Frissítettem J5ET58WW-ről J5ET59WW-re (avagy UEFI BIOS update Spectre és egyéb biztonsági javítások miatt)

 ( trey | 2018. január 9., kedd - 12:55 )

Lassan egy hete már annak, hogy először hallottunk a Meltdown és Spectre sebezhetőségekről. A gyártók elvileg mára tervezték az összehangolt közlést és a patchek kiadását. A Lenovo is tartotta magát a menetrendhez és ma frissített UEFI BIOS image-et adott ki a laptopomhoz. A frissítés leírásában szerepel, hogy javítást hoz egyéb biztonsági problémák mellett a CVE-2017-5715-re (Spectre), úgyhogy "ezen ne múljon!" felkiáltással nekiálltam beleírni a gépem erre a célra fenntartott részébe.

Lenovo Thinkpad - Spectre javítás

A csak Linuxot futtató gépen a kiadott windowsos frissítés nem játszik. CD-meghajtó nélkül pedig elég nehéz a bootolható ISO-t működésre bírni. Szerencsére a tudomány itt nem áll meg, csinálunk az ISO-ból egy USB pendrive-ra írható lemezképfájlt és azzal végezzük el a frissítést:

ISO image letöltése

trey@alderaan:/$ cd /tmp
trey@alderaan:/tmp$ wget -c https://download.lenovo.com/pccbbs/mobiles/j5uj59wd.iso
--2018-01-09 10:27:12--  https://download.lenovo.com/pccbbs/mobiles/j5uj59wd.iso
Resolving download.lenovo.com (download.lenovo.com)... 2.23.108.126
Connecting to download.lenovo.com (download.lenovo.com)|2.23.108.126|:443... connected.
HTTP request sent, awaiting response... 200 OK
Length: 17149952 (16M) [application/octet-stream]
Saving to: ‘j5uj59wd.iso’

j5uj59wd.iso                     100%[=======================================================>]  16,36M  1,15MB/s    in 12s     

2018-01-09 10:27:24 (1,34 MB/s) - ‘j5uj59wd.iso’ saved [17149952/17149952]

Checksum ellenőrzése

trey@alderaan:/tmp$ sha1sum j5uj59wd.iso 
5ffcb0641317efe5f1653c4154dfe9ecb9a87a76  j5uj59wd.iso

Lenovo honlapon:

Checksum Tips
MD5: bde5aa4b30f3d94daff07d94160573ef
SHA1: 5ffcb0641317efe5f1653c4154dfe9ecb9a87a76
SHA-256: 946d209fccc550332f6c4bfce57ca7b2d7801c034c0f0a0d381e466432d86726

ISO konvertálása lemezképfájlba

trey@alderaan:/tmp$ geteltorito -o bios.img j5uj59wd.iso
Booting catalog starts at sector: 20
Manufacturer of CD: NERO BURNING ROM VER 12
Image architecture: x86
Boot media type is: harddisk
El Torito image starts at sector 27 and has 32768 sector(s) of 512 Bytes

Image has been written to file "bios.img".

Lemezképfájl kiírása USB pendrive-ra (/dev/sdb)

trey@alderaan:/tmp$ sudo su
[sudo] password for trey:
root@alderaan:/tmp# dd if=bios.img of=/dev/sdb bs=1M
16+0 records in
16+0 records out
16777216 bytes (17 MB, 16 MiB) copied, 4,11304 s, 4,1 MB/s

Reboot, boot paraméterek ellenőrzése, UEFI BIOS frissítése

UEFI BIOS update Lenovo Thinkpad E450-en
Boot jelszó megadása

UEFI BIOS update Lenovo Thinkpad E450-en
UEFI boot opció ellenőrzése

UEFI BIOS update Lenovo Thinkpad E450-en
Bootolás az előkészített USB pendrive-ról

UEFI BIOS update Lenovo Thinkpad E450-en
...

UEFI BIOS update Lenovo Thinkpad E450-en
Password nélkül nincs BIOS frissítés! Jelszó megadása ...

UEFI BIOS update Lenovo Thinkpad E450-en
Mehet?

