Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
https://niebezpiecznik.pl/post/powazna-dziura-w-procesorach-intela-albo-kupisz-nowy-albo-zwolnisz-o-30/
Orientujecie się czy stabilna wersja Debiana już dostała do repozytorium odpowiednią łatkę?
Ew. Jeśli tak, to który to pakiet i czy udczuliście spowolnienie?
Offline
W 4.14 pojawiło się
CONFIG_PAGE_TABLE_ISOLATION
sprawdź czy masz załączone.
cat /boot/config-* | grep -i CONFIG_PAGE_TABLE_ISOLATION
https://cdn.kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.14.11
Ostatnio edytowany przez arecki (2018-01-04 09:39:32)
Offline
https://security-tracker.debian.org/tracker/CVE-2017-5754
https://security-tracker.debian.org/tracker/CVE-2017-5753
Ostatnio edytowany przez Pakos (2018-01-04 09:39:20)
Offline
Te 60% to tylko głośny nagłówek dla gawiedzi.
Offline
ja włączyłem CONFIG_PAGE_TABLE_ISOLATION i na razie nie widzę istotnego zwolnienia ani większego obciążenia kompa.
Inna sprawa,ze u mnie zazwyczaj procek ma obciążenie rzędu 10-30% na każdym rdzeniu, powyżej tego toleruję tylko kompilację
w innych przypadkach robię od razu dochodzenie xD
Ostatnio edytowany przez Jacekalex (2018-01-04 12:12:34)
Offline
A ja mam to w d... (głebokim poważaniu).
W robocie kupili mi nową maszynkę na Ryzenie 5 (6 core) + Radeon grafika. Miodnie
Offline
[quote=iwo]https://niebezpiecznik.pl/post/powazna-dziura-w-procesorach-intela-albo-kupisz-nowy-albo-zwolnisz-o-30/
Orientujecie się czy stabilna wersja Debiana już dostała do repozytorium odpowiednią łatkę?
Ew. Jeśli tak, to który to pakiet i czy udczuliście spowolnienie?[/quote]
Debian nie ma jeszcze dodanej łatki, ale jest już w kernelu Aptosid, można dodać repozytorium deb http://aptosid.office-vienna.at/aptosid/debian/ sid main fix.main albo pobrać kernel własciwy dla architektury CPU (plik linux-image) bezpośrednio ze strony i zainstalować via dpkg: http://aptosid.office-vienna.at/aptosid/debian/pool/main/l/linux-aptosid/
Offline
1.
W Archu chyba częściowo się z tym bugiem już uporali:
[url]https://security.archlinux.org/CVE-2017-5754[/url]
[url]https://security.archlinux.org/CVE-2017-5753[/url]
2.
Jakim prostym benchmarkiem najlepiej sprawdzić Archa przed i po aktualizacji?
Czy np. zwykłe:
$ time pi 1000000
wystarczy?
PS.
Gdzie można znaleźć listę procesorów z tym błędem?
Ostatnio edytowany przez zl23 (2018-01-04 13:56:11)
Offline
ta podatność (a właściwie 2) mają już swoją nazwę, logo i stronę:
https://meltdownattack.com/
Wygląda to paskudnie, ciekawe na ile będzie się to dało softwarowo załatać.
EDIT: Czy są jakieś wady zastosowania kernela z aptosida na desktopie z Debianem Stretch?
Ostatnio edytowany przez seler (2018-01-04 14:12:03)
Offline
[quote=seler]Czy są jakieś wady zastosowania kernela z aptosida na desktopie z Debianem Stretch?[/quote]
Jedynie taka, że pakiet headers wymaga w zależnościach GCC 7, ale nie wszyscy go potrzebują.
Offline
[quote=zl23]PS.
Gdzie można znaleźć listę procesorów z tym błędem?[/quote]
Listy jeszcze chyba nikt nie opublikował, ale podatność może dotyczyć wszystkich procesorów, które wykorzystują przetwarzanie spekulatywne.
Offline
Meltdown (to na co są łatki) uderza głównie w procki Intela. Natomiast Spectre (na co nie ma łatek i ponoć nie będzie) we wszystkie procki od Pentium Pro z 1995, wliczając w to AMD i ARM.
https://twitter.com/i/moments/948681915485351938
Ostatnio edytowany przez seler (2018-01-04 15:17:44)
Offline
https://niebezpiecznik.pl/post/szczegoly-techniczne-dziury-w-procesorach-intela-amd-i-arm-czyli-ataki-meltdown-i-spectre/
Ciekawe czy ktokolwiek będzie korzystał ze smartfonów jak tak dalej będą te podatności wyskakiwać. xD
Offline
Najlepsze jest to, że smartfony są nośnikami najbardziej wrażliwych danych — realne kontakty, wiadomości, komunikatory/fb, zdjęcia, lokalizacja, aplikacje bankowe, hasła, wszelkie formy komunikacji (GSM, WiFi, Bluetooth etc), mikrofon, kamerki, czujniki ruchu itd.
