Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
Do nagłówków są inne metapakiety:
# aptitude show linux-image-aptosid-amd64 ... Depends: linux-image-4.15.0-0.slh.2-aptosid-amd64 (= 4.15-2) Recommends: linux-headers-aptosid-amd64 (= 4.15-2)
Ostatnio edytowany przez morfik (2018-02-05 22:20:06)
Offline
Łatki z 4.15.1 będą w 4.14.18
[url]https://git.kernel.org/pub/scm/linux/kernel/git/stable/stable-queue.git/commit/?id=aba6eb3aac5cd83043108dd1929341ce7f1fe696[/url]
Offline
@morfik
U mnie jest tak:
apt-get install linux-image-aptosid-amd64 Czytanie list pakietów... Gotowe Budowanie drzewa zależności Odczyt informacji o stanie... Gotowe The following additional packages will be installed: linux-headers-4.15.0-0.slh.2-aptosid-amd64 linux-headers-aptosid-amd64 Zostaną zainstalowane następujące NOWE pakiety: linux-headers-4.15.0-0.slh.2-aptosid-amd64 linux-headers-aptosid-amd64 linux-image-aptosid-amd64 0 aktualizowanych, 3 nowo instalowanych, 0 usuwanych i 29 nieaktualizowanych. Konieczne pobranie 9554 kB archiwów. Po tej operacji zostanie dodatkowo użyte 51,9 MB miejsca na dysku. Kontynuować? [T/n]
Dobre jak ktoś chce na stałe mieć ten kernel, ale moim zdaniem do testów lepiej nie mieszać sobie z instalacją zależności.
@KerneLpaniC
Jak obiecałam kernel 4.15.1 "3x NOT VULNERABLE" jest gotowy. Konfig i patche debianowskie wzięłam z 4.15 z Experimental więc jest największa szansa, że będzie dobrze chodził na Stretchu i wyższych. Udostępniam łącznie ze źródłami: https://drive.google.com/drive/folders/1pBP4NaPrTBGIquoEcSenZLGL7NiOLgNY
Pobierz i zainstaluj sobie pakiet linux-image*: https://drive.google.com/open?id=1vve200Pwn_AgSa-FtMV4zWfIzoizbvMq
Kolejno, w katalogu, gdzie pobrałeś plik:
sudo dpkg -i linux-image-4.15.1-debian-security_4.15.1-debian-1-20180205_amd64.deb sudo apt-get install -f sudo update-initramfs -uv -k all sudo update-grub
Mikrokody jak wcześniej pisałam biorę z MX-a: http://mxrepo.com/mx/repo/pool/non-free/i/intel-microcode/
Tak to wygląda:
./spectre-meltdown-checker.sh
Spectre and Meltdown mitigation detection tool v0.34
Checking for vulnerabilities on current system
Kernel is Linux 4.15.1-debian-security #1 SMP Mon Feb 5 21:12:47 CET 2018 x86_64
CPU is Intel(R) Celeron(R) 2.80GHz
Hardware check
* Hardware support (CPU microcode) for mitigation techniques
* Indirect Branch Restricted Speculation (IBRS)
* SPEC_CTRL MSR is available: NO
* CPU indicates IBRS capability: NO
* Indirect Branch Prediction Barrier (IBPB)
* PRED_CMD MSR is available: NO
* CPU indicates IBPB capability: NO
* Single Thread Indirect Branch Predictors (STIBP)
* SPEC_CTRL MSR is available: NO
* CPU indicates STIBP capability: NO
* Enhanced IBRS (IBRS_ALL)
* CPU indicates ARCH_CAPABILITIES MSR availability: NO
* ARCH_CAPABILITIES MSR advertises IBRS_ALL capability: NO
* CPU explicitly indicates not being vulnerable to Meltdown (RDCL_NO): NO
* CPU microcode is known to cause stability problems: NO (model 60 stepping 3 ucode 0x22)
* CPU vulnerability to the three speculative execution attacks variants
* Vulnerable to Variant 1: YES
* Vulnerable to Variant 2: YES
* Vulnerable to Variant 3: YES
CVE-2017-5753 [bounds check bypass] aka 'Spectre Variant 1'
* Mitigated according to the /sys interface: NO (kernel confirms your system is vulnerable)