UEFI BIOS update Lenovo Thinkpad E450-en
Konnektorba be van dugva?

UEFI BIOS update Lenovo Thinkpad E450-en
Akkumulátor fel van töltve?

UEFI BIOS update Lenovo Thinkpad E450-en
NE kapcsold ki a gépet a frissítés alatt!

UEFI BIOS update Lenovo Thinkpad E450-en
Frissítés folyamatban! CD-t ne vedd ki! (jól van, jól van.... nem veszem)

UEFI BIOS update Lenovo Thinkpad E450-en
...

UEFI BIOS update Lenovo Thinkpad E450-en

Kész!

UEFI BIOS update Lenovo Thinkpad E450-en
Bootolás immár az új (1.30-as) BIOS-szal

UEFI BIOS update Lenovo Thinkpad E450-en
...

Ellenőrzés Linux alatt

root@alderaan:/home/trey# dmidecode -q

[...]

BIOS Information
Vendor: LENOVO
Version: J5ET59WW (1.30 )
Release Date: 12/18/2017
Address: 0xE0000
Runtime Size: 128 kB
ROM Size: 16 MB
Characteristics:
PCI is supported
PNP is supported
BIOS is upgradeable
BIOS shadowing is allowed
Boot from CD is supported
Selectable boot is supported
ACPI is supported
USB legacy is supported
BIOS boot specification is supported
Targeted content distribution is supported
UEFI is supported
BIOS Revision: 1.30
Firmware Revision: 1.30

[...]

\o/

Te már naprakészre hoztad a géped BIOS-át?

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Dillon szerint nem sokat ér...., a Spectre körül elég nagy a homály...

http://lists.dragonflybsd.org/pipermail/users/2018-January/335633.html

De ne rajtam múljon! :)

Egyébként a homály mindenhol tetten érhető. Látszik, hogy mindenki kapkod. Ezért is röhögök a bajuszom alatt, amikor a Microsoft helyzetértékeléseit olvasom. Amiben az van, hogy semmi pánik, urai vagyunk a helyzetnek (vagy nem)!

Természetesen azt, hogy a Lenovo mi a faszt javított pontosan ebben a frissítésben, azt valószínűleg sosem tudjuk majd meg.

--
trey @ gépház

Dillon szerint a Meltdown patch 100ns-ről 250-350ns-re emelte a syscall overhead-et (http://lists.dragonflybsd.org/pipermail/users/2018-January/335624.html) . Az IBRS-t használó patchek (vannak már ilyenek készen egyáltalán?) 800ns-re!!!

MMU isolation + IBRS mode 2 increases system call overhead to over 800nS.

Egy biztos, a BIOS frissítés után felhasználóként semmilyen változást sem veszek észre.

Ez meg picsafüst, nem leírás:

Idézet:
[Important] Enhancement to address CVE-2017-5715.
[Important] Update includes security fixes.

--
trey @ gépház

Lehet feltalálták a "Placebo BIOS" fogalmát :)

--
robyboy

Build time: 2017.12.18
...

A gyártók hónapok óta tesztelik a javításokat. Embargó alatt lett volna máig a sebezhetőség leírása és a frissítés is. Gondolhatod, hogy nem ma pörgették le a Lenovo-nál a javításokat az összes általuk gyártott gépre.

Az, hogy egyesek nekiálltak kapkodni, nem szerencsés. Látjuk is mi lett az eredménye.

--
trey @ gépház

Ha nem is ma, de tegnap. És visszadátumozták dec. 18-ra! :D
--
Tertilla; Tisztelem a botladozó embert és nem rokonszenvezem a tökéletessel! Hagyd már abba!; DropBox

December 27-én frissítettem az 1.29-es verzióra. Biztos sűrű karácsonya volt a technikai csapatnak :D

--
trey @ gépház

Dell R530
https://downloads.dell.com/FOLDER04715818M/1/R430_R530_T430_BIOS_02_07_00_Release_Notes.pdf

microcode update, meg ugyan az a sebezhetoseg, amit a lenovo is linkelt

Lenovo P700-ra eddig semmi, pedig elvileg enterprajz cucc.

