Проверьте, не на вас ли действуют Meltdown и Spectre, и защищайтесь !!!

Логотип Meltdown и Spectre с патчем для Linux

Meltdown и Spectre Это тенденции последних дней, ни о чем другом практически не идет речи, и это неудивительно, поскольку они, вероятно, являются самыми важными уязвимостями в истории. Они серьезно влияют на безопасность наших систем, и если система принадлежит компании или у вас есть соответствующие данные, проблема гораздо серьезнее. Тем не менее, всегда считается, что затронуты только настольные компьютеры, ноутбуки, серверы и суперкомпьютеры, но ущерб идет дальше и затрагивает гораздо больше устройств, например, на основе ядер ARM, включая планшеты, смартфоны, некоторые устройства IoT, промышленные, Домашняя автоматизация, даже подключенные автомобили.

Как вы хорошо знаете, это ни в коем случае не является чем-то уникальным для Linux, а скорее влияет на различные операционные системы, также затронуты Microsoft Windows и macOS, не забывая iOS и Android. Поэтому немногие избегают этих угроз, хотя верно то, что некоторые архитектуры ЦП сохранены и что, если у нас есть чип AMD, шансы использовать эти уязвимости, вероятно, меньше, но это не означает, что риска нет.

Какова текущая ситуация с Linux?

Ошибки

Linux в основном меняет мирХотя многие считают, что это редко используемая система, на самом деле все наоборот. Возможно, он потерпел неудачу в том аспекте, что он был создан для рабочего стола, и это как раз единственный сектор, в котором его меньшинство по сравнению со всемогущей Windows и по сравнению с хорошей частью, которую имеет Mac. Если мы перейдем к встроенным или встроенным устройствам, серверы, суперкомпьютеры и т. д. Linux доминирует, и именно серверы Интернета становятся жизненно важными, и без него вы практически можете сказать, что Интернет рухнет ...

Вот почему в Linux отреагировал раньше чем в любой другой системе, чтобы решить проблемы, которые могут оставить после себя Meltdown и Spectre. Уже Линус Торвальдс Он сказал Intel по этому поводу несколько резких слов, и если вы посмотрите на LKML, то увидите, что это вызывает озабоченность и является нормой дня. И его правая рука и номер два в разработке ядра Linux Грег Кроа-Хартман тоже сделал это. Для получения дополнительной информации вы можете проконсультироваться его личный блог где вы найдете достаточно информации.

  • Meltdown: В основном Грег прокомментировал, что в отношении Meltdown его можно завершить на x86, включив CONFIG_PAGE_TABLE_ISOLATION, изоляция таблицы страниц (PTI) что компьютеры с процессорами AMD, на которые это не влияет, следует избегать, чтобы избежать проблем с производительностью. Возможно, вы даже знали, что некоторые компьютеры с чипом AMD перестали загружаться из-за того, что исправление Windows вызвало серьезные проблемы. PTI будет включен в Linux 4.15 по умолчанию, но из-за его важности с точки зрения безопасности он будет включен в предыдущие версии, такие как LTS 4.14, 4.9 и 4.4 ... и, вероятно, со временем патч будет включен во многие другие версии. , но терпения, потому что это подразумевает чрезмерную нагрузку на разработчиков. И они также сталкиваются с проблемами исправления, такими как vDSO, в некоторых настройках виртуальных машин. Что касается ARM64, на который немного влияет Meltdown, который является серьезной проблемой для Intel, чипы многих мобильных устройств и других устройств также нуждаются в патче, хотя кажется, что он не будет сливаться с основным деревом ядра в краткосрочной перспективе (возможно, в Linux 4.16, хотя Грег прокомментировал, что они могут никогда не появиться из-за количества предварительных условий, требующих утверждения исправлений), и поэтому рекомендуется использовать определенные ядра, то есть Android Common Kernel в его ветвях 3.18, 4.4 и 4.9. .
  • Spectre: другая проблема затрагивает большее количество архитектур, и с ней труднее справиться. Похоже, что в ближайшее время у нас не будет хорошего решения, и нам придется какое-то время сосуществовать с этой проблемой. В двух вариантах требуется, чтобы система была исправлена, и некоторые сообщества разработчиков определенных дистрибутивов уже начали выпускать исправления для смягчения этого, но предоставляемые решения разнообразны, и на данный момент они не будут интегрированы как часть основной ветки. ядра до тех пор, пока лучшее решение не будет видно до того, как разработчики ЦП придумают лучшее решение (переделают свои чипы). Решения были изучены, и по ходу дела они обнаруживают некоторые проблемы, такие как большее незнание о Spectre. Разработчикам нужно время, чтобы понять, как решить эту проблему, и сам Грег прокомментировал это: «Это будет область исследований в ближайшие годы, чтобы найти способы смягчить возможные проблемы, связанные с оборудованием, которые также попытаются предсказать их в будущем, прежде чем они произойдут.».
  • Chromebooks- Если у вас есть ноутбук Google, вы будете рады узнать, что вы можете видеть статус работы, которую они делают, чтобы решить проблему Meltdown. в этом списке.