* Kernel has array_index_mask_nospec: YES (1 occurence(s) found of 64 bits array_index_mask_nospec())
[b]> STATUS: NOT VULNERABLE [/b] (Kernel source has been patched to mitigate the vulnerability (silent backport of array_index_mask_nospec))
CVE-2017-5715 [branch target injection] aka 'Spectre Variant 2'
* Mitigated according to the /sys interface: YES (kernel confirms that the mitigation is active)
* Mitigation 1
* Kernel is compiled with IBRS/IBPB support: NO
* Currently enabled features
* IBRS enabled for Kernel space: NO
* IBRS enabled for User space: NO
* IBPB enabled: NO
* Mitigation 2
[u][i] * Kernel compiled with retpoline option: YES
* Kernel compiled with a retpoline-aware compiler: YES (kernel reports full retpoline compilation)
* Retpoline enabled: YES [/i][/u]
[b]> STATUS: NOT VULNERABLE (Mitigation: Full generic retpoline)[/b]
CVE-2017-5754 [rogue data cache load] aka 'Meltdown' aka 'Variant 3'
* Mitigated according to the /sys interface: YES (kernel confirms that the mitigation is active)
* Kernel supports Page Table Isolation (PTI): YES
[u][i]* PTI enabled and active: YES[/i] [/u]
* Running as a Xen PV DomU: NO
[b]> STATUS: NOT VULNERABLE (Mitigation: PTI)[/b]
A false sense of security is worse than no security at all, see --disclaimer[/quote]
PS. do gruba dorzucam "spectre_v2=on pti_enabled=1" ale nie wiem, czy to konieczne.Ostatnio edytowany przez Renia (2018-02-06 00:46:59)
Instalacja E-Deklaracje na Debianie 64-bit:
https://forum.dug.net.pl/viewtopic.php?pid=301794#p301794
Offline
No bo masz pewnie włączone instalowanie pakietów rekomendowanych. Normalnie wygląda to tak:
# apt-get install linux-image-aptosid-amd64 Reading package lists... Done Building dependency tree Reading state information... Done The following additional packages will be installed: linux-image-4.15.0-0.slh.2-aptosid-amd64 Suggested packages: linux-doc-4.15 Recommended packages: irqbalance linux-headers-aptosid-amd64 The following NEW packages will be installed: linux-image-4.15.0-0.slh.2-aptosid-amd64 linux-image-aptosid-amd64 0 upgraded, 2 newly installed, 0 to remove and 14 not upgraded. Need to get 40.5 MB of archives. After this operation, 216 MB of additional disk space will be used. Do you want to continue? [Y/n]
Offline
Gdy zainstalowałem sam linux-image-4.15.0-0.slh.2-aptosid-amd64 to przy uruchamianiu miałem same errory z dependence, może dlatego źle funkcjonował na moim hp, ale jak wyżej raczej nie chce mieszać w zależnościach.
Offline
Zainstalowałem linux-image-aptosid-amd64, sterownik nie chcial się zaktualizować bo gcc =/=7.3.0. Podniosłem gcc, dalej nie działało.
Cofnąłem kernel ale nie potrafię cofnąć gcc i spółki z 7.3.0 do 7.2.0 więc nie mam środowiska graficznego :D
Kiedy się nauczę, żeby tego nie mieszać
Offline
Takie większe zabawy u mnie to tylko po backupie ;p
Offline
@urbinek
Nie na darmo pisałam, że trzeba instalować tylko linux-image-4.15.0-0.slh.2-aptosid-amd64, by przypadkowo nie podnosić wersji GCC zanim nie przetestujemy kernela. Ale nie wszystko stracone, bo wersję danego pakietu/ów można cofnąć, przykładowe polecenia:
sudo apt-get install --reinstall gcc -t stretch sudo apt-get install --reinstall gcc-7 -t buster
Edit:
Tymczasem skończyłam robić kernel 4.15.1 32-bit dla Jessie, zaraz dam znać jak się spisuje.
