Плав і привид Це тренди останніх днів, більше ні про що практично не говорять, і це не дивно, оскільки це, мабуть, найважливіші вразливі місця в історії. Вони серйозно впливають на безпеку наших систем, і якщо система належить компанії або у вас є відповідні дані, проблема набагато серйозніша. Однак завжди вважається, що це стосується лише настільних комп’ютерів, ноутбуків, серверів і суперкомп’ютерів, але шкода йде далі й зачіпає набагато більше пристроїв, наприклад пристроїв на основі ядер ARM, включаючи планшети, смартфони та деякі пристрої. , домашня автоматизація, навіть підключені автомобілі.
Як ви добре знаєте, це не щось унікальне для Linux, а навпаки впливає на різні операційні системи, також на це впливає Microsoft Windows і macOS, не забуваючи про iOS та Android. Тому мало хто уникає цих загроз, хоча це правда, що певні архітектури центрального процесора є пошкодженими, і якщо у нас є чіп AMD, шанси на використання цих вразливостей, ймовірно, менші, але це не означає, що ризику немає.
Яка ситуація на сьогодні в Linux?
Linux в основному рухає світомХоча багато хто вважає, що це система, яка використовується рідко, вона навпаки. Можливо, він зазнав невдачі в тому аспекті, що він був створений для робочого столу, і це якраз єдиний сектор, де він становить меншість порівняно з всемогутньою Windows і порівняно з хорошою частиною, яку має Mac. серверів, суперкомп’ютерів тощо, Linux є домінуючим, і саме Інтернет-сервери стають життєво важливими, і без нього можна практично сказати, що Інтернет впаде ...
Ось чому в Linux реагував раніше ніж у будь-якій іншій системі для вирішення проблем, які Meltdown та Spectre можуть залишити позаду. Вже Лінус Торвальдс Він висловився з цього приводу кількома різкими словами до Intel, і якщо ви поглянете на LKML, то побачите, що це викликає занепокоєння і є порядком дня. І його права людина та номер два у розробці ядра Linux, Грег Кроах-Хартман, теж це зробив. Для отримання додаткової інформації ви можете проконсультуватися його особистий блог де ви знайдете достатньо інформації.
- Розплавлення: В основному Грег зауважив, що щодо "Плавлення" його можна закінчити на x86, вибравши включити CONFIG_PAGE_TABLE_ISOLATION, a ізоляція таблиці сторінок (PTI) що комп’ютери з процесорами AMD, на які це не впливає, повинні уникати, щоб уникнути проблем із продуктивністю. Можливо, ви навіть знали, що деякі комп’ютери з чіпом AMD перестали завантажуватися, оскільки виправлення Windows викликало серйозні проблеми. PTI буде включений в Linux 4.15 за замовчуванням, але через свою важливість з точки зору безпеки він буде включений у попередні версії, такі як LTS 4.14, 4.9 та 4.4 ... і, ймовірно, з часом патч буде включений у багато інших версій , але терпіння, оскільки це передбачає перевантаження роботи для розробників. І вони також стикаються з проблемами, пов’язаними з виправленнями, такими як vDSO, у деяких установках віртуальних машин. Що стосується ARM64, злегка постраждалого від Meltdown, який є основною проблемою для Intel, чіпи багатьох мобільних пристроїв та інших пристроїв також потребують виправлення, хоча, здається, він не буде зливатися з основним деревом ядра в короткостроковій перспективі (можливо, на Linux 4.16, хоча Грег зауважив, що вони ніколи не можуть надійти через кількість передумов, які вимагають затвердження виправлень), і тому рекомендується використовувати конкретні ядра, тобто Android Common Kernel у його гілках 3.18, 4.4 та 4.9 .
- Spectre: інша проблема стосується більшої кількості архітектур і є більш складною для вирішення. Здається, у нас не буде хорошого рішення в короткостроковій перспективі, і нам доведеться співіснувати з цією проблемою деякий час. У двох її варіантах система потребує виправлення, а деякі спільноти розробників певних дистрибутивів вже почали випускати виправлення, щоб пом'якшити її, але надані рішення різноманітні, і на даний момент вони не будуть інтегровані як частина основної гілки ядра, доки найкраще рішення не буде розглянуто до того, як розробники процесорів придумають найкраще рішення (перепроектують свої чіпи). Рішення були вивчені, і вони знаходять на своєму шляху деякі проблеми, такі як більша необізнаність про Привид. Розробникам потрібно трохи часу, щоб зрозуміти, як боротися з проблемою, а сам Грег прокоментував, що “У найближчі роки це буде сферою досліджень, щоб знайти способи пом’якшення можливих проблем, пов’язаних із апаратним забезпеченням, яке також спробує передбачити їх у майбутньому, перш ніж вони трапляться.".
