aufgabe des Kernels, eine freie Stelle im RAM (oder im Swap bzw. der Auslagerungsdatei) zu finden und diese virtuellen Adressen zur Laufzeit des Prozesses in physische Adressen zu übersetzen. So können mehrere Prozesse nebenläufig ausgeführt werden ohne sich ins Gehege zu kommen oder gegenseitig ihre Speicherbereiche lesen oder überschreiben zu können. Damit diese Abstraktion sich nicht negativ auf die Leistung auswirkt, verfügt jede CPU über einen speziellen Cache namens Translation Lookaside Buffer (TLB), der das Übersetzen einer logischen Adresse in eine physische Adresse beschleunigt.

Link

[guest33]

Hallo,

weitere interessante Hintergründe - zwar auf bsdforen.de - aber auch für Linux-Nutzer interessant, weil einiges durch Yamagi Burmeister meines Erachtens gut erklärt wird:
https://www.bsdforen.de/threads/intel-hardwarebug.34023/

[Bananenbrötchen]

https://www.bsdforen.de/threads/intel-hardwarebug.34023/

Ein wirklich empfehlenswerter Link zum Thema ? @holgerw

Man darf gespannt sein, wie und wo überall sich das am Ende signifikant bemerkbar machen wird.

[Daemon]

Man darf gespannt sein, wie und wo überall sich das am Ende signifikant bemerkbar machen wird.

Wahrscheinlich überall, da ja auch AMD und ARM CPUs davon betroffen sind.
Man könnte fast meinen das ist eine gewollte Hintertür.


EDIT:
sucht mal nach Meltdown und Spectre (also im Zusammenhang mit CPU).



EDIT2:

wer wissen will ob der Patch bereits im Kernel ist, kann folgendes im Terminal eingeben:

zgrep CONFIG_PAGE_TABLE_ISOLATION /proc/config.gz

Ist die Ausgabe CONFIG_PAGE_TABLE_ISOLATION=y, dann unterstützt der Kernel PTI (so heißt der Patch).
Und wer wissen will, ob PTI auch genutzt wird, muss dmesg | grep isolation eingeben. Ist die Ausgabe sowas wie Kernel/User page tables isolation: enabled, dann wird PTI benutzt, andernfalls halt nicht.
Bei mir mir Kernel 4.14.11 und AMD Ryzen CPU ist PTI nicht aktiv.

[guest6]

Hmm, erst sollte AMD garnicht betroffen sein, nun immerhin 1 von 3 bugs.
Interessant wäre jetzt gewesen, wie groß der Geschwindigkeitsunterschied
zu deinem alten noch ungefixten Manjaro gewesen wäre.
Bei AMD vermutlich kaum, bei Intel eventuell recht stark.

Kommt drauf an, wie oft syscall aufgerufen wird, afaik bei Games sehr oft.

Bin auch gespannt, wie das noch so weiter geht.

Das Intel diese Sache runter spielt ist logisch und nebenher gleich
behauptet, das andere CPUs auch betroffen sind, war zu erwarten.

Wenn ja, sind mal wieder Millionen IoT, Router und Smartphone für
immer betroffen, weil die nie gefixt werden.

[guest10]

Die ganze Berichterstattung ist nichts weiter als FUD.

Ehrlich gesagt, es freut mich.
Endlich wieder eine Sau "zumdurchdasDorftreiben"

Ich spekuliere; das ist das Ende von WEB 2.0.
Die ganze Werbe-Scheisse mit JavaScript und Cookie Zwang muss weg.

<sarkazmus>
Ohne Silizium wäre das nicht passiert.
</sarkazmus>

MfG

[Daemon]

Warum sollte es FUD sein? Die Lücken gibt es ja tatsächlich.

Web2.0? Das war doch schon im Jahr 2000 wieder out.

[Bananenbrötchen]

Zwecks FUD und der Tragweite, lies mal z.B. hier L @LuMI  -> All unsere moderne Technik ist kaputt

[guest6]

Wahrscheinlich überall, da ja auch AMD und ARM CPUs davon betroffen sind.
Man könnte fast meinen das ist eine gewollte Hintertür.


