Controlla se sei influenzato da Meltdown e Spectre e difenditi !!!

Isaac

8 minuti

Logo di Meltdown e Spectre con patch per Linux

Meltdown e Spectre Sono le tendenze degli ultimi giorni, non si parla praticamente d’altro e non c’è da meravigliarsi, visto che sono probabilmente le vulnerabilità più importanti della storia. Influiscono gravemente sulla sicurezza dei nostri sistemi e se il sistema appartiene a un'azienda o si dispone di dati rilevanti, il problema è molto più grave. Tuttavia, si pensa sempre che siano colpiti solo computer desktop, laptop, server e supercomputer, ma il danno va oltre e colpisce molti più dispositivi, come quelli basati su core ARM e comprende tablet, smartphone e alcuni dispositivi IoT, industriali. , domotica, perfino auto connesse.

Come ben sai, non è qualcosa di unico per Linux in alcun modo, ma piuttosto influisce su vari sistemi operativi, anche Microsoft Windows e macOS ne sono interessati, senza dimenticare iOS e Android. Pochi quindi sfuggono a queste minacce, anche se è vero che alcune architetture di CPU vengono risparmiate e che se abbiamo un chip AMD, le possibilità di sfruttare queste vulnerabilità sono probabilmente inferiori, ma ciò non significa che non ci sia alcun rischio.

Qual è la situazione attuale per Linux?

Bug

Linux fondamentalmente muove il mondoSebbene molti credano che sia un sistema usato raramente, è l'opposto. Forse ha fallito nell'aspetto che è stato creato per il desktop e che è appunto l'unico settore in cui è una minoranza rispetto all'onnipotente Windows e rispetto a una buona porzione di Mac. Ecc., Linux è dominante ed è proprio i server Internet in cui diventa vitale e senza di esso si può praticamente dire che Internet cadrebbe ...

Ecco perché in Linux ha reagito prima che in qualsiasi altro sistema per risolvere i problemi che Meltdown e Spectre potrebbero lasciarsi alle spalle. Già Linus Torvalds Ha parlato della questione con poche parole dure a Intel e se dai un'occhiata all'LKML vedrai che è una questione di preoccupazione ed è all'ordine del giorno. E lo ha fatto anche il suo braccio destro e numero due nello sviluppo del kernel Linux, Greg Kroah-Hartman. Per maggiori informazioni puoi consultare il suo blog personale dove troverai abbastanza informazioni.

  • Meltdown: Fondamentalmente Greg ha commentato che per quanto riguarda Meltdown può essere terminato su x86 scegliendo di includere CONFIG_PAGE_TABLE_ISOLATION, un isolamento della tabella delle pagine (PTI) che i computer con processori AMD, non interessati da esso, dovrebbero evitare per evitare problemi di prestazioni. Potresti anche aver saputo che alcuni computer con un chip AMD hanno smesso di avviarsi perché la patch di Windows ha generato seri problemi. PTI sarà incluso in Linux 4.15 di default, ma vista la sua importanza in termini di sicurezza sarà incluso nelle versioni precedenti come LTS 4.14, 4.9 e 4.4 ... e probabilmente nel tempo la patch verrà incorporata in molte altre versioni , ma pazienza perché implica un sovraccarico di lavoro per gli sviluppatori. E stanno anche riscontrando problemi relativi alle patch come vDSO in alcune configurazioni di macchine virtuali. Per quanto riguarda ARM64, leggermente influenzato da Meltdown che è un grosso problema in Intel, anche i chip di molti dispositivi mobili e altri dispositivi necessitano di una patch, anche se sembra che non si fonderà con l'albero del kernel principale a breve termine (forse su Linux 4.16, sebbene Greg abbia commentato che potrebbero non arrivare mai a causa della quantità di prerequisiti che le patch devono essere approvate) e quindi è consigliabile utilizzare kernel specifici, ovvero Android Common Kernel nei suoi rami 3.18, 4.4 e 4.9.
  • Spettro: l'altro problema interessa più architetture ed è più complicato da affrontare. Sembra che non avremo una buona soluzione a breve termine e dovremo convivere con questo problema per un po '. Nelle sue due varianti, necessita di patchare il sistema e alcune comunità di sviluppo di alcune distribuzioni hanno già iniziato a rilasciare patch per mitigarlo, ma le soluzioni fornite sono diverse e per il momento non saranno integrate come parte del ramo principale del kernel fino a quando non si vede la soluzione migliore prima che i progettisti della CPU escogitino la soluzione migliore (riprogettare i propri chip). Le soluzioni sono state studiate e stanno trovando alcuni problemi lungo la strada, come la maggiore ignoranza su Spectre. Gli sviluppatori hanno bisogno di tempo per capire come affrontare il problema e lo stesso Greg ha commentato che "Questa sarà un'area di ricerca nei prossimi anni per trovare modi per mitigare possibili problemi che coinvolgono l'hardware, che proverà anche a prevederli in futuro prima che si verifichino.«.
  • Chromebook- Se hai un laptop Google sarai felice di sapere che puoi vedere lo stato del lavoro che stanno facendo per risolvere Meltdown in questo elenco.

