Meltdown och Spectre De är de senaste dagarnas trender, praktiskt taget ingenting annat pratas om och det är inte konstigt, eftersom de förmodligen är historiens viktigaste sårbarheter. De påverkar allvarligt säkerheten i våra system och om systemet tillhör ett företag eller du har relevant data är problemet mycket allvarligare. Det är dock alltid tänkt att endast stationära datorer, bärbara datorer, servrar och superdatorer påverkas, men skadan går längre och påverkar många fler enheter, som de som är baserade på ARM-kärnor och inkluderar surfplattor, smartphones och vissa enheter. IoT, industriellt , hemautomation, även uppkopplade bilar.
Som du väl vet är det inte något unikt för Linux på något sätt utan snarare påverkar olika operativsystem, även Microsoft Windows och macOS påverkas av det, utan att glömma iOS och Android. Därför undviker få dessa hot, även om det är sant att vissa CPU-arkitekturer sparas och att om vi har ett AMD-chip är chansen att utnyttja dessa sårbarheter förmodligen mindre, men det betyder inte att det inte finns någon risk.
Hur är den nuvarande situationen för Linux?
Linux rör i princip världenÄven om många tror att det är ett system som sällan används är det tvärtom. Möjligen har det misslyckats i den aspekt som det skapades för skrivbordet och det är just den enda sektorn där den är en minoritet jämfört med den allsmäktiga Windows och jämfört med en bra del som Mac har. Om vi går till inbäddade eller inbäddade enheter, servrar, superdatorer, etc., Linux är dominerande och det är just internetservrarna där det blir livsviktigt och utan det kan man praktiskt säga att Internet skulle falla ...
Det är därför i Linux reagerade tidigare än i något annat system för att lösa de problem som Meltdown och Spectre kan lämna efter sig. Redan Linus Torvalds Han talade om saken med hårda ord till Intel och om du tittar på LKML kommer du att se att det är en fråga om oro och är dagens ordning. Och hans högra hand och nummer två i Linux-kärnutveckling, Greg Kroah-Hartman har gjort det också. För mer information kan du konsultera hans personliga blogg där du hittar tillräckligt med information.
- Härdsmälta: I grund och botten har Greg kommenterat att angående Meltdown kan det avslutas på x86 genom att välja att inkludera CONFIG_PAGE_TABLE_ISOLATION, en sidtabellisolering (PTI) att datorer med AMD-processorer, som inte påverkas av det, bör undvika att undvika prestandaproblem. Du kanske till och med har vetat att vissa datorer med ett AMD-chip har slutat starta eftersom Windows-patch har genererat allvarliga problem. PTI kommer att inkluderas i Linux 4.15 som standard, men på grund av dess betydelse när det gäller säkerhet kommer det att inkluderas i tidigare versioner som LTS 4.14, 4.9 och 4.4 ... och förmodligen kommer patchen att införlivas i många andra versioner över tiden , men tålamod eftersom det innebär en överbelastning av arbete för utvecklare. Och de stöter också på patchrelaterade problem som vDSO i vissa virtuella maskininställningar. När det gäller ARM64, något som påverkas av Meltdown, vilket är ett stort problem hos Intel, behöver chips från många mobila enheter och andra enheter också en patch, även om det verkar som om det inte kommer att gå samman med huvudkärnaträdet på kort sikt (kanske på Linux 4.16, även om Greg har kommenterat att de kanske aldrig kommer fram på grund av mängden förutsättningar som patchar behöver godkännas) och därför är det lämpligt att använda specifika kärnor, det vill säga Android Common Kernel i dess grenar 3.18, 4.4 och 4.9.
- spöke: det andra problemet påverkar fler arkitekturer och är mer komplicerat att hantera. Det verkar som om vi inte kommer att ha en bra lösning på kort sikt och vi kommer att behöva samexistera med detta problem ett tag. I sina två varianter behöver systemet patchas och vissa utvecklingsgemenskaper för vissa distros har redan börjat släppa patchar för att mildra det, men de lösningar som tillhandahålls är olika och för tillfället kommer de inte att integreras som en del av huvudgrenen av kärnan tills Den bästa lösningen ses innan CPU-designers kommer med den bästa lösningen (redesign deras marker). Lösningarna har studerats och de hittar några problem på vägen, till exempel större okunnighet om Spectre. Utvecklare behöver lite tid för att ta reda på hur man hanterar problemet, och Greg själv har kommenterat att ”Detta kommer att bli ett forskningsområde under de kommande åren för att hitta sätt att mildra möjliga problem med hårdvara, som också kommer att försöka förutsäga dem i framtiden innan de händer.".