- Chromebook- Якщо у вас є ноутбук Google, ви будете раді дізнатися, що ви можете бачити стан роботи, яку вони виконують для розв’язання Meltdown у цьому списку.
Як легко перевірити, чи на мене це впливає?
Щоб не ходити за консультаційними столами чи списками мікропроцесорів, тут ми пропонуємо сценарій що вони створили, щоб мати змогу легко перевірити, постраждали ми чи ні, нам просто потрібно завантажити та запустити його, і це покаже нам, чи не загрожуємо нам від Привиду та Розплаву. Інструкції або кроки, яких слід дотримуватися, прості:
git clone https://github.com/speed47/spectre-meltdown-checker.git cd spectre-meltdown-checker/ sudo sh spectre-meltdown-checker.sh
Після виконання цього з’явиться червоне поле, яке вказує, чи ми вразливі до розплаву або Примари, або зелений індикатор на випадок, якщо ми застраховані від варіанти цих вразливостей. У моєму випадку, наприклад, маючи APU AMD (навіть не оновивши систему), результат був:
Якщо результат був червоним ВИМИНЮВАНИЙ, прочитайте наступний розділ ...
Що робити, якщо я постраждав?
Найкращим рішенням, як кажуть деякі, є перехід на центральний процесор або мікропроцесор, на який проблема не впливає. Але це неможливо для багатьох користувачів через відсутність бюджету чи інші причини. Також виробники люблять Intel вони продовжують продавати постраждалі мікропроцесори і які були запущені нещодавно, такі як Coffee Lake, оскільки мікроархітектури зазвичай мають тривалий час розробки, і зараз вони працюють над розробкою майбутніх мікроархітектур, які з’являться на ринку найближчими роками, але всі чіпи, які зараз комерціалізуються і які, можливо, будуть комерціалізовані в найближчі місяці, і надалі будуть впливати на апаратному рівні.
Тому, якщо ми страждаємо цією хворобою і потребуємо її «виправити», нам нічого не залишається, як виправити нашу операційну систему (не забувайте про браузери тощо), якою б вона не була, а також оновити всі програмне забезпечення, яке ми маємо. Якщо добре налаштовано система оновлення Це було вже дуже важливо, зараз, як ніколи, ви повинні бути в курсі оновлень, оскільки разом з ними з’являться патчі, які вирішують проблему Meltdown і Spectre з боку програмного забезпечення, не без втрати продуктивності, як ми вже говорили. ..
Рішення не є складним для користувача, нам не потрібно робити нічого «особливого», просто переконайтеся, що розробник нашого дистрибутиву випустив оновлення для Meltdown і Spectre і що у нас його встановлено. Більше інформації про це.
Якщо ви хочете, ви можете перевірити, чи був встановлений патч (якщо потрібно) для Meltdown на вашому дистрибутиві за допомогою цієї команди:
dmesg | grep "Kernel/User page tables isolation: enabled" && echo "Tienes el parche! :)" || echo "Ooops...no tienes la actualización instalada en tu kernel! :("
*Остерігайтеся ядра Ubuntu 4.4.0-108-genericДеякі користувачі повідомляли про проблеми на своїх комп’ютерах під час завантаження після оновлення, і їм довелося повернутися до попередньої версії. Canonical, здається, вирішив це в 4.4.0-109-generic ...
Втрата продуктивності: в деяких випадках говорили про 30%, але це буде залежати від мікроархітектури. У старих архітектурах втрата продуктивності може бути дуже серйозною, оскільки приріст продуктивності, який мають ці архітектури, в основному базується на вдосконаленнях, передбачених виконанням OoOE та TLB ... У більш сучасних архітектурах про це йдеться від 2% до 6 % залежно від типу програмного забезпечення, що працює для домашніх користувачів, можливо, в центрах обробки даних втрати набагато більші (понад 20%). Як визнав сам Intel, після применшення того, що надходило до них, продуктивності в процесорах до Haswell (2015), падіння продуктивності буде набагато гірше, ніж на 6%, навіть для звичайних користувачів ...
Не забудьте залишити свої коментарі з вашими сумнівами чи пропозиціями ...
Дуже хороший пост, велике спасибі і вітаю. Також з AMU APU я запустив сценарій і все було добре. Трохи вапна, інші піску: і думати, що коли я приєднався до цієї команди, це було завдяки чудовій акції, яка з’явилася кілька років тому в мережі магазинів, і з часом я проклинав свою долю, зважаючи на пекло, яке проживали власні драйвери AMD для GNU / Linux (Після закінчення терміну я вирішив віддатись безкоштовним драйверам, і я щасливий, це працює краще, ніж Windows 10). У мене є друзі, яких проблема серйозно постраждала, і їх пристрої справді повертаються до епохи Pentium 4, маючи процесори i3 та i5.