Ostatnio edytowany przez Renia (2018-02-06 15:16:17)
Offline
@Renia,
Wiem wiem :) Ale w zależnościach zrobił mi się większy burdel
root@haruko:~# apt-get install --reinstall gcc-7 -t buster Czytanie list pakietów... Gotowe Budowanie drzewa zależności Odczyt informacji o stanie... Gotowe Nie udało się zainstalować niektórych pakietów. Może to oznaczać, że zażądano niemożliwej sytuacji lub użyto dystrybucji niestabilnej, w której niektóre pakiety nie zostały jeszcze utworzone lub przeniesione z katalogu Incoming ("Przychodzące"). Następujące informacje mogą pomóc rozwiązać sytuację: Następujące pakiety mają niespełnione zależności: gcc-7 : Wymaga: cpp-7 (= 7.2.0-19) ale nie zostanie zainstalowany Wymaga: gcc-7-base (= 7.2.0-19) ale 7.3.0-1 ma zostać zainstalowany Wymaga: libgcc-7-dev (= 7.2.0-19) ale nie zostanie zainstalowany E: Nie udało się naprawić problemów, zatrzymano uszkodzone pakiety. root@haruko:~# apt-get install --reinstall gcc-7-base -t buster Czytanie list pakietów... Gotowe Budowanie drzewa zależności Odczyt informacji o stanie... Gotowe Ponowna instalacja pakietu gcc-7-base nie jest możliwa, nie może on zostać pobrany.
Offline
Tak sobie zobacz:
sudo apt-get install --reinstall gcc-7 cpp-7 gcc-7-base libgcc-7-dev -t buster
Jak nie da rady, to pobierz ręcznie te pakiety, zainstaluj gdebi i w ten sposób na pewno bezpiecznie zrobisz downgrade. Składnia jest prosta, gdebi nazwa_pakietu1 nazwa_pakietu2 itd.
Edit:
Wracając do Jessie 32-bit:
./spectre-meltdown-checker.sh
Spectre and Meltdown mitigation detection tool v0.34
Checking for vulnerabilities on current system
Kernel is Linux 4.15.1-security-gcc-patch #3 SMP Tue Feb 6 10:00:12 CET 2018 i686
CPU is Intel(R) Core(TM)2 Duo CPU E6850 @ 3.00GHz
Hardware check
* Hardware support (CPU microcode) for mitigation techniques
* Indirect Branch Restricted Speculation (IBRS)
* SPEC_CTRL MSR is available: NO
* CPU indicates IBRS capability: NO
* Indirect Branch Prediction Barrier (IBPB)
* PRED_CMD MSR is available: NO
* CPU indicates IBPB capability: NO
* Single Thread Indirect Branch Predictors (STIBP)
* SPEC_CTRL MSR is available: NO
* CPU indicates STIBP capability: NO
* Enhanced IBRS (IBRS_ALL)
* CPU indicates ARCH_CAPABILITIES MSR availability: NO
* ARCH_CAPABILITIES MSR advertises IBRS_ALL capability: NO
* CPU explicitly indicates not being vulnerable to Meltdown (RDCL_NO): NO
* CPU microcode is known to cause stability problems: NO (model 15 stepping 11 ucode 0xba)
* CPU vulnerability to the three speculative execution attacks variants
* Vulnerable to Variant 1: YES
* Vulnerable to Variant 2: YES
* Vulnerable to Variant 3: YES
CVE-2017-5753 [bounds check bypass] aka 'Spectre Variant 1'
* Mitigated according to the /sys interface: NO (kernel confirms your system is vulnerable)
* Kernel has array_index_mask_nospec: YES (1 occurence(s) found of 32 bits array_index_mask_nospec())
[b]> STATUS: NOT VULNERABLE [/b] (Kernel source has been patched to mitigate the vulnerability (silent backport of array_index_mask_nospec))
CVE-2017-5715 [branch target injection] aka 'Spectre Variant 2'
* Mitigated according to the /sys interface: YES (kernel confirms that the mitigation is active)
* Mitigation 1
* Kernel is compiled with IBRS/IBPB support: NO
* Currently enabled features
* IBRS enabled for Kernel space: NO
* IBRS enabled for User space: NO
* IBPB enabled: NO
* Mitigation 2
[u][i] * Kernel compiled with retpoline option: YES
* Kernel compiled with a retpoline-aware compiler: YES (kernel reports full retpoline compilation)
* Retpoline enabled: YES [/i][/u]
[b]> STATUS: NOT VULNERABLE (Mitigation: Full generic retpoline)[/b]
CVE-2017-5754 [rogue data cache load] aka 'Meltdown' aka 'Variant 3'
* Mitigated according to the /sys interface: NO (kernel confirms your system is vulnerable)
* Kernel supports Page Table Isolation (PTI): NO
* PTI enabled and active: NO
* Running as a Xen PV DomU: NO
> STATUS: VULNERABLE (PTI is needed to mitigate the vulnerability)
A false sense of security is worse than no security at all, see --disclaimer[/quote]
PTI nie ma, co prawda ktoś porobił łatki na 32-bit, ale z nimi system restartuje się więc nic na siłę.
