Fórum Root.cz
Hlavní témata => Hardware => Téma založeno: zvedavý 08. 01. 2018, 11:20:29
-
Tak ako je to s opravovaním chýb Meltdown a Spectre?
Prvotná informácia bola, že nepomôže ani update mikrokódu. Na internete čítam, že Intel pracuje
na patchoch. RedHat vraj poskytuje nový mikrokód pre tri rady CPU (zatiaľ).
Windows poskytuje updaty, ale sú vraj zbytočné bez updatu Biosu. FreeBSD nemá zatiaľ nič.
Mimochodom, aký je rozdiel medzi novou verziou Biosu a novým mikrokódom?
-
linux na to má patch, který to řeší promazem TLB cache při syscallech a tou velkou ztrátou výkonu, ostatní teprve s patchem postupně, NDA vyprší až zítra, takže pravděpodobně zítra se dozvíme více informací.
-
Meltdown: řeší se oddělení adresového prostoru aplikace a kernelu, AFAIK není nutné kvůli Meltdown updatovat mikrokód.
Spectre: řeší se mnoha způsoby, updatem mikrokódu, úpravami v překladačích, úpravami v prohlížečích (zrušením high resolution timerů), nicméně žádná z těchto úprav neřeší Spectre na 100%.
-
Mimochodom, aký je rozdiel medzi novou verziou Biosu a novým mikrokódom?
BIOS - pro mobo.
Mikrokod - pro CPU.
Ale pokud vim, BIOS muze obsahovat novejsi verze mikrokodu a pri bootu stroje ho do CPU nahravat.
-
pokud vim, mikrokod ve vypnutem procesoru neni, ale nahraje ho tam prave pokazde bios
takze upgradovat microcode procesoru tak, ze ho prendam do aktualni desky a pak vratim do stare fungovat nebude
kazdopadne microcode muze aktualizovat jeste pozdeji OS, jak linux tak windows
-
Uz jsou znamy konkretni opravy pro jednotlive systemy?
Windows - cislo KB pro W7 a W10 a Server 2008/2012/2016?
VmWare?
Linux? (zde se vi o novem kernelu, probublalo to jiz do nejake distribuce pouzivane na serverech - debian stable/redhat/suse/centos/arch?)
BIOSy/UEFI pro x86 HW? (alespon jeden pro priklad - desktop/nb/workstation/server)
Podle me je to porad v plenkach, krom zmineneho noveho kernelu linuxu (o vmware nemam prehled).
Presto nekteri chytraci, co spolkli rozum, u nas na firme uz sefum hlasili jak vsechno proaktivne zaktualizovali na nove verze "opravujici" tyto problemy (windows server, vmware) :o
-
VMware info: https://vinfrastructure.it/2018/01/meltdown-spectre-vmware-patches/
Uz jsou znamy konkretni opravy pro jednotlive systemy?
Windows - cislo KB pro W7 a W10 a Server 2008/2012/2016?
VmWare?
Linux? (zde se vi o novem kernelu, probublalo to jiz do nejake distribuce pouzivane na serverech - debian stable/redhat/suse/centos/arch?)
BIOSy/UEFI pro x86 HW? (alespon jeden pro priklad - desktop/nb/workstation/server)
Podle me je to porad v plenkach, krom zmineneho noveho kernelu linuxu (o vmware nemam prehled).
Presto nekteri chytraci, co spolkli rozum, u nas na firme uz sefum hlasili jak vsechno proaktivne zaktualizovali na nove verze "opravujici" tyto problemy (windows server, vmware) :o
-
Mě zajímá primárně Gentoo a to informuje o stavu tady (https://wiki.gentoo.org/wiki/Project:Security/Vulnerabilities/Meltdown_and_Spectre).
Pak mě bude zajímat ještě RPi (Raspbian a RetroPie), pokud se to vůbec RPi 1 model B+ a RPi 3 týká.
Na Toshiba AC100 provozuju vanilla kernel (jinak Arch), tam teda udělám někdy výhledově rekompilaci.
No a v poslední řadě Ubuntu na několika strojích mých známých. Jedou na 16.04 LTS, tak musím jen ohlídat, zda to tam doteče/doteklo automaticky.
Řešení na nižší/vyšší úrovni (microcode, BIOS) jsem zatím neřešil. Microcode zařídím na strojích s Gentoo, o Ubuntu musím pogooglit.
-
Dneska ráno mi na Ubuntu 16.04 přišla aktualizace kernelu, kde se v changelogu psalo o KAISER/KPTI, ale podle "Spectre and Meltdown mitigation detection tool v0.21" je můj "Linux 4.10.0-42-generic #46~16.04.1-Ubuntu SMP Mon Dec 4 15:57:59 UTC 2017 x86_64" stále zranitelný, tak nevím.