- Chromebooks- Om du har en bärbar dator från Google kommer du att vara glad att veta att du kan se status för det arbete de gör för att lösa Meltdown på den här listan.
Hur kan jag enkelt kontrollera om jag påverkas?
För att inte gå runt konsultbord eller listor över mikroprocessorer, här vi föreslår ett manus att de har skapat för att enkelt kunna kontrollera om vi påverkas eller inte, vi måste helt enkelt ladda ner och köra det och det kommer att berätta om vi är i fara från Spectre och Meltdown. Instruktionerna eller stegen att följa är enkla:
git clone https://github.com/speed47/spectre-meltdown-checker.git cd spectre-meltdown-checker/ sudo sh spectre-meltdown-checker.sh
Efter att ha utfört detta kommer en röd ruta att visas om vi är sårbara för Meltdown eller Spectre eller en grön indikator om vi är säkra från varianterna av dessa sårbarheter. I mitt fall, till exempel med en AMD APU (utan att ens ha uppdaterat systemet) har resultatet varit:
Om resultatet har blivit rött SÅRBAR, läs följande avsnitt ...
Vad ska jag göra om jag påverkas?
Den bästa lösningen, som vissa säger, är att byta till en CPU eller mikroprocessor som inte påverkas av problemet. Men detta är inte möjligt för många av användarna på grund av brist på budget eller av andra skäl. Tillverkare som Intel de fortsätter att sälja berörda mikroprocessorer och som har lanserats nyligen, till exempel Coffee Lake, eftersom mikroarkitekturer vanligtvis har långa utvecklingstider och nu arbetar de med utformningen av framtida mikroarkitekturer som kommer att visas på marknaden de kommande åren, men alla chips som kommer att marknadsföras nu och som förmodligen kommer att kommersialiseras under de kommande månaderna kommer att fortsätta att påverkas på hårdvarunivå.
Därför, om vi lider av denna sjukdom och behöver "fixa" den, har vi inget annat val än att korrigera vårt operativsystem (glöm inte webbläsarna osv.), Vad det än kan vara, och uppdatera också alla programvara vi har. Om har väl konfigurerat uppdateringssystemet Det var redan väldigt viktigt, nu mer än någonsin måste du hålla dig uppdaterad med uppdateringarna, eftersom med dem kommer patchar som löser Meltdown och Spectre-problemet från programvarusidan, inte utan prestandaförlust som vi redan sa. ..
Lösningen är inte komplicerad för användaren, vi behöver inte göra något "speciellt", bara se till att utvecklaren av vår distribution har släppt uppdateringen för Meltdown och Spectre och att vi har den installerad. Mer information om det.
Om du vill kan du kontrollera om korrigeringsfilen installerades (om det behövs) för Meltdown på din distro med det här kommandot:
dmesg | grep "Kernel/User page tables isolation: enabled" && echo "Tienes el parche! :)" || echo "Ooops...no tienes la actualización instalada en tu kernel! :("
*Akta dig för Ubuntu-kärnan 4.4.0-108-genericVissa användare har rapporterat problem på sina datorer när de startade efter uppdateringen och har tvingats återgå till en tidigare version. Canonical verkar ha löst det i 4.4.0-109-generic ...
Förlust av prestanda: det var tal om 30% i vissa fall, men det beror på mikroarkitekturen. I äldre arkitekturer kan prestandaförlusten vara mycket allvarlig eftersom prestationsvinsterna som dessa arkitekturer har huvudsakligen baseras på de förbättringar som tillhandahålls av OoOE-utförandet och TLB ... I modernare arkitekturer talas det om mellan 2% och 6 % beroende på vilken typ av programvara som körs för hemanvändare, eventuellt i datacenter är förlusterna mycket högre (över 20%). Som erkänts av Intel själv, kommer prestandafallet att vara mycket sämre än 2015% även för vanliga användare efter att ha nedprioriterat vad som kom till dem, processorerna i processorer före Haswell (6).
Glöm inte att lämna dina kommentarer med dina tvivel eller förslag ...
Mycket bra inlägg, tack så mycket och grattis. Även med en AMD APU körde jag skriptet och allt var bra. En del av kalk, andra sandar: och att tänka att när jag gick med i det här laget berodde det på en utmärkt kampanj som uppträdde för flera år sedan i en kedjebutik och med tiden förbannade jag mitt öde med tanke på helvetet som de egna AMD-drivarna för GNU levde för GNU. / Linux (Efter utgången valde jag att ge mig till de gratis drivrutinerna och jag är glad, det fungerar bättre än Windows 10). Jag har vänner som allvarligt påverkas av problemet och deras enheter går verkligen tillbaka till Pentium 4-eran med i3- och i5-processorer.