----------------------
while (!sleep) sheep++;

Dell - a 3 business laptop egyike sem kapott BIOS frissítést.

(És csak úgy mellékesen: a HW/SW-gyártók *egy* *része* kb fél éve küzd vele. mások meg nem kaptak ekkora előnyt :-( Pl. a FreeBSD listán 2 napja jelent meg, hogy ők decemberben kapták meg az infókat.)

=====
tl;dr
Egy-két mondatban leírnátok, hogy lehet ellopni egy bitcoin-t?

Elméletben lehetne egy listát készíteni arról, hogy kik és mióta használhatták ki aktívan a sebezhetöséget, mivel birtokában voltak a tudásnak. Egy olyan világban, amikor a HP keylogger-eket telepít driver-be csomagolva...

--
robyboy

+1
A Dell asztali gepem viszont igen.

Èn arra lennék igazán kíváncsi, hogy az Intel mióta tudhat róla? Ök a microcode frissítéseket jövö hét végéig ígérték, ami picit hosszú idönek tünik ahhoz képest, hogy már mondjuk fél éve tudnának róla például.
Vagy direkt játszák a "hülyét", mintha most tudták volna meg ök is.

Számomra furcsa, hogy miért frissít pl. a Lenovo BIOS-t úgy, hogy az Intel még sem jelent meg az új microcode-okkal?

Valami büzlik Dániában.

https://newsroom.intel.com/news-releases/intel-issues-updates-protect-systems-security-exploits/?_ga=2.18864702.605267410.1515568643-948228707.1515568643

--
robyboy

Nalam a bootolhato USB drive gyartas valahogy igy nezett ki legutobb:
curl http://releases.ubuntu.com/16.04.3/ubuntu-16.04.3-desktop-amd64.iso >/dev/sdf

És ez szerinted miért van így?

(megfejtés)

További kérdés: szerinted a Lenovo által biztosított image isohybrid image?

(nem kell válaszolni)

LK:

trey@alderaan:/tmp$ file j5uj59wd.iso
j5uj59wd.iso: ISO 9660 CD-ROM filesystem data 'J5ET59US' (bootable)
trey@alderaan:/tmp$ file bios.img
bios.img: DOS/MBR boot sector; partition 1 : ID=0x1, active, start-CHS (0x0,1,1), end-CHS (0xf,63,32), startsector 32, 32736 sectors

--
trey @ gépház

lucky. nem keves lenovo gep fizikai optikai eszkozt keres *sata* porton. van aminel eleg nehezen megoldhato.

--
Vortex Rikers NC114-85EKLS

Igen. T560-as. Windows alól végrehajtott BIOS Update után vállalati környezetben megváltozott a Bitlocker jelszó, így kellett neki egy Recovery Key-es akció, majd utána Bitlocker jelszó módosítás Windows alól. Most megint jó. Egyébként ezt már egyszer eljátszotta valamelyik korábbi BIOS Update után is.

--
robyboy

vattafukk? megvaltozott hw utan szokott megvaltozni. mondjuk annyira kifinomult technika, h a t/x/p ala tett dokkolora is igy valaszol :/

--
Vortex Rikers NC114-85EKLS

t560-as baromi jo laptop.
Most lehet akciosan kapni;) Meg mindig olyat vennek.

A legjobban annak orulok, hogy megleptem a +16GB memoriat (24 osszesen).

Azota megdurvabbak a memoriaarak.

---
Saying a programming language is good because it works on all platforms is like saying anal sex is good because it works on all genders....

huha! mekkora dolog ez a bios frissítés, hogy 14 képen at kellett dokumentálni. elképesztő tudomány ez! \o/

én csak azt hiányolom, hogy nem a twitterről tölti be a képeket:-(

*nyomokban mogyorót tartalmazhat*

Te minden esetben, ahol számodra fölösleges információ van, gúnyolódsz?

miért, el tudod mondani hogy egy közönséges bios frissítésnek mi a hírértéke?