Edit2:
Zaznaczam, że moje kernele nie wymuszają upgrade GCC, wymagane do instalacji jest tylko to co zazwyczaj jest w systemie, czyli kmod linux-base init-ramfstools (ten ostatni najlepiej najnowszy z backportów).Ostatnio edytowany przez Renia (2018-02-06 16:52:25)
Instalacja E-Deklaracje na Debianie 64-bit:
https://forum.dug.net.pl/viewtopic.php?pid=301794#p301794
Offline
A nie prościej jest ustawić PIN na testing/stable, coś ala:
Package: * Pin: release o=Debian,a=testing Pin-Priority: 1001
i dać apt-get dist-upgrade ? xD Raz dwa cofnie do testinga i fiksnie wszelkie zależności. Ja już nie pamiętam ile razy już tak dawałem downgrade z sida do testinga i zawsze działało. xD Choć się nauczyłem zaglądać w log apt (jak coś to kopia jest zawsze w /var/log/apt/) no i piny nadaje tylko aktualizowanym pakietom, coś w stylu:
Package: *gtk-3* *gtksource*-3* Pin: release o=Debian,a=testing Pin: version 3.18* Pin-Priority: 1001
Ten wyżej to był akurat upgrade gtk3, który się zakończył katastrofą w przeszłości ale system się podniósł parę minut później. xD
Także zobaczcie sobie co tam było w upgrade.
Offline
[quote=morfik]A nie prościej jest ustawić PIN na testing/stable, coś ala:
Package: * Pin: release o=Debian,a=testing Pin-Priority: 1001
i dać apt-get dist-upgrade ? xD R[/quote]
*_* na to w sumie nie wpadłem, cofnęło wszystko i działa :D
Offline
[quote=arturek]Łatki z 4.15.1 będą w 4.14.18
[url]https://git.kernel.org/pub/scm/linux/kernel/git/stable/stable-queue.git/commit/?id=aba6eb3aac5cd83043108dd1929341ce7f1fe696[/url][/quote]
4.14.18 oraz 4.15.2 już są, właśnie skompilowałam ten ostatni:
./spectre-meltdown-checker.sh
Spectre and Meltdown mitigation detection tool v0.34+
Checking for vulnerabilities on current system
Kernel is Linux 4.15.2-security #1 SMP Thu Feb 8 00:53:08 CET 2018 x86_64
CPU is Intel(R) Celeron(R) 2.80GHz
Hardware check
* Hardware support (CPU microcode) for mitigation techniques
* Indirect Branch Restricted Speculation (IBRS)
* SPEC_CTRL MSR is available: NO
* CPU indicates IBRS capability: NO
* Indirect Branch Prediction Barrier (IBPB)
* PRED_CMD MSR is available: NO
* CPU indicates IBPB capability: NO
* Single Thread Indirect Branch Predictors (STIBP)
* SPEC_CTRL MSR is available: NO
* CPU indicates STIBP capability: NO
* Enhanced IBRS (IBRS_ALL)
* CPU indicates ARCH_CAPABILITIES MSR availability: NO
* ARCH_CAPABILITIES MSR advertises IBRS_ALL capability: NO
* CPU explicitly indicates not being vulnerable to Meltdown (RDCL_NO): NO
* CPU microcode is known to cause stability problems: NO (model 60 stepping 3 ucode 0x22)
* CPU vulnerability to the three speculative execution attacks variants
* Vulnerable to Variant 1: YES
* Vulnerable to Variant 2: YES
* Vulnerable to Variant 3: YES
CVE-2017-5753 [bounds check bypass] aka 'Spectre Variant 1'
* Mitigated according to the /sys interface: YES (kernel confirms that the mitigation is active)
* Kernel has array_index_mask_nospec: YES (1 occurence(s) found of 64 bits array_index_mask_nospec())
[b]> STATUS: NOT VULNERABLE [/b] (Mitigation: __user pointer sanitization)
CVE-2017-5715 [branch target injection] aka 'Spectre Variant 2'
* Mitigated according to the /sys interface: YES (kernel confirms that the mitigation is active)
* Mitigation 1
* Kernel is compiled with IBRS/IBPB support: NO
* Currently enabled features
* IBRS enabled for Kernel space: NO
* IBRS enabled for User space: NO
* IBPB enabled: NO
* Mitigation 2
* Kernel compiled with retpoline option: YES
* Kernel compiled with a retpoline-aware compiler: YES (kernel reports full retpoline compilation)
* Retpoline enabled: NO
[b]> STATUS: NOT VULNERABLE (Mitigation: Full generic retpoline)[/b]
CVE-2017-5754 [rogue data cache load] aka 'Meltdown' aka 'Variant 3'
* Mitigated according to the /sys interface: YES (kernel confirms that the mitigation is active)
* Kernel supports Page Table Isolation (PTI): YES
[u][i]* PTI enabled and active: YES [/i][/u]
* Running as a Xen PV DomU: NO
[b]> STATUS: NOT VULNERABLE (Mitigation: PTI)[/b][/quote]
Niespodzianka, bo Retpoline jest, ale nieaktywne i nie pomaga ustawienie w grubie "spectre_v2=on".
