Portaal Portaal Pingviini veeb foorumi pealeht
  Viki  |  IRC  |  Otsing  |  Küsimused ja vastused  |  Profiil  |  Privaatsõnumite vaatamiseks logi sisse  | Logi sisse või Registreeru
<empty>

spectre-meltdown-checker linuxile
Mine lehele 1, 2  Järgmine 		Vaata järgmist teemat
Vaata eelmist teemat
Postita uus teemaVasta teemale Pingviini veeb foorumi pealeht » Linux » Linux ja turvalisus » spectre-meltdown-checker linuxile
Autor Sõnum
tris

 Troll - ära toida!
Troll - ära toida!



Liitunud: 23.08.2014
Postitused: 713

Distributsioon: Debian
estonia.gif
postituspostitatud: 17.01.2018, 13:49  postituse pealkiri:  spectre-meltdown-checker linuxile  
Saad kontrollida terminalis/konsoolis:
sudo sh spectre-meltdown-checker.sh

https://github.com/speed47/spectre-meltdown-checker
NB! KUI SEE SCRIPT EI KÄIVITU ka siis kui andsid käivitusõigused (chmod +x) failile, siis pead pagaldama binutils paketi!
windowsis:
https://www.grc.com/inspectre.htm

_________________
ricochet:yckka6zlbxv767lz


Viimati muutis tris 19.02.2018, 12:59; muudetud 1 kord
janar
 Vana Pingviin
Vana Pingviin


Vanus: 38
Liitunud: 04.08.2011
Postitused: 698

Distributsioon: Kubuntu
 estonia.gif
postituspostitatud: 18.01.2018, 09:22  postituse pealkiri:  spectre  
Tuleb välja, et spectre turvaviga on endiselt alles nii Windows 10-s kui ka ubuntu server 16.04 (4.4.0-109-generic #132-Ubuntu SMP Tue Jan 9 19:52:39 UTC 2018) kõige uuemas kernelis.
Meltdowni kohta näitab, et fixitud.


vooler3
 Vana Pingviin
Vana Pingviin



Liitunud: 21.12.2015
Postitused: 479


 blank.gif
postituspostitatud: 18.01.2018, 12:33  postituse pealkiri:  Re: spectre  
janar kirjutas: < Vali > < Laienda >
Tuleb välja, et spectre turvaviga on endiselt alles nii Windows 10-s kui ka ubuntu server 16.04 (4.4.0-109-generic #132-Ubuntu SMP Tue Jan 9 19:52:39 UTC 2018) kõige uuemas kernelis.
Meltdowni kohta näitab, et fixitud.

Erinevate emaplaatidega / erinevate firmade toodangutega peadki saama erinevad tulemused kuna terve rea emaplaatide / tootjate korral tuleb lisaks ka veel tootja-poolsete paranduspakettidega "mässata".

Ja mis Ubuntusse puutub, siis Canonical kirjutas ammu, et tema toetamise "silmarõõmud" on ainult Ubuntu 17.10 ning Ubuntu 18.04. Cool
- ja alles oli suur hoiatus, et 17.04 omanikud kolige ümber 17.10-le kuna 17.04 toetus lõppeb.

Ubuntu 17.04 (Zesty Zapus) Has Reached End of Life, Upgrade to Ubuntu 17.10 Now
Users won't receive any security or software updates
http://news.softpedia.com/news/ubuntu-17-04-zesty-zapus-has-reached-end-of-life-upgrade-to-ubuntu-17-10-now-519360.shtml

PS: Ise ootan siis millal saab valmis paranduspaketiga 18.04.


janar
 Vana Pingviin
Vana Pingviin


Vanus: 38
Liitunud: 04.08.2011
Postitused: 698

Distributsioon: Kubuntu
 estonia.gif
postituspostitatud: 18.01.2018, 13:30  postituse pealkiri:  spectre  
See on vähetõenäoline, et 16.04 serverile parandust ei tule.
Ma ei usu seda.


tris

 Troll - ära toida!
Troll - ära toida!



