Обновления безопасности: Meltdown и Spectre

#21

Chocobo писал(а): ↑
15 янв 2018, 19:34
Думается теперь этот kaiser c нами надолго будет, без ручного вмешательства в конфиг ядра...

Так оно ведь может полностью отключаться параметром загрузки, вроде как? Как поняли, что будут заметные накладные расходы - так озаботились...

#22

slant, ага спс, сам еще не рылся в эту сторону

http://lkml.iu.edu/hypermail/linux/kern ... 02132.html - вроде как есть nokaiser директива

#23

Кто-нибудь пробовал-проверял?
https://github.com/speed47/spectre-melt ... r/releases

Дядя Миша · #24

Всё печально?



git clone https://github.com/speed47/spectre-meltdown-checker.git

xxx@xxx-linux-pc ~ $ cd spectre-meltdown-checker/

xxx@xxx-linux-pc ~/spectre-meltdown-checker $ chmod +x spectre-meltdown-checker.sh

xxx@xxxlinux-pc ~/spectre-meltdown-checker $ sudo ./spectre-meltdown-checker.sh

Spectre and Meltdown mitigation detection tool v0.31



Checking for vulnerabilities against running kernel Linux 4.13.0-25-generic #29~16.04.2-Ubuntu SMP Tue Jan 9 12:16:39 UTC 2018 x86_64

CPU is AMD Athlon(tm) II X4 651 Quad-Core Processor



CVE-2017-5753 [bounds check bypass] aka 'Spectre Variant 1'

* Checking count of LFENCE opcodes in kernel:  NO 

> STATUS:  VULNERABLE  (only 29 opcodes found, should be >= 70, heuristic to be improved when official patches become available)



CVE-2017-5715 [branch target injection] aka 'Spectre Variant 2'

* Mitigation 1

*   Hardware (CPU microcode) support for mitigation

*     The SPEC_CTRL MSR is available:  NO 

*     The SPEC_CTRL CPUID feature bit is set:  NO 

*   Kernel support for IBRS:  NO 

*   IBRS enabled for Kernel space:  NO 

*   IBRS enabled for User space:  NO 

* Mitigation 2

*   Kernel compiled with retpoline option:  NO 

*   Kernel compiled with a retpoline-aware compiler:  NO 

> STATUS:  VULNERABLE  (IBRS hardware + kernel support OR kernel with retpoline are needed to mitigate the vulnerability)



CVE-2017-5754 [rogue data cache load] aka 'Meltdown' aka 'Variant 3'

* Kernel supports Page Table Isolation (PTI):  YES 

* PTI enabled and active:  NO 

* Checking if we're running under Xen PV (64 bits):  NO 

> STATUS:  NOT VULNERABLE  (your CPU vendor reported your CPU model as not vulnerable)



A false sense of security is worse than no security at all, see --disclaimer

#25

Дядя Миша, meltdown на твоем проце не взлетит, по заверениям от AMD.
Как там со спектром - я не уверен, помню только попадалась инфа что на софтварном уровне от него полностью никак не избавишься и нужны будут именно аппаратные фиксы.
То чем патчится ядро и ПО - усложняют возможность использования этой дряни, но дают не 100% защиты.
Комплексом обнов на микрокод железяки, патчами на ядро, и заплатками в софте - вроде как можно опасаться вероятности использования spectre в разы меньше

#26

Chocobo писал(а): ↑
16 янв 2018, 10:32
meltdown на твоем проце не взлетит, по заверениям от AMD

Разработчики из Google Project Zero опубликовали детали уязвимостей, которые затрагивают не только процессоры Intel и ARM64, но и AMD тоже (есть сообщения, что только при включении BPF JIT в ядре, что по умолчанию выключено). Названия им дали: Meltdown и Spectre (расплавление ядерного реактора и призрак).

А кск вообще проверить, включен ли BPF JIT ? И как его переключать вообще? Где смотреть? Вдруг кто включит. Или что такое BPF JIT? Компилятор что ли?

#27

vir0id писал(а): ↑
16 янв 2018, 15:10
А кск вообще проверить, включен ли BPF JIT ? И как его переключать вообще?

Код: Выделить всё

$ cat /proc/sys/net/core/bpf_jit_enable
0

также и закрепить в sysctl.conf, если хочется:

Код: Выделить всё

net.core.bpf_jit_enable = 0

Но поддержка его в ядре смотрю везде исходно задействована, c пересбором можно и выпилить

Код: Выделить всё

$ cat /usr/src/linux-headers-4.13.0-26-generic/.config | grep BPF_JIT
CONFIG_BPF_JIT=y

vir0id писал(а): ↑
16 янв 2018, 15:10
Или что такое BPF JIT? Компилятор что ли?

https://www.kernel.org/doc/Documentatio ... filter.txt

#28

Chocobo писал(а): ↑
16 янв 2018, 17:28
также и закрепить в sysctl.conf, если хочется:
КОД: ВЫДЕЛИТЬ ВСЁ

net.core.bpf_jit_enable = 1

Нет уж... увольте

Или есть смысл?

#29

vir0id, ну а че, будем на тебе тестить

#30

Chocobo писал(а): ↑
16 янв 2018, 17:41
vir0id, ну а че, будем на тебе тестить

А почему бы и нет? Ну так... поржать. У меня и машинка где-то в подвале есть

#31

Я не встречал ни одного эксплойта пока под них в сети, который бы что-нибудь путного показал, для наглядности своей работы)

#32

Chocobo писал(а): ↑
16 янв 2018, 17:47
Я не встречал ни одного эксплойта пока под них в сети, который бы что-нибудь путного показал, для наглядности своей работы)

Врядли его, ближайщее время, кто-либо встретит, кроме тех, кто его смастерит.

#33

Есть PoC (п.4.3) , демонстрирующий атаку с этой уязвимостью через JavaScript.

демонстрация

s681 · #34

Chocobo, LTS 4.4 допустимо для процессора Haswel (Pentium G3220)?

#35

Дядя Миша писал(а): ↑
16 янв 2018, 09:46
Всё печально?

да....

мы все умрём...

#36

s681, почему бы и нет

проц g3220 писал(а): Дата выпуска Q3'13

ядро 4.4 писал(а): Released 2016-01-10

и 3.16 будет себя еще норм чувствовать на пятилетней железке.

#37

Chocobo писал(а): ↑
13 янв 2018, 13:59
4.13 (Linux Mint 18 HWE): закрыто в 4.13.0-25

4.13.0-32-generic значит у меня закрытое чтоль?
P.S. не верю я в эти байки. Linux всегда был неприступной крепостью.

Кто сейчас на конференции