Ubuntu Security Notice (https://usn.ubuntu.com/usn/usn-3522-1/) vůbec HWE kernel nezmiňuje.
-
pro spectre 1 .. vetsina distribuci vydala opravene verze jadra
pro spectre 2 ... potrebujes novy mikrokod + opravu v jadre + jadro prekompilovane s novym GCC a retpoline ( coz zatim vetsina dister nema
a meltdown .. tyka se jen intelu, opravou je KPTI a vetsina dister uz jadro vydala..
hacek je dopad na IO po aplikaci vsech patchu/workaroundu ( je to design flaw, takze realny fix v hw bude mozna za rok, spise pozdeji)
-
Linux? (zde se vi o novem kernelu, probublalo to jiz do nejake distribuce pouzivane na serverech - debian stable/redhat/suse/centos/arch?)
Ano, v obou Debianech kernely s -5-.
-
Vi nekdo, jestli se ty fixy aplikuji nejak inteligentne, tedy pouze u CPU, ktere problemem trpi?
-
pro spectre 2 ... potrebujes novy mikrokod + opravu v jadre + jadro prekompilovane s novym GCC a retpoline ( coz zatim vetsina dister nema
neni spravne, ze potrebujes bud microcode (velky rychlostni impakt), nebo jadro s retpoline (maly rychlostni impakt)?
jestli vsem ale protlaci ten zpomalovaci microcode, tak pak uz je to asi jedno
-
Během dne mi ještě na Ubuntu 16.04 přistál HWE kernel "Linux 4.13.0-26-generic #29~16.04.2-Ubuntu SMP Tue Jan 9 22:00:44 UTC 2018 x86_64" a ten už má KPTI a tudíž fix na Meltdown. Na Spectre (var 1 i 2) zatím nic.
-
pro spectre 2 ... potrebujes novy mikrokod + opravu v jadre + jadro prekompilovane s novym GCC a retpoline ( coz zatim vetsina dister nema
neni spravne, ze potrebujes bud microcode (velky rychlostni impakt), nebo jadro s retpoline (maly rychlostni impakt)?
jestli vsem ale protlaci ten zpomalovaci microcode, tak pak uz je to asi jedno
ne, potrebujes OBOJE .. a to je ten pruser. BTW nejvetsi zpomaleni hlavne IO zpusobi fixy na Meltdown
-
Vi nekdo, jestli se ty fixy aplikuji nejak inteligentne, tedy pouze u CPU, ktere problemem trpi?
tak to prave leaklo , kdyz AMD poslala patch do jadra vypinajici KPTI na Zen architekture ktera meltdownem netrpi:)
-
tak prej nepotrebujes oboje, ale je to lepsi
bud IBRS patch a microcode, nebo retpoline patch
pritom jadro se prepne na retpoline, coz je rychlejsi, pokud si to sam neprepnes na ten pomalejsi zpusob s microcode pomoci parametru jadra spectre_v2=ibrs
-
Je nejaky rozumny zpusob, jak zjistit, jestli ten ktery patch je v jadre aktivni?
-
Je nějaký rozdíl v přítomnosti/projevu/ rozsahu/existenci-opravy podle generace CPU (Sandry Bridge, Ivy Bridge, Hašvel ?Brõtwel, Skylake, Keby Lake)
-
Je nejaky rozumny zpusob, jak zjistit, jestli ten ktery patch je v jadre aktivni?
Predpokladam ze spominany test:
https://raw.githubusercontent.com/speed47/spectre-meltdown-checker/master/spectre-meltdown-checker.sh
vam pri poslednom teste vypise
* Kernel supports Page Table Isolation (PTI): YES
* PTI enabled and active: NO
ale nie som si isty.
-
Je nějaký rozdíl v přítomnosti/projevu/ rozsahu/existenci-opravy podle generace CPU (Sandry Bridge, Ivy Bridge, Hašvel ?Brõtwel, Skylake, Keby Lake)
Starý bridge asi nedostali microcode. Ale to asi nevadí, když se použije jádro s retpoline
-
https://raw.githubusercontent.com/speed47/spectre-meltdown-checker/master/spectre-meltdown-checker.sh
Zda se nezalepeno. Ale moc chytry z toho nejsem, podle toho testu CPU postizene je, ale udajne stare Atomy by tim trpet nemely. Tak ted komu verit.
-
ten skript nerozpoznava vsechny cpu, maj to tam napsany v readme
-
pro jardu oprava detekce atomu ve skriptu spectre-meltdown-checker:
https://github.com/speed47/spectre-meltdown-checker/commit/704e54019a6b589bf7679957d678a9f427f6e5d2 (https://github.com/speed47/spectre-meltdown-checker/commit/704e54019a6b589bf7679957d678a9f427f6e5d2)
-
@trubicoid2: Dobry, diky. Not vulnerable.