Liitunud: 23.08.2014
Postitused: 713

Distributsioon: Debian
estonia.gif
postituspostitatud: 18.01.2018, 14:37  postituse pealkiri:  (teema puudub)  
Pigem saab ka aukus kernelit hoida isolatsiooni protsessidena töökorras. Tuleb lihtsalt programme teisiti käivitada.

See tähendab, et siis saab ka aukus protsessorit kasutada turvalisemalt.

Minu jutt lihtsat kasutajat ei pruugi aidata.

_________________
ricochet:yckka6zlbxv767lz
janar
 Vana Pingviin
Vana Pingviin


Vanus: 38
Liitunud: 04.08.2011
Postitused: 698

Distributsioon: Kubuntu
 estonia.gif
postituspostitatud: 18.01.2018, 15:16  postituse pealkiri:  spectre  
On natuke naiivne arvata, et Ubuntu jätab sellise turvavea lapimata oma hetkel kõige uuemal ja stabiilsemal versioonil.
https://wiki.ubuntu.com/SecurityTeam/KnowledgeBase/SpectreAndMeltdown


tris

 Troll - ära toida!
Troll - ära toida!



Liitunud: 23.08.2014
Postitused: 713

Distributsioon: Debian
estonia.gif
postituspostitatud: 21.01.2018, 11:23  postituse pealkiri:  (teema puudub)  
https://usn.ubuntu.com/usn/usn-3531-1/
intel-microcode
paketti uuendatakse ikka LTS versioonide peal ma vaatan.

Kuigi esmane paigaldus peaks tegema inteliprotsessoritele iucode-tool
paketi abil, siis on ohutum.

amd-microcode paigaldamisel amd protsessoritele peaks vähemalt pool
aastat või mõni kuu veel ootama, sest see on mõnedele protsessoritele
eluohtlik.

_________________
ricochet:yckka6zlbxv767lz
janar
 Vana Pingviin
Vana Pingviin


Vanus: 38
Liitunud: 04.08.2011
Postitused: 698

Distributsioon: Kubuntu
 estonia.gif
postituspostitatud: 21.01.2018, 18:16  postituse pealkiri:  spectre  
Ei tea kas see uuendus tuleb reposse ka..?


vooler3
 Vana Pingviin
Vana Pingviin



Liitunud: 21.12.2015
Postitused: 479


 blank.gif
postituspostitatud: 21.01.2018, 19:28  postituse pealkiri:  Re: spectre  
janar kirjutas: < Vali >
Ei tea kas see uuendus tuleb reposse ka..?

Uuri parem seda mida Distro tootja selle konkreetse Distro kohta kirjutab.

Näiteks: Ubunutu 18.04 sai oma "Inteli Microkoodi" kätte, Uuenduste paketiga juba tükk aega tagasi.
-------------
Samas ülteb Canonical selgelt, et mingid uuendused tulevad alles hoopis koos Uuendustega ISO-ga ning veel ka seda, et osad vanemad värgid ei saagi mingit uuendust ja et kõige pealt tuleb teha hoopis Upgrade uuemale versioonile.

PS: Täna kavatsesin vaadata, et kas uusim Deepin ka midagi uut automaatselt saab juba või mitte.


123to
 Pingviini aktivist
Pingviini aktivist



Liitunud: 31.05.2014
Postitused: 123

Distributsioon: Xubuntu 18.04;23.04
 estonia.gif
postituspostitatud: 21.01.2018, 19:47  postituse pealkiri:  (teema puudub)  
aga pange ise patch peale, milles küsimus?
https://downloadcenter.intel.com/download/27431/Linux-Processor-Microcode-Data-File

siin täpsem juhend ka:
http://news.softpedia.com/news/intel-releases-processor-microcode-patch-for-linux-oses-here-s-how-to-update-519316.shtml


tris

 Troll - ära toida!
Troll - ära toida!