Как легко проверить, не пострадал ли я?

Искатель

Чтобы не ходить по справочным таблицам или спискам микропроцессоров, здесь мы предлагаем сценарий которые они создали, чтобы иметь возможность легко проверить, затронуты ли мы или нет, нам просто нужно загрузить и запустить его, и он сообщит нам, находимся ли мы в опасности от Spectre и Meltdown. Инструкции или шаги просты:

git clone https://github.com/speed47/spectre-meltdown-checker.git

cd spectre-meltdown-checker/

sudo sh spectre-meltdown-checker.sh

После выполнения этого появится красное поле, указывающее, уязвимы ли мы для Meltdown или Spectre, или зеленый индикатор на случай, если мы в безопасности. варианты этих уязвимостей. В моем случае, например, при наличии AMD APU (даже без обновления системы) результат был следующим:

НЕ УЯЗВИМЫ

Если результат был красным УЯЗВИМЫМ, прочтите следующий раздел ...

Что делать, если я пострадал?

Микропроцессор

Лучшее решение, как говорят некоторые, - это переключиться на процессор или микропроцессор, на который проблема не влияет. Но для многих пользователей это невозможно из-за недостатка бюджета или по другим причинам. Также такие производители, как Intel они продолжают продавать поврежденные микропроцессоры и которые были запущены недавно, такие как Coffee Lake, поскольку микроархитектуры обычно имеют длительное время разработки, и теперь они работают над дизайном будущих микроархитектур, которые появятся на рынке в ближайшие годы, но все чипы, которые коммерциализируются сейчас и которые, вероятно, будут коммерциализированы в ближайшие месяцы, по-прежнему будут затронуты на аппаратном уровне.

Следовательно, в случае, если мы страдаем этим заболеванием и нам необходимо «исправить» его, у нас нет другого выбора, кроме как исправить нашу операционную систему (не забыть браузеры и т. программное обеспечение у нас есть. Если хорошо настроили система обновлений Это уже было очень важно, сейчас, как никогда, вы должны быть в курсе обновлений, поскольку вместе с ними появятся исправления, которые решают проблему Meltdown и Spectre со стороны программного обеспечения, не без потери производительности, как мы уже говорили. ..

Решение не сложное для пользователя, нам не нужно делать ничего «особенного», просто убедитесь, что разработчик нашего дистрибутива выпустил обновление для Meltdown и Spectre и что оно у нас установлено. Подробнее об этом.

Если вы хотите, вы можете проверить, был ли установлен (при необходимости) патч для Meltdown в вашем дистрибутиве с помощью этой команды:

 dmesg | grep "Kernel/User page tables isolation: enabled" && echo "Tienes el parche! :)" || echo "Ooops...no tienes la actualización instalada en tu kernel! :(" 

*Остерегайтесь ядра Ubuntu 4.4.0-108-genericНекоторые пользователи сообщали о проблемах на своих компьютерах при загрузке после обновления, и им пришлось вернуться к предыдущей версии. Canonical, похоже, решил это в 4.4.0-109-generic ...

Потеря производительности: В некоторых случаях речь шла о 30%, но это будет зависеть от микроархитектуры. В более старых архитектурах потеря производительности может быть очень серьезной, потому что прирост производительности, который имеют эти архитектуры, в основном основан на улучшениях, обеспечиваемых выполнением OoOE и TLB ... В более современных архитектурах говорится о 2-6%. % в зависимости от типа программного обеспечения, запущенного для домашних пользователей, возможно, в центрах обработки данных потери намного выше (более 20%). Как признала сама Intel, после преуменьшения того, что к ним пришло, производительности процессоров до Haswell (2015), падение производительности будет намного хуже, чем эти 6%, даже для обычных пользователей ...

Не забывайте оставлять свои комментарии с вашими сомнениями или предложениями ...


Содержание статьи соответствует нашим принципам редакционная этика. Чтобы сообщить об ошибке, нажмите здесь.

6 комментариев, оставьте свой

Оставьте свой комментарий

Ваш электронный адрес не будет опубликован.

*

*

  1. Ответственный за данные: AB Internet Networks 2008 SL
  2. Назначение данных: контроль спама, управление комментариями.
  3. Легитимация: ваше согласие
  4. Передача данных: данные не будут переданы третьим лицам, кроме как по закону.
  5. Хранение данных: база данных, размещенная в Occentus Networks (ЕС)
  6. Права: в любое время вы можете ограничить, восстановить и удалить свою информацию.

  1.   Шалом Диор Джуз сказал

    Очень хороший пост, большое спасибо и поздравляю. Также с AMD APU я запустил сценарий, и все было в порядке. Некоторые извести, другие пески: и подумать, что, когда я присоединился к этой команде, это произошло из-за отличной рекламы, которая появилась много лет назад в сетевом магазине, и со временем я проклял свою судьбу, учитывая ад, который жили проприетарные драйверы AMD для GNU / Linux (По истечении срока я решил отдаться бесплатным драйверам, и я доволен, они работают лучше, чем Windows 10). У меня есть друзья, серьезно пострадавшие от этой проблемы, и их устройства действительно вернулись во времена Pentium 4 с процессорами i3 и i5.

