Meltdown og Spectre De er trendene de siste dagene, praktisk talt ingenting annet snakkes om og det er ikke rart, siden de sannsynligvis er de viktigste sårbarhetene i historien. De påvirker sikkerheten til systemene våre alvorlig, og hvis systemet tilhører et selskap eller du har relevante data, er problemet mye mer alvorlig. Imidlertid er det alltid antatt at bare stasjonære datamaskiner, bærbare datamaskiner, servere og superdatamaskiner er berørt, men skaden går lenger og påvirker mange flere enheter, for eksempel de som er basert på ARM-kjerner og inkluderer nettbrett, smarttelefoner og noen enheter, industrielle , hjemmeautomatisering, til og med tilkoblede biler.
Som du vet er det heller ikke noe unikt for Linux, men heller påvirker forskjellige operativsystemer, også Microsoft Windows og macOS påvirkes av det, uten å glemme iOS og Android. Derfor unnslipper få disse truslene, selv om det er sant at visse CPU-arkitekturer er spart, og at hvis vi har en AMD-brikke, er sannsynligheten for å utnytte disse sårbarhetene sannsynligvis mindre, men det betyr ikke at det ikke er noen risiko.
Hva er den nåværende situasjonen for Linux?
Linux beveger i utgangspunktet verdenSelv om mange mener at det er et system som sjelden brukes, er det motsatt. Muligens har det mislyktes i det aspektet at det ble opprettet for skrivebordet, og det er nettopp den eneste sektoren der det er et mindretall sammenlignet med den allmektige Windows og sammenlignet med en god del som Mac har. Hvis vi går til innebygde eller innebygde enheter, servere, superdatamaskiner osv., Linux er dominerende, og det er nettopp internett-serverne der det blir viktig, og uten det kan du praktisk talt si at Internett ville falle ...
Det er derfor i Linux reagerte før enn i noe annet system for å løse problemene som Meltdown og Spectre kan legge igjen. Allerede Linus Torvalds Han snakket om saken med harde ord til Intel, og hvis du tar en titt på LKML, vil du se at det er bekymringsfullt og er dagens orden. Og hans høyre mann og nummer to i Linux-kjerneutvikling, Greg Kroah-Hartman har også gjort det. For mer informasjon kan du konsultere hans personlige blogg hvor du finner nok informasjon.
- Meltdown: I utgangspunktet har Greg kommentert at angående Meltdown kan det avsluttes på x86 ved å velge å inkludere CONFIG_PAGE_TABLE_ISOLATION, en sidetabellisolasjon (PTI) at datamaskiner med AMD-prosessorer, ikke berørt av den, bør unngå å unngå problemer med ytelsen. Du har til og med visst at noen datamaskiner med en AMD-brikke har sluttet å starte opp fordi Windows-oppdateringen har generert alvorlige problemer. PTI vil bli inkludert i Linux 4.15 som standard, men på grunn av dens betydning når det gjelder sikkerhet, vil den bli inkludert i tidligere versjoner som LTS 4.14, 4.9 og 4.4 ... og sannsynligvis vil oppdateringen over tid bli innlemmet i mange andre versjoner , men tålmodighet fordi det innebærer en overbelastning av arbeid for utviklere. Og de støter også på oppdateringsproblemer som vDSO i noen virtuelle maskinoppsett. Når det gjelder ARM64, litt påvirket av Meltdown, som er et stort problem hos Intel, trenger sjetongene til mange mobile enheter og andre enheter også en oppdatering, selv om det ser ut til at den ikke vil slå seg sammen med hovedkjernetreet på kort sikt (kanskje i Linux 4.16, selv om Greg har kommentert at de kanskje aldri kommer på grunn av mengden forutsetninger som lappene må godkjennes), og det anbefales derfor å bruke spesifikke kjerner, det vil si Android Common Kernel i sine grener 3.18, 4.4 og 4.9 .
- spektrum: det andre problemet påvirker flere arkitekturer, og er mer komplisert å håndtere. Det ser ut til at vi ikke vil ha en god løsning på kort sikt, og vi må sameksistere med dette problemet en stund. I sine to varianter trenger systemet å lappes, og noen utviklingssamfunn med visse distroer har allerede begynt å frigjøre oppdateringer for å redusere det, men løsningene som tilbys er forskjellige, og for øyeblikket vil de ikke bli integrert som en del av hovedgrenen. av kjernen til Den beste løsningen blir sett før CPU-designere kommer med den beste løsningen (redesign sjetongene deres). Løsningene er studert, og de finner noen problemer underveis, som større uvitenhet om Spectre. Utviklere trenger litt tid på å finne ut hvordan de skal takle problemet, og Greg har selv kommentert at “Dette kommer til å være et forskningsområde de neste årene for å finne måter å redusere mulige problemer med maskinvare, som også vil prøve å forutsi dem i fremtiden før de skjer.".