Liitunud: 23.08.2014
Postitused: 713

Distributsioon: Debian
estonia.gif
postituspostitatud: 22.01.2018, 10:15  postituse pealkiri:  (teema puudub)  
Linux kernel 4.14.14 pidavat juba täielikult lapitud olevat:
https://betanews.com/2018/01/20/kaos-kde-linux-spectre-meltdown/

_________________
ricochet:yckka6zlbxv767lz
janar
 Vana Pingviin
Vana Pingviin


Vanus: 38
Liitunud: 04.08.2011
Postitused: 698

Distributsioon: Kubuntu
 estonia.gif
postituspostitatud: 22.01.2018, 15:55  postituse pealkiri:  spectre  
Ei riski ise hakata peale panema.
Kui repos olemas on kindlam.


tris

 Troll - ära toida!
Troll - ära toida!



Liitunud: 23.08.2014
Postitused: 713

Distributsioon: Debian
estonia.gif
postituspostitatud: 19.02.2018, 09:31  postituse pealkiri:  (teema puudub)  
https://www.techrepublic.com/article/new-spectre-meltdown-variants-leave-victims-open-to-side-channel-attacks/

Paistab, et uued spectre-meltdown variandid on avastatud.
LISA:
Uuendasin seda checker tarkvara ja sain debiani kernelile lausa 3 auku:

Image

Image

_________________
ricochet:yckka6zlbxv767lz


Viimati muutis tris 20.02.2018, 09:10; muudetud 1 kord
Gomi
 Pingviini aktivist
Pingviini aktivist



Liitunud: 24.12.2017
Postitused: 182

Distributsioon: Gentoo, Debian
 estonia.gif
postituspostitatud: 19.02.2018, 18:43  postituse pealkiri:  (teema puudub)  
cat /sys/devices/system/cpu/vulnerabilities/* töötab ka uuemate kernelitega.
tris kirjutas: < Vali > < Laienda >
ttps://www.techrepublic.com/article/new-spectre-meltdown-variants-leave-victims-open-to-side-channel-attacks/

Paistab, et uued spectre-meltdown variandid on avastatud.
LISA:
Uuendasin seda checker tarkvara ja sain debiani kernelile lausa 3 auku:

Image

Image

Tühi loba. Variandid 1 ja 2 on Spectre'i eri variandid ning variant 3 on Meltdown. Lisaks jätsid sa kõik kernelit puudutava info oma pildilt absoluutselt välja.


tris

 Troll - ära toida!
Troll - ära toida!



Liitunud: 23.08.2014
Postitused: 713

Distributsioon: Debian
estonia.gif
postituspostitatud: 07.03.2018, 12:08  postituse pealkiri:  (teema puudub)  
debian linuxi 4.9 kernelile on tehtud juba enamus parandusi:
Image
spectre 1 ja 2 likvideeritud.

_________________
ricochet:yckka6zlbxv767lz
vooler3
 Vana Pingviin
Vana Pingviin



Liitunud: 21.12.2015
Postitused: 479


 blank.gif
postituspostitatud: 07.03.2018, 12:38  postituse pealkiri:  (teema puudub)  
tris kirjutas: < Vali > < Laienda >
debian linuxi 4.9 kernelile on tehtud juba enamus parandusi:
Image
spectre 1 ja 2 likvideeritud.

Väga palju sellest, mis on "punased", ei sõltu Linuxist vaid sõltuvad hoopis sellest kas Emaplaadi tootja on välja lasknud parandused ja kas oled need peale installinud.

PS: Minu Acerid on vea avastamise algusest peale samasuguse "punakirju pildiga" ning ei sõltu millist Linxut ma peal olen jooksutanud,
Ning Acer ise viimati vihjas, et sellistele vanadele masinatele nad ei teegi parandusi - vaid mine ning osta uus Acer, selline millel on Parandused tehasest juba peale pandud. Cool


tris

 Troll - ära toida!
Troll - ära toida!