Spectre and Meltdown mitigation detecting tool v0.28
Kontrollerar om det finns sårbarheter mot körning av Linux-kärnan 4.14.12-1-MANJARO # 1 SMP PREEMPT lör 6 jan 21:03:39 UTC 2018 x86_64
CPU är Intel (R) Core (TM) i5-2435M CPU @ 2.40 GHz
CVE-2017-5753 [bypass check bypass] aka 'Spectre Variant 1'
* Kontroll av antalet LFENCE-opkoder i kärnan: NEJ
> STATUS: SÅRLIG (endast 21 opkoder hittades, bör vara> = 70, heuristisk för att förbättras när officiella korrigeringar blir tillgängliga)
CVE-2017-5715 [greninjektion] aka 'Spectre Variant 2'
Lättgörande 1
* Hårdvara (CPU-mikrokod) stöd för lindring: NEJ
* Kärnstöd för IBRS: NEJ
* IBRS aktiverat för kärnutrymme: NEJ
* IBRS aktiverat för användarutrymme: NEJ
Lättgörande 2
* Kärna kompilerad med retpolin alternativ: NEJ
* Kärna sammanställd med en kompolator som är medveten om retpolin: NEJ
> STATUS: VULNERABLE (IBRS hårdvara + kärnstöd ELLER kärna med retpoline behövs för att mildra sårbarheten)
CVE-2017-5754 [rogue data cache load] aka 'Meltdown' aka 'Variant 3'
* Kärnan stöder sidtabellisolering (PTI): JA
* PTI aktiverad och aktiv: JA
> STATUS: INTE SÅRBAR (PTI mildrar sårbarheten)
En falsk känsla av säkerhet är värre än ingen säkerhet alls, se - ansvarsfriskrivning
I den här delen säger jag ja, och i bilden säger du nej.
* PTI aktiverad och aktiv: JA
vad ska jag göra
Hej,
Jag använder inte Manjaro, men jag antar att de kommer att arbeta med en uppdatering. Så håll ditt system så uppdaterad som möjligt. De senaste versionerna av kärnan implementerar också lösningar om du vill installera dem ...
En hälsning och tack för läsningen!
I Ubuntu löste de Meltdown-problemet med kärnuppdateringen, 4.13.0.
Jag använder Peppermint 8 och gör Meltdown-sårbarhetstestet inte längre sårbart för mig.
Hälsningar.
Spectre and Meltdown mitigation detecting tool v0.28
Kontrollerar om det finns sårbarheter mot att köra Linux-kärnan 4.14.13-041413-generic # 201801101001 SMP ons 10 jan 10:02:53 UTC 2018 x86_64
CPU är AMD A6-7400K Radeon R5, 6 Compute Cores 2C + 4G
CVE-2017-5753 [bypass check bypass] aka 'Spectre Variant 1'
* Kontroll av antalet LFENCE-opkoder i kärnan: NEJ
> STATUS: SÅRLIG (endast 29 opkoder hittades, bör vara> = 70, heuristisk för att förbättras när officiella korrigeringar blir tillgängliga)
CVE-2017-5715 [greninjektion] aka 'Spectre Variant 2'
Lättgörande 1
* Hårdvara (CPU-mikrokod) stöd för lindring: NEJ
* Kärnstöd för IBRS: NEJ
* IBRS aktiverat för kärnutrymme: NEJ
* IBRS aktiverat för användarutrymme: NEJ
Lättgörande 2
* Kärna kompilerad med retpolin alternativ: NEJ
* Kärna sammanställd med en kompolator som är medveten om retpolin: NEJ
> STATUS: INTE VULNERABLE (din CPU-leverantör rapporterade att din CPU-modell inte var sårbar)
CVE-2017-5754 [rogue data cache load] aka 'Meltdown' aka 'Variant 3'
* Kärnan stöder sidtabellisolering (PTI): JA
* PTI aktiverad och aktiv: NEJ
> STATUS: INTE VULNERABLE (din CPU-leverantör rapporterade att din CPU-modell inte var sårbar)
En falsk känsla av säkerhet är värre än ingen säkerhet alls, se - ansvarsfriskrivning
Lösades det inte genom att ha den senaste kärnan?
hälsningar
Finns det ett sätt att mäta hur prestanda påverkar oss före och efter appliceringen av plåstret ???