Nem az első olyan ember vagy a hup-on, aki nem is érti, hogy mit kérdeztem, annyira természetes neki, hogy beszólogat. Te miért szólogatsz be?

nem a lenyegre koncentralsz. megint nem. azert reklamalj mert nem egy blokkolhato twitter szarba ment. reklamald ezt, adok plusz egyet, tolem az nagy szo :)

--
Vortex Rikers NC114-85EKLS

hat a mai vilagban annak is hir erteke van hogy a bios frissites felment :D

--
A vegtelen ciklus is vegeter egyszer, csak kelloen eros hardver kell hozza!

Nem tudom, lehet, hogy valakinek hasznos. A te kommenteddel ellentétben, ami egész biztosan mindenkinek 100%-ban useless.

Az az igazság, hogy eszembe sem jutott. BIOS-t mindig olyankor jut eszembe piszkálni, ha valami esetleg nem megy a gépemen.

Egy (eléggé) öreg Asus U36SD-m van, és valamiért az asus.com egyáltalán nem találja. (pl Windows drivert sem...)

Illetve https://www.asus.com/uk/support/FAQ/1034979 szerint nem is érintett a hibában? Valahol azt olvastam, hogy az elmúlt évtized minden gépe...

Kicsit meglep, hogy Lenovon meg bootolhato disk kell egy BIOS frissiteshez (tenyleg kell?). Az utobbi evekben Dell meg Asus BIOS-okat frissitettem, mindketto BIOSa tudja azt, hogy FAT filerendszerrol benyalja az uj image-et es megupgradeli magat...

legtobbszor kell, es alapvetoen jol van igy. foleg ha usb-rol megy. viszont az sajnos nem mindig.

--
Vortex Rikers NC114-85EKLS

Miert lenne ez alapvetoen jol igy?

mert nincs felesleges binaris kod az uefiben, ami raadasul dedikaltan az alapprogram atirasara szolgal. meg ki tudja mire.

mert a buzerans pl. wowgamer egy lepcsovel nehezebben irogatja az uefit.

mivel a Lenovo gerincet (meg) az uzleti vonal adja*, ott majd a supervisor elvegzi amit kell. ha 300 vegpontra kell sata driveot tenni akkor annyira. mondjuk santa pelda tudom, mert business vonalon a SU elintezi Windowsbol beavatkozasmentesen.

*a consumer felhasznaloktol sry, dehat nem nekem kellett az ultrabook meg a csillam.

--
Vortex Rikers NC114-85EKLS

A BIOS Windows alol updatelheto, ehhez kepest semmilyen plusz kockazatot nem latok abban, hogy egy reboot soran aktivalhato egy kod ami OS nelkul is elvegzi az update-et.

jogos, mégis egy lehetőséggel kevesebb. amúgy a Lenovo BIOSban/UEFIben állítható, hogy end-user ne írhassa a flash romot: ott és akkor biztosan nem fogja teleírni bármilyen háryjános. némely Lenovo alaplapon meg direkt programállásba kell tenni fizikailag egy apró jumpert, hogy írhass. vannak tehát lehetőségek pro és kontra, egyik szebb mint a másik. sajnos engem nehéz meggyőzni a lehetőségek sokaságával így csak a fentebb írtakat tudom ismételni.

--
Vortex Rikers NC114-85EKLS

Windowsos exe vagy bootolható cd img.

Örülj, a héten szarakodtunk kolléga laptopjával, ahol FW-frissítéshez kizárólag Windowsos exe van (még csak nem is FreeDOS-sal használható DOS-os bigyóka). Sok kicsit régebbi leírás szerint ha kicsomagolod, akkor már ott van a DOS_os, de ebben a verzióban már nem DOS-os.És ugyan a neten vannak nemhivatalos leírások, hogy mi módom kell kinyerni (pl. 7zip-pel 2x is kicsomagolva) magát a FW.bin-t, és mi módon lehet a boot során megnyomandó Fn+Esc-vel elérni, hogy a FAT32-es pendrive-ról benyalja és megfrissítse, egyelőre nem sikerült rábírni. És olyan arrogánsan válaszoltak (másoknak) a fórumukon, hogy a hajam égnekáll.