Liitunud: 23.08.2014
Postitused: 713

Distributsioon: Debian
estonia.gif
postituspostitatud: 07.03.2018, 13:24  postituse pealkiri:  (teema puudub)  
https://security-tracker.debian.org/tracker/CVE-2017-5754

_________________
ricochet:yckka6zlbxv767lz
Gomi
 Pingviini aktivist
Pingviini aktivist



Liitunud: 24.12.2017
Postitused: 182

Distributsioon: Gentoo, Debian
 estonia.gif
postituspostitatud: 07.03.2018, 17:19  postituse pealkiri:  (teema puudub)  
vooler3 kirjutas: < Vali > < Laienda >
tris kirjutas: < Vali > < Laienda >
debian linuxi 4.9 kernelile on tehtud juba enamus parandusi:
Image
spectre 1 ja 2 likvideeritud.

Väga palju sellest, mis on "punased", ei sõltu Linuxist vaid sõltuvad hoopis sellest kas Emaplaadi tootja on välja lasknud parandused ja kas oled need peale installinud.

PS: Minu Acerid on vea avastamise algusest peale samasuguse "punakirju pildiga" ning ei sõltu millist Linxut ma peal olen jooksutanud,
Ning Acer ise viimati vihjas, et sellistele vanadele masinatele nad ei teegi parandusi - vaid mine ning osta uus Acer, selline millel on Parandused tehasest juba peale pandud. Cool

Spectre'i 1. variant on parandatud kernelis, 2. variant compileris (GCC 7.3.0+ toetab retpoline'i, selleta olid ka mingid patchid) ning Meltdownil on valikuteks kas kernelis tehtud parandused (CONFIG_PAGE_TABLE_ISOLATION), mida saab ka välja lülitada lastes GRUB-il "nopti" kerneli parameetritesse lisamine, või siis microcode-uuendus (mille saab teha ka emaplaadi uuenduse kaudu), kuid väidetavalt panid need uued microcode'id arvutid põhjusetult taaskäivitama, nii et Intel lõpuks "kutsus need tagasi". Microcode'i saab täiesti edukalt aga laadida ilma emaplaati uuendamata ning muu sellest üldsegi ei sõltu.
Siin siis näiteks emaplaadiga, mida pole kunagi uuendatud ning mis pärineb vist 2012-st või nii.
Image




Viimati muutis Gomi 09.03.2018, 16:37; muudetud 1 kord
tris

 Troll - ära toida!
Troll - ära toida!



Liitunud: 23.08.2014
Postitused: 713

Distributsioon: Debian
estonia.gif
postituspostitatud: 09.03.2018, 12:37  postituse pealkiri:  (teema puudub)  
Minul miskipärast jaab ka peale nopt grubi lisamist ja grubi update ning taaskäivitamist, see
Meltdown' aka 'Variant 3' vulnerable-iks.

_________________
ricochet:yckka6zlbxv767lz
Gomi
 Pingviini aktivist
Pingviini aktivist



Liitunud: 24.12.2017
Postitused: 182

Distributsioon: Gentoo, Debian
 estonia.gif
postituspostitatud: 09.03.2018, 16:36  postituse pealkiri:  (teema puudub)  
tris kirjutas: < Vali >
Minul miskipärast jaab ka peale nopt grubi lisamist ja grubi update ning taaskäivitamist, see
Meltdown' aka 'Variant 3' vulnerable-iks.

"nopti" põhimõte ongi see, et see "lülitab" selle kaitse välja (nt. juhuks, kui mingi administraator on otsustanud, et võimsusekaotus pole antud seadmel turvalisa väärt, sest see näiteks avaliku internetiga üldse ei suhtle, või sul on juba mingisugune uuem microcode peal, või mida iganes).
Kuid minu arust peaks see skript siis näitama "Kernel supports Page Table Isolation (PTI): YES" sul, kui sul see lihtsalt välja lülitatud oleks. Aga mida mina ka tean.


Näita (aja järgi):      
Postita uus teemaVasta teemale Pingviini veeb foorumi pealeht » Linux » Linux ja turvalisus » spectre-meltdown-checker linuxile
Mine lehele 1, 2  Järgmine

Vaata järgmist teemat
Vaata eelmist teemat

Powered by phpBB2 Plus based on phpBB © 2001/7 phpBB Group