Come verificare facilmente se sono interessato?

Cerca

Per non andare in giro a consultare tabelle o elenchi di microprocessori, qui proponiamo uno script che hanno creato per poter controllare facilmente se siamo interessati o meno, dobbiamo semplicemente scaricarlo ed eseguirlo e ci dirà se siamo o meno in pericolo da Spectre e Meltdown. Le istruzioni o i passaggi da seguire sono semplici:

git clone https://github.com/speed47/spectre-meltdown-checker.git

cd spectre-meltdown-checker/

sudo sh spectre-meltdown-checker.sh

Dopo aver eseguito questa operazione, apparirà una casella rossa per indicare se siamo vulnerabili a Meltdown o Spectre o un indicatore verde nel caso in cui siamo al sicuro da le varianti di queste vulnerabilità. Nel mio caso, ad esempio, avendo una APU AMD (senza nemmeno aver aggiornato il sistema), il risultato è stato:

NON VULNERABILE

Nel caso in cui il risultato fosse in rosso VULNERABILE, leggi la sezione seguente ...

Cosa fare se sono affetto?

Microprocessore

La soluzione migliore, come dicono alcuni, è passare a una CPU o un microprocessore che non sia interessato dal problema. Ma questo non è fattibile per molti utenti a causa della mancanza di budget o per altri motivi. Inoltre, i produttori come Intel continuano a vendere microprocessori interessati e che sono stati lanciati di recente, come Coffee Lake, poiché le microarchitetture di solito hanno tempi di sviluppo lunghi e ora stanno lavorando alla progettazione di future microarchitetture che appariranno sul mercato nei prossimi anni, ma tutti i chip che vengono commercializzati ora e che probabilmente verrà commercializzato nei prossimi mesi continuerà ad essere influenzato a livello hardware.

Pertanto, nel caso si soffra di questa malattia e si debba "aggiustarla", non abbiamo altra scelta che patchare il nostro sistema operativo (non dimenticare i browser, ecc.), Qualunque esso sia, e aggiornare anche tutte le software che abbiamo. Se hai ben configurato il sistema di aggiornamento Era già molto importante, ora più che mai bisogna tenersi aggiornati sugli aggiornamenti, visto che con loro arriveranno le patch che risolveranno il problema Meltdown e Spectre dal lato software, non senza una perdita di prestazioni come abbiamo già detto. ..

La soluzione non è complicata per l'utente, non dobbiamo fare nulla di "speciale", assicurati solo che lo sviluppatore della nostra distribuzione abbia rilasciato l'aggiornamento per Meltdown e Spectre e che l'abbiamo installato. Maggiori informazioni a riguardo.

