| Autor |
Sõnum |
tris
Troll - ära toida!
Liitunud: 23.08.2014
Postitused: 713
Distributsioon: Debian
|
|
|
_________________
ricochet:yckka6zlbxv767lz
Viimati muutis tris 19.02.2018, 11:59; muudetud 1 kord
|
|
|
  |
janar
Vana Pingviin
Vanus: 38
Liitunud: 04.08.2011
Postitused: 698
Distributsioon: Kubuntu
|
|
Tuleb välja, et spectre turvaviga on endiselt alles nii Windows 10-s kui ka ubuntu server 16.04 (4.4.0-109-generic #132-Ubuntu SMP Tue Jan 9 19:52:39 UTC 2018) kõige uuemas kernelis.
Meltdowni kohta näitab, et fixitud.
|
|
|
|
|
|
|
|
vooler3
Vana Pingviin
Liitunud: 21.12.2015
Postitused: 479
|
|
| janar kirjutas: | | Tuleb välja, et spectre turvaviga on endiselt alles nii Windows 10-s kui ka ubuntu server 16.04 (4.4.0-109-generic #132-Ubuntu SMP Tue Jan 9 19:52:39 UTC 2018) kõige uuemas kernelis.
Meltdowni kohta näitab, et fixitud. |
Erinevate emaplaatidega / erinevate firmade toodangutega peadki saama erinevad tulemused kuna terve rea emaplaatide / tootjate korral tuleb lisaks ka veel tootja-poolsete paranduspakettidega "mässata".
Ja mis Ubuntusse puutub, siis Canonical kirjutas ammu, et tema toetamise "silmarõõmud" on ainult Ubuntu 17.10 ning Ubuntu 18.04. 
- ja alles oli suur hoiatus, et 17.04 omanikud kolige ümber 17.10-le kuna 17.04 toetus lõppeb.
Ubuntu 17.04 (Zesty Zapus) Has Reached End of Life, Upgrade to Ubuntu 17.10 Now
Users won't receive any security or software updates
http://news.softpedia.com/news/ubuntu-17-04-zesty-zapus-has-reached-end-of-life-upgrade-to-ubuntu-17-10-now-519360.shtml
PS: Ise ootan siis millal saab valmis paranduspaketiga 18.04.
|
|
|
|
|
|
|
|
janar
Vana Pingviin
Vanus: 38
Liitunud: 04.08.2011
Postitused: 698
Distributsioon: Kubuntu
|
|
See on vähetõenäoline, et 16.04 serverile parandust ei tule.
Ma ei usu seda.
|
|
|
|
|
|
|
|
tris
Troll - ära toida!
Liitunud: 23.08.2014
Postitused: 713
Distributsioon: Debian
|
|
Pigem saab ka aukus kernelit hoida isolatsiooni protsessidena töökorras. Tuleb lihtsalt programme teisiti käivitada.
See tähendab, et siis saab ka aukus protsessorit kasutada turvalisemalt.
Minu jutt lihtsat kasutajat ei pruugi aidata.
|
|
|
|
_________________
ricochet:yckka6zlbxv767lz
|
|
|
|
janar
Vana Pingviin
Vanus: 38
Liitunud: 04.08.2011
Postitused: 698
Distributsioon: Kubuntu
|
|
|
|
tris
Troll - ära toida!
Liitunud: 23.08.2014
Postitused: 713
Distributsioon: Debian
|
|
https://usn.ubuntu.com/usn/usn-3531-1/
intel-microcode
paketti uuendatakse ikka LTS versioonide peal ma vaatan.
Kuigi esmane paigaldus peaks tegema inteliprotsessoritele iucode-tool
paketi abil, siis on ohutum.
amd-microcode paigaldamisel amd protsessoritele peaks vähemalt pool
aastat või mõni kuu veel ootama, sest see on mõnedele protsessoritele
eluohtlik.
|
|
|
|
_________________
ricochet:yckka6zlbxv767lz
|
|
|
|
janar
Vana Pingviin
Vanus: 38
Liitunud: 04.08.2011
Postitused: 698
Distributsioon: Kubuntu
|
|
| Ei tea kas see uuendus tuleb reposse ka..?
|
|
|
|
|
|
|
|
vooler3
Vana Pingviin
Liitunud: 21.12.2015
Postitused: 479
|
|
| janar kirjutas: | | Ei tea kas see uuendus tuleb reposse ka..? |
Uuri parem seda mida Distro tootja selle konkreetse Distro kohta kirjutab.
Näiteks: Ubunutu 18.04 sai oma "Inteli Microkoodi" kätte, Uuenduste paketiga juba tükk aega tagasi.
-------------
Samas ülteb Canonical selgelt, et mingid uuendused tulevad alles hoopis koos Uuendustega ISO-ga ning veel ka seda, et osad vanemad värgid ei saagi mingit uuendust ja et kõige pealt tuleb teha hoopis Upgrade uuemale versioonile.
PS: Täna kavatsesin vaadata, et kas uusim Deepin ka midagi uut automaatselt saab juba või mitte.
|
|
|
|
|
|
|
|
123to
Pingviini aktivist
Liitunud: 31.05.2014
Postitused: 123
Distributsioon: Xubuntu 18.04;23.04
|
|
|
|
tris
Troll - ära toida!
Liitunud: 23.08.2014
Postitused: 713
Distributsioon: Debian
|
|
|
_________________
ricochet:yckka6zlbxv767lz
|
|
|
|
janar
Vana Pingviin
Vanus: 38
Liitunud: 04.08.2011
Postitused: 698
Distributsioon: Kubuntu
|
|
Ei riski ise hakata peale panema.
Kui repos olemas on kindlam.
|
|
|
|
|
|
|
|
tris
Troll - ära toida!