  2.   Люппе сказал

    Средство обнаружения защиты от Spectre и Meltdown v0.28

    Проверка уязвимостей ядра Linux 4.14.12-1-MANJARO # 1 SMP PREEMPT Сб, 6 января 21:03:39 UTC 2018 x86_64
    Процессор: Intel (R) Core (TM) i5-2435M CPU @ 2.40 ГГц

    CVE-2017-5753 [обход проверки границ] aka 'Spectre Variant 1'
    * Проверка количества кодов операций LFENCE в ядре: НЕТ
    > СОСТОЯНИЕ: УЯЗВИМО (найден только 21 код операции, должно быть> = 70, эвристика будет улучшена, когда станут доступны официальные исправления)

    CVE-2017-5715 [внедрение целевой ветви], также известной как "Spectre Variant 2"
    * Смягчение 1
    * Аппаратная поддержка (микрокод процессора) для смягчения последствий: НЕТ
    * Поддержка ядра для IBRS: НЕТ
    * IBRS включен для пространства ядра: НЕТ
    * IBRS включена для пользовательского пространства: НЕТ
    * Смягчение 2
    * Ядро скомпилировано с опцией retpoline: НЕТ
    * Ядро скомпилировано с помощью компилятора, поддерживающего Retpoline: НЕТ
    > СОСТОЯНИЕ: УЯЗВИМО (оборудование IBRS + поддержка ядра ИЛИ ядро ​​с retpoline необходимы для смягчения уязвимости)

    CVE-2017-5754 [незаконная загрузка кэша данных], также известная как "Meltdown" или "Вариант 3"
    * Ядро поддерживает изоляцию таблиц страниц (PTI): ДА
    * PTI включен и активен: ДА
    > СОСТОЯНИЕ: НЕ УЯЗВИМО (PTI снижает уязвимость)

    Ложное чувство безопасности хуже, чем полное отсутствие безопасности, см. –Disclaimer

    В этой части я говорю «да», а в изображении вы говорите «нет».
    * PTI включен и активен: ДА
    Что я должен делать

    1.    Исаак сказал

      Привет,

      Я не использую Manjaro, но предполагаю, что они будут работать над обновлением. Так что держите свою систему как можно более актуальной. Последние версии ядра также реализуют решения, если вы хотите их установить ...

      Приветствую и спасибо за чтение!

  3.   Дэниел сказал

    В Ubuntu они решили проблему Meltdown с обновлением ядра 4.13.0.
    Я использую Peppermint 8, и выполнение теста уязвимости Meltdown больше не делает меня уязвимым.
    Привет.

  4.   Нашер_87 (ARG) сказал

    Средство обнаружения защиты от Spectre и Meltdown v0.28

    Проверка уязвимостей в ядре Linux 4.14.13-041413-generic # 201801101001 SMP среда, 10 января 10:02:53 UTC 2018 x86_64
    Процессор: AMD A6-7400K Radeon R5, 6 вычислительных ядер 2C + 4G

    CVE-2017-5753 [обход проверки границ] aka 'Spectre Variant 1'
    * Проверка количества кодов операций LFENCE в ядре: НЕТ
    > СОСТОЯНИЕ: УЯЗВИМО (найден только 29 код операции, должно быть> = 70, эвристика будет улучшена, когда станут доступны официальные исправления)

    CVE-2017-5715 [внедрение целевой ветви], также известной как "Spectre Variant 2"
    * Смягчение 1
    * Аппаратная поддержка (микрокод процессора) для смягчения последствий: НЕТ
    * Поддержка ядра для IBRS: НЕТ
    * IBRS включен для пространства ядра: НЕТ
    * IBRS включена для пользовательского пространства: НЕТ
    * Смягчение 2
    * Ядро скомпилировано с опцией retpoline: НЕТ
    * Ядро скомпилировано с помощью компилятора, поддерживающего Retpoline: НЕТ
    > СОСТОЯНИЕ: НЕ УЯЗВИМО (поставщик вашего процессора сообщил, что ваша модель процессора не уязвима)

    CVE-2017-5754 [незаконная загрузка кэша данных], также известная как "Meltdown" или "Вариант 3"
    * Ядро поддерживает изоляцию таблиц страниц (PTI): ДА
    * PTI включен и активен: НЕТ
    > СОСТОЯНИЕ: НЕ УЯЗВИМО (поставщик вашего процессора сообщил, что ваша модель процессора не уязвима)

    Ложное чувство безопасности хуже, чем полное отсутствие безопасности, см. –Disclaimer

    Разве это не решено установкой последнего ядра?

    привет

  5.   Лоло сказал

    Есть ли способ измерить, как производительность влияет на нас до и после применения патча ???