Se vuoi, puoi controllare se la patch è stata installata (se necessario) per Meltdown sulla tua distribuzione con questo comando:

 dmesg | grep "Kernel/User page tables isolation: enabled" && echo "Tienes el parche! :)" || echo "Ooops...no tienes la actualización instalada en tu kernel! :("

*Attenzione al kernel Ubuntu 4.4.0-108-genericoAlcuni utenti hanno segnalato problemi sui loro computer durante l'avvio dopo l'aggiornamento e sono dovuti tornare a una versione precedente. Canonical sembra averlo risolto in 4.4.0-109-generic ...

Perdita di prestazioni: si è parlato del 30% in alcuni casi, ma dipenderà dalla microarchitettura. Nelle architetture più vecchie, la perdita di prestazioni può essere molto grave perché i guadagni di prestazioni che queste architetture hanno si basano principalmente sui miglioramenti forniti dall'esecuzione OoOE e dal TLB ... Nelle architetture più moderne, si parla di tra il 2% e il 6 % a seconda del tipo di software in esecuzione per gli utenti domestici, possibilmente nei data center le perdite sono molto maggiori (oltre il 20%). Come riconosciuto dalla stessa Intel, dopo aver minimizzato ciò che stava accadendo loro, le prestazioni nei processori precedenti a Haswell (2015), il calo delle prestazioni sarà molto peggiore di quel 6% anche per gli utenti normali ...

Non dimenticare di lasciare i tuoi commenti con i tuoi dubbi o suggerimenti ...


Lascia un tuo commento

L'indirizzo email non verrà pubblicato. I campi obbligatori sono contrassegnati con *

*

*

  1. Responsabile del trattamento: AB Internet Networks 2008 SL
  2. Scopo dei dati: controllo SPAM, gestione commenti.
  3. Legittimazione: il tuo consenso
  4. Comunicazione dei dati: I dati non saranno oggetto di comunicazione a terzi se non per obbligo di legge.
  5. Archiviazione dati: database ospitato da Occentus Networks (UE)
  6. Diritti: in qualsiasi momento puoi limitare, recuperare ed eliminare le tue informazioni.

  1.   Shalem Dior Juz suddetto
    fa 6 anni

    Ottimo post, grazie mille e complimenti. Anche con un'APU AMD, ho eseguito lo script ed è andato tutto bene. Alcuni di calce, altri di sabbia: e pensare che quando sono entrato a far parte di questo team è stato per un'eccellente promozione apparsa anni fa in una catena di negozi e col passare del tempo ho maledetto il mio destino visto l'inferno vissuto dai driver proprietari AMD per GNU / Linux (Dopo la scadenza, ho scelto di affidarmi ai driver gratuiti e sono contento, funziona meglio di Windows 10). Ho amici seriamente colpiti dal problema ei loro dispositivi risalgono davvero all'era del Pentium 4, con processori i3 e i5.

    Rispondi a Shalem Dior Juz
  2.   lupe suddetto
    fa 6 anni

    Strumento di rilevamento della mitigazione di Spectre and Meltdown v0.28

    Verifica delle vulnerabilità rispetto all'esecuzione del kernel Linux 4.14.12-1-MANJARO # 1 SMP PREEMPT Sat Jan 6 21:03:39 UTC 2018 x86_64
    La CPU è Intel (R) Core (TM) i5-2435M a 2.40 GHz

    CVE-2017-5753 [bypass del controllo dei limiti] alias "Spectre Variante 1"
    * Controllo del conteggio degli opcode LFENCE nel kernel: NO
    > STATO: VULNERABILE (sono stati trovati solo 21 opcode, dovrebbe essere> = 70, euristico da migliorare quando saranno disponibili le patch ufficiali)