- Chromebooks- Hvis du har en Google-bærbar datamaskin, vil du være glad for å vite at du kan se status for arbeidet de gjør for å løse Meltdown på denne listen.
Hvordan sjekker jeg enkelt om jeg er berørt?
For ikke å gå rundt konsultasjonstabeller eller lister over mikroprosessorer, her vi foreslår et manus at de har skapt for enkelt å kunne sjekke om vi er berørt eller ikke, vi må bare laste ned og kjøre det, og det vil fortelle oss om vi er i fare fra Spectre og Meltdown. Instruksjonene eller trinnene som skal følges er enkle:
git clone https://github.com/speed47/spectre-meltdown-checker.git cd spectre-meltdown-checker/ sudo sh spectre-meltdown-checker.sh
Etter å ha utført dette, vises en rød rute som indikerer om vi er sårbare for Meltdown eller Spectre eller en grønn indikator i tilfelle vi er trygge fra variantene av disse sårbarhetene. I mitt tilfelle, for eksempel å ha en AMD APU (uten å ha oppdatert systemet), har resultatet vært:
Hvis resultatet har blitt rødt SÅRBAR, les følgende avsnitt ...
Hva skal jeg gjøre hvis jeg blir berørt?
Den beste løsningen, som noen sier, er å bytte til en CPU eller mikroprosessor som ikke er berørt av problemet. Men dette er ikke mulig for mange av brukerne på grunn av manglende budsjett eller andre grunner. Også produsenter som Intel de fortsetter å selge berørte mikroprosessorer og som har blitt lansert nylig, for eksempel Coffee Lake, siden mikroarkitekturer vanligvis har lange utviklingstider, og nå jobber de med utformingen av fremtidige mikroarkitekturer som vil vises på markedet de neste årene, men alle sjetongene som blir kommersialisert nå og som sannsynligvis vil bli kommersialisert de neste månedene, vil fortsatt bli påvirket på maskinvarenivå.
Derfor, hvis vi lider av denne sykdommen og trenger å "fikse" den, har vi ikke noe annet valg enn å lappe operativsystemet vårt (ikke glem nettleserne osv.), Uansett hva det måtte være, og oppdater også alle programvare vi har. Hvis har godt konfigurert oppdateringssystemet Det var allerede veldig viktig, nå mer enn noensinne må du holde deg oppdatert med oppdateringene, siden med dem kommer oppdateringene som løser Meltdown and Spectre-problemet fra programvaresiden, ikke uten tap av ytelse som vi allerede sa. ..
Løsningen er ikke komplisert for brukeren, vi trenger ikke å gjøre noe "spesielt", bare sørg for at utvikleren av distribusjonen vår har gitt ut oppdateringen for Meltdown og Spectre, og at vi har den installert. Mer informasjon om det.
Hvis du vil, kan du sjekke om oppdateringen ble installert (hvis nødvendig) for Meltdown på distroen din med denne kommandoen:
dmesg | grep "Kernel/User page tables isolation: enabled" && echo "Tienes el parche! :)" || echo "Ooops...no tienes la actualización instalada en tu kernel! :("
*Vokt deg for Ubuntu-kjernen 4.4.0-108-generiskNoen brukere har rapportert om problemer på datamaskiner når de startet opp etter oppdateringen, og har måttet gå tilbake til en tidligere versjon. Canonical ser ut til å ha løst det i 4.4.0-109-generisk ...
Tap av ytelse: det var snakk om 30% i noen tilfeller, men det vil avhenge av mikroarkitekturen. I eldre arkitekturer kan ytelsestapet være veldig alvorlig fordi ytelsesgevinsten som disse arkitekturene har, hovedsakelig er basert på forbedringene som OoOE-utførelsen og TLB gir ... I mer moderne arkitekturer snakkes det om mellom 2% og 6 % avhengig av hvilken programvare som kjører for hjemmebrukere, muligens i datasentre er tapene mye høyere (over 20%). Som anerkjent av Intel selv, vil ytelsesfallet være mye dårligere enn 2015%, selv for vanlige brukere, etter å ha nedprioritert hva som kom til dem, ytelsene i prosessorer før Haswell (6).
Ikke glem å legge igjen kommentarene dine med tvil eller forslag ...