Засіб виявлення пом'якшення привидів і розплаву v0.28
Перевірка на наявність уразливостей проти запущеного ядра Linux 4.14.12-1-MANJARO # 1 SMP PREEMPT Sat Jan 6 21:03:39 UTC 2018 x86_64
ЦП - це процесор Intel (R) Core (TM) i5-2435M на 2.40 ГГц
CVE-2017-5753 [байпас перевірки меж], він же `` Варіант привидів 1 ''
* Перевірка кількості операційних кодів LFENCE в ядрі: НІ
> СТАТУС: ВІДНОВЛЮВАНИЙ (знайдено лише 21 код коду, має бути> = 70, евристичний для вдосконалення, коли з’являться офіційні виправлення)
CVE-2017-5715 [введення цільової гілки], також відомий як "Привид Варіант 2"
* Пом'якшення 1
* Апаратне забезпечення (мікрокод процесора) для пом'якшення: НІ
* Підтримка ядра для IBRS: НІ
* IBRS увімкнено для простору ядра: НІ
* IBRS увімкнено для простору користувача: НІ
* Пом'якшення 2
* Ядро, складене з опцією ретполіну: НІ
* Ядро, скомпільоване з компілятором, що знає про ретполін: НІ
> СТАТУС: ВІДНОВЛЮВАНИЙ (обладнання IBRS + підтримка ядра АБО ядро з ретполіном потрібні для пом'якшення вразливості)
CVE-2017-5754 [завантаження кеш-пам’яті даних], відоме під назвою „Meltdown“, також „Варіант 3“
* Ядро підтримує ізоляцію таблиць сторінок (PTI): ТАК
* PTI увімкнено та активне: ТАК
> СТАТУС: НЕ ВУЛИЧНИЙ (PTI пом'якшує вразливість)
Помилкове почуття безпеки гірше, ніж взагалі відсутність, див. –Відмова від відповідальності
У цій частині я кажу так, а на зображенні ви кажете ні.
* PTI увімкнено та активне: ТАК
що я повинен зробити
Привіт
Я не використовую Manjaro, але припускаю, що вони працюватимуть над оновленням. Тож підтримуйте свою систему якомога оновленішою. Останні версії ядра також реалізують рішення, якщо ви хочете їх встановити ...
Привітання та подяка за прочитане!
В Ubuntu вони вирішили проблему Meltdown з оновленням ядра, 4.13.0.
Я використовую Peppermint 8, і тестування на вразливість Meltdown більше не робить мене вразливим.
Привіт.
Засіб виявлення пом'якшення привидів і розплаву v0.28
Перевірка на наявність вразливостей проти запущеного ядра Linux 4.14.13-041413-generic # 201801101001 SMP Wed Jan 10 10:02:53 UTC 2018 x86_64
Процесором є AMD A6-7400K Radeon R5, 6 Compute Cores 2C + 4G
CVE-2017-5753 [байпас перевірки меж], він же `` Варіант привидів 1 ''
* Перевірка кількості операційних кодів LFENCE в ядрі: НІ
> СТАТУС: ВІДНОВЛЮВАНИЙ (знайдено лише 29 код коду, має бути> = 70, евристичний для вдосконалення, коли з’являться офіційні виправлення)
CVE-2017-5715 [введення цільової гілки], також відомий як "Привид Варіант 2"
* Пом'якшення 1
* Апаратне забезпечення (мікрокод процесора) для пом'якшення: НІ
* Підтримка ядра для IBRS: НІ
* IBRS увімкнено для простору ядра: НІ
* IBRS увімкнено для простору користувача: НІ
* Пом'якшення 2
* Ядро, складене з опцією ретполіну: НІ
* Ядро, скомпільоване з компілятором, що знає про ретполін: НІ
> СТАТУС: НЕ ВНІШИЙ (ваш постачальник процесора повідомив вашу модель процесора як не вразливу)
CVE-2017-5754 [завантаження кеш-пам’яті даних], відоме під назвою „Meltdown“, також „Варіант 3“
* Ядро підтримує ізоляцію таблиць сторінок (PTI): ТАК
* PTI включений і активний: НІ
> СТАТУС: НЕ ВНІШИЙ (ваш постачальник процесора повідомив вашу модель процесора як не вразливу)
Помилкове почуття безпеки гірше, ніж взагалі відсутність, див. –Відмова від відповідальності
Хіба це не було вирішено за допомогою останнього ядра?
привіт
Чи є спосіб виміряти, як ефективність впливає на нас до та після застосування патча ???