EDIT:
sucht mal nach Meltdown und Spectre (also im Zusammenhang mit CPU).



EDIT2:

wer wissen will ob der Patch bereits im Kernel ist, kann folgendes im Terminal eingeben:

zgrep CONFIG_PAGE_TABLE_ISOLATION /proc/config.gz

Ist die Ausgabe CONFIG_PAGE_TABLE_ISOLATION=y, dann unterstützt der Kernel PTI (so heißt der Patch).
Und wer wissen will, ob PTI auch genutzt wird, muss dmesg | grep isolation eingeben. Ist die Ausgabe sowas wie Kernel/User page tables isolation: enabled, dann wird PTI benutzt, andernfalls halt nicht.
Bei mir mir Kernel 4.14.11 und AMD Ryzen CPU ist PTI nicht aktiv.

Bei einem originalen Archlinux sieht es mit kernel-4.14.11 so aus:

$ zgrep CONFIG_PAGE_TABLE_ISOLATION /proc/config.gz
CONFIG_PAGE_TABLE_ISOLATION=y

und

$ dmesg | grep isolation
[    0.000000] Kernel/User page tables isolation: enabled

Aber man soll es auch simple mit dem Boot-Parameter

pti=off

deaktivieren können.

[Daemon]

Du hast eine Intel CPU nehm ich mal an.

CONFIG_PAGE_TABLE_ISOLATION=y

hab ich auch, aber mit der dmesg Ausgabe kommt nichts, d.h. ist bei mir nicht aktiviert. 

[uralrabo]

Also ich habe auf den harded Kernel gewechselt und da ist es eh aktiviert.
Archbang-Artix-System

[Daemon]

Hier die Liste von Intel welche CPUs betroffen sind:
https://security-center.intel.com/advisory.aspx?intelid=INTEL-SA-00088&languageid=en-fr

Hier die Liste welche ARM CPUs betroffen sind:
https://developer.arm.com/support/security-update

Welche AMD CPUs genau betroffen habe ich noch nicht gefunden, allerdings soll wohl auch nur eine der drei Attacken möglich sein.


EDIT:
da die Angriffe meist per JavaScript ausgelöst werden, ist es empfehlenswert, bei Chrome/Chromium/Opera/Vivaldi folgendes flag zu aktivieren:

enable-site-per-process

Firefox hatte ja bereits das Update auf 57.0.4 mit dem fix.

[uralrabo]

Mich hat es leider erwischt.
Also da ich im Firmenbereich alles Debian/Ubuntu habe und keiner dieser Kernel CONFIG_PAGE_TABLE_ISOLATION hatte,
habe ich heute alle auf den 4.11 Kernel gebracht und PIT (Isolate) aktiviert.

Grundlegende Performanceeinbußen konnte ich derzeit noch nicht feststellen.

PS.:
Wenn wir gerade beim Thema Sicherheit sind.
Hat einer von Euch Erfahrungen mit ner Zyxel Firewall?

[guest6]

Linus Torvalds: Will Intel "Scheiße für immer und ewig verkaufen"?

Linux-Guru Linus Torvalds hat genug von Intels PR-Texten und fordert die Firma auf, klar Stellung zur Spectre und Meltdown zu beziehen. Als Alternative zu Intel sieht Torvalds die künftigen ARM64-Prozessoren.

Linus Torvalds, Mit-Entwickler des Linux-Kernels und die wichtigste Stimme der Open-Source-Community, hat Intel für seinen öffentlichen Umgang mit den Prozessor-Sicherheitslücken Meltdown und Spectre scharf kritisiert und gleichsam zu einer klaren Stellungnahme aufgefordert.


Link

[Daemon]

Ich finde LT super, einfach weil er sagt was er denkt, und sich nicht drum kümmert was andere dann wiederum von ihm denken.

Wenn sich Linux mehr ARM zuwendet, kann und wird das verheerende Folgen für Intel haben.