Veldig bra innlegg, tusen takk og gratulerer. Også med en AMD APU kjørte jeg skriptet, og alt var bra. Noe av kalk, andre sand: og å tenke at da jeg ble med på dette laget var det på grunn av en utmerket kampanje som dukket opp for mange år siden i en kjedebutikk, og etter hvert som jeg gikk forbannet skjebnen min gitt helvete levd av de proprietære AMD-driverne for GNU / Linux (Etter utløpet valgte jeg å gi meg selv til de gratis driverne, og jeg er glad, det fungerer bedre enn Windows 10). Jeg har venner som er alvorlig berørt av problemet, og enhetene deres går virkelig tilbake til Pentium 4-tiden, med i3- og i5-prosessorer.
Spectre and Meltdown mitigation detecting tool v0.28
Sjekker for sårbarheter mot kjøring av kjernen Linux 4.14.12-1-MANJARO # 1 SMP PREEMPT lør jan 6 21:03:39 UTC 2018 x86_64
CPU er Intel (R) Core (TM) i5-2435M CPU @ 2.40 GHz
CVE-2017-5753 [bypass check bypass] aka 'Spectre Variant 1'
* Kontrollerer antall LFENCE-opkoder i kjernen: NEI
> STATUS: SÅRBARE (bare 21 opkoder funnet, bør være> = 70, heuristisk for å forbedres når offisielle oppdateringer blir tilgjengelige)
CVE-2017-5715 [grenmålinjeksjon] aka 'Spectre Variant 2'
Avbøtende 1
* Maskinvare (CPU-mikrokode) -støtte for avbøting: NEI
* Kjernestøtte for IBRS: NEI
* IBRS aktivert for Kernel space: NO
* IBRS aktivert for brukerplass: NEI
Avbøtende 2
* Kjerne kompilert med retpolin-alternativ: NEI
* Kjerne kompilert med en retpoline-bevisst kompilator: NEI
> STATUS: SÅRBARE (IBRS-maskinvare + kjernestøtte ELLER kjerne med retpoline er nødvendig for å redusere sårbarheten)
CVE-2017-5754 [rogue data cache load] aka 'Meltdown' aka 'Variant 3'
* Kjerne støtter sidetabellisolasjon (PTI): JA
* PTI aktivert og aktiv: JA
> STATUS: IKKE SÅRLIG (PTI demper sårbarheten)
En falsk følelse av sikkerhet er verre enn ingen sikkerhet i det hele tatt, se - ansvarsfraskrivelse
I denne delen sier jeg ja, og i bildet sier du nei.
* PTI aktivert og aktiv: JA
hva burde jeg gjøre
Hei,
Jeg bruker ikke Manjaro, men antar at de jobber med en oppdatering. Så hold systemet ditt så oppdatert som mulig. De nyeste versjonene av kjernen implementerer også løsninger hvis du vil installere dem ...
En hilsen og takk for at du leser!
I Ubuntu løste de Meltdown-problemet med kjerneoppdateringen, 4.13.0.
Jeg bruker Peppermint 8 og gjør Meltdown-sårbarhetstesten ikke lenger sårbar.
Hilsener.
Spectre and Meltdown mitigation detecting tool v0.28
Kontrollerer om det er sårbarheter mot kjøring av kjernen Linux 4.14.13-041413-generic # 201801101001 SMP ons 10 jan 10:02:53 UTC 2018 x86_64
CPU er AMD A6-7400K Radeon R5, 6 Compute Cores 2C + 4G
CVE-2017-5753 [bypass check bypass] aka 'Spectre Variant 1'
* Kontrollerer antall LFENCE-opkoder i kjernen: NEI
> STATUS: SÅRBARE (bare 29 opkoder funnet, bør være> = 70, heuristisk for å forbedres når offisielle oppdateringer blir tilgjengelige)
CVE-2017-5715 [grenmålinjeksjon] aka 'Spectre Variant 2'
Avbøtende 1
* Maskinvare (CPU-mikrokode) -støtte for avbøting: NEI
* Kjernestøtte for IBRS: NEI
* IBRS aktivert for Kernel space: NO
* IBRS aktivert for brukerplass: NEI
Avbøtende 2
* Kjerne kompilert med retpolin-alternativ: NEI
* Kjerne kompilert med en retpoline-bevisst kompilator: NEI
> STATUS: IKKE SÅRLIG (CPU-leverandøren din rapporterte CPU-modellen din som ikke sårbar)
CVE-2017-5754 [rogue data cache load] aka 'Meltdown' aka 'Variant 3'
* Kjerne støtter sidetabellisolasjon (PTI): JA
* PTI aktivert og aktiv: NEI
> STATUS: IKKE SÅRLIG (CPU-leverandøren din rapporterte CPU-modellen din som ikke sårbar)
En falsk følelse av sikkerhet er verre enn ingen sikkerhet i det hele tatt, se - ansvarsfraskrivelse
Ble det ikke løst ved å ha den siste kjernen?
Hilsen
Er det en måte å måle hvordan ytelse påvirker oss før og etter påføring av lappen ???