    CVE-2017-5715 [branch target injection] aka "Spectre Variant 2"
    * Mitigazione 1
    * Supporto hardware (microcodice CPU) per la mitigazione: NO
    * Supporto del kernel per IBRS: NO
    * IBRS abilitato per lo spazio del kernel: NO
    * IBRS abilitato per lo spazio utente: NO
    * Mitigazione 2
    * Kernel compilato con l'opzione retpoline: NO
    * Kernel compilato con un compilatore compatibile con retpoline: NO
    > STATO: VULNERABILE (sono necessari hardware IBRS + supporto kernel O kernel con retpoline per mitigare la vulnerabilità)

    CVE-2017-5754 [rogue data cache load] aka "Meltdown" aka "Variant 3"
    * Il kernel supporta l'isolamento della tabella delle pagine (PTI): SÌ
    * PTI abilitato e attivo: SI
    > STATO: NON VULNERABILE (PTI mitiga la vulnerabilità)

    Un falso senso di sicurezza è peggio di niente sicurezza, vedi –disclaimer

    In questa parte dico di sì e nell'immagine dici di no.
    * PTI abilitato e attivo: SI
    cosa dovrei fare

    Rispondi a luppe
    1.    Isaac suddetto
      fa 6 anni

      Ciao,

      Non uso Manjaro, ma presumo che lavoreranno su un aggiornamento. Quindi mantieni il tuo sistema il più aggiornato possibile. Le ultime versioni del kernel implementano anche soluzioni se vuoi installarle ...

      Un saluto e grazie per la lettura!

      Rispondi a Isaac
  3.   Daniel suddetto
    fa 6 anni

    In Ubuntu hanno risolto il problema di Meltdown con l'aggiornamento del kernel, 4.13.0.
    Uso Peppermint 8 e fare il test di vulnerabilità Meltdown non mi rende più vulnerabile.
    Saluti.

    Rispondi a Daniel
  4.   Nasher_87 (ARG) suddetto
    fa 6 anni

    Strumento di rilevamento della mitigazione di Spectre and Meltdown v0.28

    Verifica delle vulnerabilità rispetto all'esecuzione del kernel Linux 4.14.13-041413-generic # 201801101001 SMP Mercoledì 10 gennaio 10:02:53 UTC 2018 x86_64
    La CPU è AMD A6-7400K Radeon R5, 6 Compute Cores 2C + 4G

    CVE-2017-5753 [bypass del controllo dei limiti] alias "Spectre Variante 1"
    * Controllo del conteggio degli opcode LFENCE nel kernel: NO
    > STATO: VULNERABILE (sono stati trovati solo 29 opcode, dovrebbe essere> = 70, euristico da migliorare quando saranno disponibili le patch ufficiali)

    CVE-2017-5715 [branch target injection] aka "Spectre Variant 2"
    * Mitigazione 1
    * Supporto hardware (microcodice CPU) per la mitigazione: NO
    * Supporto del kernel per IBRS: NO
    * IBRS abilitato per lo spazio del kernel: NO
    * IBRS abilitato per lo spazio utente: NO
    * Mitigazione 2
    * Kernel compilato con l'opzione retpoline: NO
    * Kernel compilato con un compilatore compatibile con retpoline: NO
    > STATO: NON VULNERABILE (il tuo fornitore di CPU ha segnalato il tuo modello di CPU come non vulnerabile)

    CVE-2017-5754 [rogue data cache load] aka "Meltdown" aka "Variant 3"
    * Il kernel supporta l'isolamento della tabella delle pagine (PTI): SÌ
    * PTI abilitato e attivo: NO
    > STATO: NON VULNERABILE (il tuo fornitore di CPU ha segnalato il tuo modello di CPU come non vulnerabile)

    Un falso senso di sicurezza è peggio di niente sicurezza, vedi –disclaimer

    Non è stato risolto avendo l'ultimo kernel?

    saluti

    Rispondi a Nasher_87 (ARG)
  5.   Lolo suddetto
    fa 6 anni

    C'è un modo per misurare come le prestazioni ci influenzano prima e dopo aver applicato la patch ???

    Rispondi a Lolo