Liitunud: 23.08.2014
Postitused: 713
Distributsioon: Debian
|
|
|
_________________
ricochet:yckka6zlbxv767lz
Viimati muutis tris 20.02.2018, 08:10; muudetud 1 kord
|
|
|
|
Gomi
Pingviini aktivist
Liitunud: 24.12.2017
Postitused: 182
Distributsioon: Gentoo, Debian
|
|
cat /sys/devices/system/cpu/vulnerabilities/* töötab ka uuemate kernelitega.
| tris kirjutas: | ttps://www.techrepublic.com/article/new-spectre-meltdown-variants-leave-victims-open-to-side-channel-attacks/
Paistab, et uued spectre-meltdown variandid on avastatud.
LISA:
Uuendasin seda checker tarkvara ja sain debiani kernelile lausa 3 auku:
 |
Tühi loba. Variandid 1 ja 2 on Spectre'i eri variandid ning variant 3 on Meltdown. Lisaks jätsid sa kõik kernelit puudutava info oma pildilt absoluutselt välja.
|
|
|
|
|
|
|
|
tris
Troll - ära toida!
Liitunud: 23.08.2014
Postitused: 713
Distributsioon: Debian
|
|
debian linuxi 4.9 kernelile on tehtud juba enamus parandusi:
spectre 1 ja 2 likvideeritud.
|
|
|
|
_________________
ricochet:yckka6zlbxv767lz
|
|
|
|
vooler3
Vana Pingviin
Liitunud: 21.12.2015
Postitused: 479
|
|
| tris kirjutas: | debian linuxi 4.9 kernelile on tehtud juba enamus parandusi:
spectre 1 ja 2 likvideeritud. |
Väga palju sellest, mis on "punased", ei sõltu Linuxist vaid sõltuvad hoopis sellest kas Emaplaadi tootja on välja lasknud parandused ja kas oled need peale installinud.
PS: Minu Acerid on vea avastamise algusest peale samasuguse "punakirju pildiga" ning ei sõltu millist Linxut ma peal olen jooksutanud,
Ning Acer ise viimati vihjas, et sellistele vanadele masinatele nad ei teegi parandusi - vaid mine ning osta uus Acer, selline millel on Parandused tehasest juba peale pandud.
|
|
|
|
|
|
|
|
tris
Troll - ära toida!
Liitunud: 23.08.2014
Postitused: 713
Distributsioon: Debian
|
|
|
_________________
ricochet:yckka6zlbxv767lz
|
|
|
|
Gomi
Pingviini aktivist
Liitunud: 24.12.2017
Postitused: 182
Distributsioon: Gentoo, Debian
|
|
| vooler3 kirjutas: | | tris kirjutas: | debian linuxi 4.9 kernelile on tehtud juba enamus parandusi:
spectre 1 ja 2 likvideeritud. |
Väga palju sellest, mis on "punased", ei sõltu Linuxist vaid sõltuvad hoopis sellest kas Emaplaadi tootja on välja lasknud parandused ja kas oled need peale installinud.
PS: Minu Acerid on vea avastamise algusest peale samasuguse "punakirju pildiga" ning ei sõltu millist Linxut ma peal olen jooksutanud,
Ning Acer ise viimati vihjas, et sellistele vanadele masinatele nad ei teegi parandusi - vaid mine ning osta uus Acer, selline millel on Parandused tehasest juba peale pandud. |
Spectre'i 1. variant on parandatud kernelis, 2. variant compileris (GCC 7.3.0+ toetab retpoline'i, selleta olid ka mingid patchid) ning Meltdownil on valikuteks kas kernelis tehtud parandused (CONFIG_PAGE_TABLE_ISOLATION), mida saab ka välja lülitada lastes GRUB-il "nopti" kerneli parameetritesse lisamine, või siis microcode-uuendus (mille saab teha ka emaplaadi uuenduse kaudu), kuid väidetavalt panid need uued microcode'id arvutid põhjusetult taaskäivitama, nii et Intel lõpuks "kutsus need tagasi". Microcode'i saab täiesti edukalt aga laadida ilma emaplaati uuendamata ning muu sellest üldsegi ei sõltu.
Siin siis näiteks emaplaadiga, mida pole kunagi uuendatud ning mis pärineb vist 2012-st või nii.
|
|
|
|
Viimati muutis Gomi 09.03.2018, 15:37; muudetud 1 kord
|
|
|
|
tris
Troll - ära toida!
Liitunud: 23.08.2014
Postitused: 713
Distributsioon: Debian
|
|
Minul miskipärast jaab ka peale nopt grubi lisamist ja grubi update ning taaskäivitamist, see
Meltdown' aka 'Variant 3' vulnerable-iks.
|
|
|
|
_________________
ricochet:yckka6zlbxv767lz
|
|
|
|
Gomi
Pingviini aktivist
Liitunud: 24.12.2017
Postitused: 182
Distributsioon: Gentoo, Debian
|
|
| tris kirjutas: | | Minul miskipärast jaab ka peale nopt grubi lisamist ja grubi update ning taaskäivitamist, see
Meltdown' aka 'Variant 3' vulnerable-iks. |
"nopti" põhimõte ongi see, et see "lülitab" selle kaitse välja (nt. juhuks, kui mingi administraator on otsustanud, et võimsusekaotus pole antud seadmel turvalisa väärt, sest see näiteks avaliku internetiga üldse ei suhtle, või sul on juba mingisugune uuem microcode peal, või mida iganes).
Kuid minu arust peaks see skript siis näitama "Kernel supports Page Table Isolation (PTI): YES" sul, kui sul see lihtsalt välja lülitatud oleks. Aga mida mina ka tean.
|
|
|
|
|
|
|
|
|
|
