G

Intel: Spekulationen über ernste Sicherheitslücke in allen CPUs

Begonnen von guest6, 03. Januar 2018, 03:30:55

« vorheriges - nächstes »

0 Mitglieder und 1 Gast betrachten dieses Thema.

guest6

Zitat von: Daemon am 04. Januar 2018, 13:29:02
Wahrscheinlich überall, da ja auch AMD und ARM CPUs davon betroffen sind.
Man könnte fast meinen das ist eine gewollte Hintertür.


EDIT:
sucht mal nach Meltdown und Spectre (also im Zusammenhang mit CPU).



EDIT2:

wer wissen will ob der Patch bereits im Kernel ist, kann folgendes im Terminal eingeben:
zgrep CONFIG_PAGE_TABLE_ISOLATION /proc/config.gz


Ist die Ausgabe CONFIG_PAGE_TABLE_ISOLATION=y, dann unterstützt der Kernel PTI (so heißt der Patch).
Und wer wissen will, ob PTI auch genutzt wird, muss dmesg | grep isolation eingeben. Ist die Ausgabe sowas wie Kernel/User page tables isolation: enabled, dann wird PTI benutzt, andernfalls halt nicht.
Bei mir mir Kernel 4.14.11 und AMD Ryzen CPU ist PTI nicht aktiv.

Zur Vervollständigung, so manche Distribution braucht einen anderen Befehl.
Hier der Befehl für Debian Stretch 9.3:
cat /boot/config-4.9.0-5-amd64 | grep CONFIG_PAGE_TABLE_ISOLATION
CONFIG_PAGE_TABLE_ISOLATION=y


dmesg | grep isolation

Gibt hier auf meinem alten i5-2400 nichts aus.

flags		: fpu vme de pse tsc msr pae mce cx8 apic sep mtrr pge mca cmov pat pse36 clflush dts acpi mmx fxsr sse sse2 ss ht tm pbe syscall nx rdtscp lm constant_tsc arch_perfmon pebs bts rep_good nopl xtopology nonstop_tsc aperfmperf eagerfpu pni pclmulqdq dtes64 monitor ds_cpl vmx smx est tm2 ssse3 cx16 xtpr pdcm pcid sse4_1 sse4_2 x2apic popcnt tsc_deadline_timer aes xsave avx lahf_lm epb kaiser tpr_shadow vnmi flexpriority ept vpid xsaveopt dtherm ida arat pln pts


pcid und kaiser sehe ich immerhin.

guest6

Zitat von: Prinz am 06. Januar 2018, 17:05:33
Nicht meine Aussage zählt sonder nur meine Intension!  ;)

BTW und total ab vom Kernthema: Ich liebe die i7 CPUs z.B. im x220, die rennen wie sau die kleinen Schweinchen.
Wenn man sie mit einem nitrocaster-kit und einem Full-HD 1920x1080 Display umbaut (Hardware-Umbaukosten ca. 100€) dann hat mein ein ultrakleines sau schnelles Code- Coder oder Analyse Notebook (mit Magnesiumgehäuse und geiler Tastatur). Merkt man das ich gerate wieder eines Umgebaut habe 8) (das fünfte (diesmal für mich))  ;D ;D ;D


Grüße

Eventuell sollten wir noch ein Board für Hardware Tipps einrichten :)
Ich kann beisteuern, dass das x220 problemlos mit 2x 8GB 1600er RAM
läuft. Durch den höheren Takt wird die Intel-Grafik bis zu 30% schneller.

uralrabo

Hallo,

das wäre natürlich ne gute Idee.
Ich zb. habe ein TP T420s (das wo man denkt es hebt ab, wenn der Lüfter richtig Last hat) ;-)
und ein TP L540. Da bin ich immer interessiert an Geschwindigkeitsverbesserungen
und sonstigen Tricks.

gruss

Daemon

Wir haben doch ein Hardware Board. Kann da noch ein Sub-Board für Tipps & Tricks machen wenn gewünscht.

Habe noch ein anderes Skript gefunden:
https://github.com/speed47/spectre-meltdown-checker

Hier ist meine Ausgabe:
sudo ./spectre-meltdown-checker.sh 
Spectre and Meltdown mitigation detection tool v0.19

Checking for vulnerabilities against live running kernel Linux 4.14.12-1-ARTIX 1 SMP PREEMPT Sat Jan 6 08:04:05 UTC 2018 x86_64
Will use vmlinux image /boot/vmlinuz-linux
Will use kconfig /proc/config.gz
Will use System.map file /proc/kallsyms

CVE-2017-5753 [bounds check bypass] aka 'Spectre Variant 1'
* Checking count of LFENCE opcodes in kernel:  NO  (only 29 opcodes found, should be >= 70)
> STATUS:  VULNERABLE  (heuristic to be improved when official patches become available)

CVE-2017-5715 [branch target injection] aka 'Spectre Variant 2'
* Mitigation 1
*   Hardware (CPU microcode) support for mitigation:  NO 
*   Kernel support for IBRS:  NO 
*   IBRS enabled for Kernel space:  NO 
*   IBRS enabled for User space:  NO 
* Mitigation 2
*   Kernel compiled with retpoline option:  NO 
*   Kernel compiled with a retpoline-aware compiler:  NO 
> STATUS:  NOT VULNERABLE  (your CPU is not vulnerable as per the vendor)

CVE-2017-5754 [rogue data cache load] aka 'Meltdown' aka 'Variant 3'
* Kernel supports Page Table Isolation (PTI):  YES 
* PTI enabled and active:  NO 
> STATUS:  NOT VULNERABLE  (your CPU is not vulnerable as per the vendor)
I'm worse at what I do best and for this gift I feel blessed

guest5

Spectre: JavaScript-Checker
http://xlab.tencent.com/special/spectre/spectre_check.html