Instalacja E-Deklaracje na Debianie 64-bit:
https://forum.dug.net.pl/viewtopic.php?pid=301794#p301794
Offline
Łatki będą w 4.9.81
[url]https://git.kernel.org/pub/scm/linux/kernel/git/stable/stable-queue.git/commit/queue-4.9?id=c4d1a58c77d296ff849ae94e644019934a43c5e6[/url]
tylko w "Stretch" bez gcc-7.3, za niewiele to da
Ostatnio edytowany przez arturek (2018-02-12 20:46:50)
Offline
Dobre trojany przynoszą porcję kolejnych "pozytywnych" wiadomości
https://www.dobreprogramy.pl/Ulepszone-wersje-atakow-na-procesory-zignoruja-sprzetowe-zabezpieczenia,News,86128.html
Offline
sid 4.14.17-1 fixed
Offline
btw. a jaja od aptosida nie mają już problemu z blobem od nvidii najnowszym i vmware? Kiedyś za cholerę nie mógł mi zbudować modułów (najnowsze gcc zgodne z hedersem było) i przerzuciłem się na [url=https://liquorix.net/]liquorixa[/url] (duży plus to, że [b]ZEN[/b] ogarnia [b]apparmora[/b] w przeciwieństwie do jajek od aptosida)
Ostatnio edytowany przez hi (2018-02-22 02:10:40)
Offline
A ja dalej nie wiem co zrobić ze swoim stretchem... tylko na meltdown nie jestem podatny..
Offline
Musisz czekać, aż GGC 7.0.3 wejdzie do Stretcha. Albo zrobić upgrade do tej wersji i zainstalować kernel z Sida.
Offline
a skad pewnosc ze 7.0.3 wejdzie do Stretch?
Offline
Źle napisałam, chodzi o 7.3.0. Wystarczy, żeby w backport się znalazło.
Offline
[quote=Renia]Źle napisałam, chodzi o 7.3.0. Wystarczy, żeby w backport się znalazło.[/quote]
Do Stretch wejdzie
gcc-6 (6.3.0-18+deb9u1) stretch-security; urgency=medium . * Backport of retpoline support by HJ Lu
[url]https://tracker.debian.org/news/935148[/url]
czyli gcc-6 z łatkami retpoline
Offline
Nie wiem, czy ta łatka załatwia problem na GCC 6, jeśli tak, to dobrze, ale dla tych co będą kernel sami kompilować. Reszta musi brać co jest, czyli 4.14 albo 4.15 z Debiana, a tam użyte jest GCC 7.3.0:
cat /proc/version Linux version 4.14.0-3-amd64 (debian-kernel@lists.debian.org) (gcc version 7.3.0 (Debian 7.3.0-3)) #1 SMP Debian 4.14.17-1 (2018-02-14)
Offline
Time (s) | Query |
---|---|
0.00009 | SET CHARSET latin2 |
0.00004 | SET NAMES latin2 |
0.00109 | SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='18.117.168.71' WHERE u.id=1 |
0.00065 | REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '18.117.168.71', 1732258242) |
0.00050 | SELECT * FROM punbb_online WHERE logged<1732257942 |
0.00049 | SELECT topic_id FROM punbb_posts WHERE id=317410 |
0.00007 | SELECT id FROM punbb_posts WHERE topic_id=30168 ORDER BY posted |
0.00058 | SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=30168 AND t.moved_to IS NULL |
0.00006 | SELECT search_for, replace_with FROM punbb_censoring |
0.00254 | SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=30168 ORDER BY p.id LIMIT 175,25 |
0.00094 | UPDATE punbb_topics SET num_views=num_views+1 WHERE id=30168 |
Total query time: 0.00705 s |