Offline
Tutaj proof of concept wykorzystujący Spectre:
https://gist.github.com/ErikAugust/724d4a969fb2c6ae1bbd7b2a9e3d4bb6
(brakuje jednej spacji w 50. linijce żeby kompilowało)
Offline
Nie wiem do końca jak, ale zainstalowałem kernel z Aptosida bez tego gcc-7 i jakoś działa:
# uname -r 4.14.0-11.slh.1-aptosid-amd64 # zgrep CONFIG_PAGE_TABLE_ISOLATION /proc/config.gz CONFIG_PAGE_TABLE_ISOLATION=y # grep bugs /proc/cpuinfo bugs : cpu_insecure bugs : cpu_insecure bugs : cpu_insecure bugs : cpu_insecure bugs : cpu_insecure bugs : cpu_insecure bugs : cpu_insecure bugs : cpu_insecure
Offline
Ja sobie sprawdziłem czy u mnie jakiś impakt będzie jeśli chodzi o wydajność procesora i wygląda na to, że u mnie zanotował on lekki boost. xD
Nie wiedziałem za bardzo czym sprawdzić, ale do głowy przyszedł mi cryptsetup, bo to głównie procek zjada i sami popatrzcie na wyniki (po lewej bez łaty, z prawej z łatą).
[img]https://i.imgur.com/wJ3dr1x.png[/img]
Testów było 5 ale w zasadzie wszystkie porównania wypadły podobnie.
To chyba coś nie tak? xD A może jakiś inny test by się przydał?
Offline
Kernel [url=https://techpatterns.com/forums/about2615.html]Liquorix[/url] ma już łatkę.
ciastek @ R61i ~ └─ $ ▶ cat /boot/config-$(uname -r ) | grep -i CONFIG_PAGE_TABLE_ISOLATION=y CONFIG_PAGE_TABLE_ISOLATION=y ciastek @ R61i ~ └─ $ ▶ uname -a Linux R61i 4.14.0-11.1-liquorix-amd64 #1 ZEN SMP PREEMPT liquorix 4.14-14~obs (2018-01-04) x86_64 GNU/Linux
@morfik
Ext73 na dobrych trojanach również pisał, że jego płatne Kernele z łatą przyspieszyły ;)
Ostatnio edytowany przez ciastek1981 (2018-01-05 00:07:32)
Offline
[quote=seler]Tutaj proof of concept wykorzystujący Spectre:
https://gist.github.com/ErikAugust/724d4a969fb2c6ae1bbd7b2a9e3d4bb6
(brakuje jednej spacji w 50. linijce żeby kompilowało)[/quote]
Hmm, po sprawdzeniu u mnie wychodzi ze luka nazwana "spectre" hula az milo.
Siedze jeszcze na kernelu 4.9 - poczekam az wyjdzie oficjalny zalatany 4.14 i przejde na niego.
Offline
No dobrze, ale co z telefonami?
Offline
No a co ma być?
Mój telefon ma bug w bluetooth, wifi, teraz w procku. Gdybym kupił ten telefon i byłby jeszcze na gwarancji, to ja bym domagał się wymiany na taki wolny od wad, a w przypadku braku możliwości, zwrotu kasy. I ja zachęcam ludzi, by w końcu zaczęli motywować producentów telefonów do aktualizacji ich firmware albo pracy nad LineageOS. xD
Offline
[quote=wikingagressor][quote=seler]Tutaj proof of concept wykorzystujący Spectre:
https://gist.github.com/ErikAugust/724d4a969fb2c6ae1bbd7b2a9e3d4bb6
(brakuje jednej spacji w 50. linijce żeby kompilowało)[/quote]
Hmm, po sprawdzeniu u mnie wychodzi ze luka nazwana "spectre" hula az milo.
Siedze jeszcze na kernelu 4.9 - poczekam az wyjdzie oficjalny zalatany 4.14 i przejde na niego.[/quote]
Problem w tym, że ta łatka nie łata Spectre, tylko Meltdown. Mam tę łatkę i wciąż ten kodzik powyżej działa. Dopiero coś próbują w tym temacie wykombinować:
https://spectreattack.com/#faq-fix
Ostatnio edytowany przez seler (2018-01-05 01:12:46)
Offline
[quote=seler]Nie wiem do końca jak, ale zainstalowałem kernel z Aptosida bez tego gcc-7 i jakoś działa:[/quote]
Wszystko się zgadza, bo pakiet linux-image nie wymaga nowszego GCC, dopiero przy instalacji linux-headers tego zażąda.
Ostatnio edytowany przez Renia (2018-01-05 01:19:25)
Offline
Na stronie https://security-tracker.debian.org/tracker/CVE-2017-5754 wygląda na to, że łatka łatająca Meltdown już jest gotowa dla Stretcha, tyle że chyba jeszcze nie ma w repo. Zapewne niedługo się pojawi.
Offline
Time (s) | Query |
---|---|
0.00011 | SET CHARSET latin2 |
0.00005 | SET NAMES latin2 |
0.00101 | SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='18.117.94.77' WHERE u.id=1 |
0.00088 | REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '18.117.94.77', 1732756024) |
0.00039 | SELECT * FROM punbb_online WHERE logged<1732755724 |
0.00082 | SELECT topic_id FROM punbb_posts WHERE id=316539 |
0.00009 | SELECT id FROM punbb_posts WHERE topic_id=30168 ORDER BY posted |
0.00059 | SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=30168 AND t.moved_to IS NULL |
0.00005 | SELECT search_for, replace_with FROM punbb_censoring |
0.00213 | SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=30168 ORDER BY p.id LIMIT 0,25 |
0.00086 | UPDATE punbb_topics SET num_views=num_views+1 WHERE id=30168 |
Total query time: 0.00698 s |