So sieht eine schlechte Meldung aus:
Chromium Version 63.0.3239.132 (Entwickler-Build) (64-Bit)
$ Start checking...
$ Processing 8M cache, waiting...
$ Processing 16M cache, waiting...
$ 
$ Check finished
$ Your browser is VULNERABLE to Spectre
$ Please update your browser immediately


So sieht eine gute Meldung aus:
Firefox Nightly
$ Start checking...
$ Processing 8M cache, waiting...
$ Processing 16M cache, waiting...
$ Processing 32M cache, waiting...
$ Processing 64M cache, waiting...
$ Processing 128M cache, waiting...
$ 
$ According to our checking
$ Your browser is NOT VULNERABLE to Spectre


Grüße

Daemon

I'm worse at what I do best and for this gift I feel blessed

guest10

Meltdown und Spectre: Intel patcht ab 2013 produzierte Prozessoren, bestätigt Performance-Auswirkung

https://heise.de/-3936956

[offtopic]Man kann nicht oft genug sagen: JavaScript ist nicht weniger schlimm als Software von M$, LennartWare, Adobe Flash oder Gtk3.
Firefox (seit Australis) und Belästigungsindustrie soll man auch nicht vergessen.
[/offtopic]

MfG

guest5

Zitat von: LuMI am 09. Januar 2018, 13:52:57
offtopic
Man kann nicht oft genug sagen: JavaScript ist nicht weniger schlimm als Software von M$, LennartWare, Adobe Flash oder Gtk3.
Firefox (seit Australis) und Belästigungsindustrie soll man auch nicht vergessen.

Dieser Text bezieht sich natürlich nur auf Spectre (bei Meltdown können wir sagen das der etwas geübtere sowie informierte Linux-User sicher ist)!
Damit hier bitte niemand vorschnell einen falschen Eindruck bekommt, das JavaScript deaktivieren schützt das System/CPU nicht vor der Lücke, es erschwert nur die Arbeit von faulen Crackern etwas.

Derzeit ist es ohne Probleme möglich via z.B. JAVA, Python oder c((++) usw. diese Lücke gezielt auszunutzen. Ein AV-Programm das die jeweiligen Aktivitäten im Speicher checkt oder blockiert ist auch für Linux eine schöne kleine Handbremse; natürlich könne man auch vor eine Installation jedes neue Programm diesbezüglich prüfen sowie alles was als vertrauenswürdiger Download gilt.

Aber wo zieht man die Grenze zwischen "ja es darf genutzt werden, für das normale arbeiten" und "nein es darf nicht genutzt werde" ... es muss eine genaue Funktions- / sowie Plauder- Analyse sein.

Und jetzt kommt der eigentliche Knaller diese würde aufgrund ihres Aufbaus (Arbeitsmethode) weiters Sicherheitslücken eröffnen.    :D :D :D

Lagert man die Analyse aus um Eigen-Ressourcen zu sparen, würde dies nur dann als brauchbares Mittel zu sehen sein wenn man gleichzeitig auch dem User jeweilige Echtzeit-Analysetools zur Verfügung stellt, um entgangene oder böswillig genutzte Lücken entdecken als auch melden zu können.

PS: Alle sind so betroffen "Apple says Meltdown and Specter flaws affect all Mac and iOS devices" ;)

Grüße


Daemon

Vor allem finde ich witzig, dass die Windows User ziemliche Probleme haben und teilweise ihre Rechner nicht mehr starten können und/oder diese auch nach den Updates defekt (im Sinne von Software) sind, wie z.B. keine bootable HDD mehr gefunden wird.

Hier noch etwas von L. Torvalds zu dem Thema:
LKML: Linus Torvalds: Re: [RFC 09/10] x86/enter: Create macros to restrict/unrestrict Indirect Branch Speculation
I'm worse at what I do best and for this gift I feel blessed

GypsyWolve

Also neue Rechner demnaechst kaufen.

Sagte ebreits vor Jahren, das beste raus mit dem Mist, nen Abakus(von mir aus auch nen Rechenschieber) und ne Trommel.

Ein Loch wird mit Loechern gestopft, das nenne ich genial.



GW
Im Grunde genommen bedeutet Demokratie lediglich, dass zehn Füchse und ein Hase darüber abstimmen können, was es zum Abendessen gibt. Freiheit dagegen bedeutet, wenn  der Hase mit einer Schrotflinte die Wahl anfechten kann.
(Vince Ebert)

Daemon

Demnächst wäre etwas zu früh, wohl eher in 5 Jahren.
I'm worse at what I do best and for this gift I feel blessed

uralrabo

Ich habe mir schon dieses ausgeschaut und werde es mir demnächst zulegen:

14″ PINEBOOK LINUX LAPTOP – PINE64

zumindest was fürs internet

guest10

Zitat von: Daemon am 22. Januar 2018, 11:27:56
Vor allem finde ich witzig, dass die Windows User ziemliche Probleme haben und teilweise ihre Rechner nicht mehr starten können und/oder diese auch nach den Updates defekt (im Sinne von Software) sind, wie z.B. keine bootable HDD mehr gefunden wird.

Wann hatten Windows User keine Probleme mit ihren Rechnern?  ??? ??? ???

MfG

Daemon

Das PineBook hatte ich mir auch schon mal angesehen. Gibt nur eine Sache die mich dabei wirklich stört, und das ist die Monitorauflösung.
Werde mir dann aber gleich zwei bestellen müssen, eins mit Android zum Spielen für den Sohn, eins für mich mit Linux.  :)
I'm worse at what I do best and for this gift I feel blessed