=====
tl;dr
Egy-két mondatban leírnátok, hogy lehet ellopni egy bitcoin-t?

Néha aranyat ér egy USB-s CD-olvasó, rendelkezek egy ilyen klasszikussal. Samsung SSD FW-jét is ezzel sikerült frissítenem anno.

--
robyboy

??? Az adott géphez nincs CD.img. Csak Win.exe (Jelenleg az tűnik járható iránynak, hogy szerezni egy megfelelő méretű külső diszket, egy Win telepítőt, imádkozni, hogy a telepítő ne csessze el a meglevő diszkre telepített OS-t, felrakni a külső diszkre a Win-t, rábutulni, BIOS-t frissíteni, majd kidobni a feleslegesen telepített Win-t a picsába és visszadni a kölcsön diszket. Oszt a következő FW-frissítésnél kezdődik előlről. Hiren'S BootCD-ben levő MiniXP nem ment.)

=====
tl;dr
Egy-két mondatban leírnátok, hogy lehet ellopni egy bitcoin-t?

fot those who do :D

--
Vortex Rikers NC114-85EKLS

Ja, nem igazán neked szántam, inkább csak úgy a "levegőbe".
Egyébként milyen hardverről írsz konkrétan?

Van az a módszer, hogy az ember boot-ol egy Windows telepítő CD-t, aztán rögtön az első grafikus ablaknál nyom egy SHIFT+F10-et.
Ekkor nyit egy konzolt, ahol futtathatók a Windows exe-k simán, a telepített rendszer módosítása nélkül.

Személy szerint frissítettem már így BIOS-t minden gond nélkül. Csak a 32 bit / 64 bit -re kell odafigyelni, az nem mindegy.

--
robyboy

Feljebb van valami komment, hogy mi a fasz nehéz egy BIOS frissítésen. Kérd meg, hátha tud neked segíteni.

--
trey @ gépház

ezek szerint a 14 kép nem segített a cikkből. :(

Az én Thinkpademhez is csak egy elcseszett Windowsos .exe volt az AMT/ME frissítés (amikor kb. 1 hónapja még az volt a sláger).

Nagyjából ezeket a lépéseket követtem: https://www.flamingspork.com/blog/2017/11/22/updating-windows-management-engine-firmware-on-a-lenovo-without-a-windows-install/

A lényeg, hogy az elvileg legálisan, Microsofttól letölthető Windows telepítőből lehet bootolható WinPE image-et készíteni, és abba a telepítendő frissítés megfelelő részét bele lehet gyógyítani.

(a fekete kecske feláldozása kimaradt a leírásból)

Windows to go pendrive.

Uhhh ezzel a boot alatt Fn+ezt nyomok azt nyomok csodával egyszer megjártam... Nem egészen azt a fájlt kellett volna megetetni a géppel, amit sikerült és az a vacak ellenőrzés nélkül felülírta vele a BIOS-t. Utána kukázhattam...

Ez nem a módszer hibája volt.

--
robyboy

Nem is a módszert hibáztattam, de azért annyit megtehettek volna, hogy legalább valami fájlfejlécet vagy valamit ellenőriznek flashelés előtt, mert konkrétan egy véletlenül ott maradt zip fájlt tolt fel a BIOS helyére...

Sosem vennék Acert, sokan istenítik, én csak szívtam velük mindig, és a legtöbb hibás laptop, ami a kezeim közé került valaha is Acer volt.
Példátok is erösíti meggyözödésem.

--
robyboy

Megnyugtatlak, azóta én se vennék többet. Meg HP-t se, se Fujitsu-t... Lenovoból is csak a Thinkpad-eket tartom normálisan összerakott laposnak, már az Ideapad, meg a többi konzumer vackuktól is a hideg ráz... Dell gépeket még meg szoktam nézni, abból láttam már a konzumer kategóriában is normálisan összerakott és megtámogatott gépet, de hangsúlyozom azokkal semmi tapasztalatom, sajátjaim közt sosem volt Dell, szóval ez csak ilyen "félszemmel messziről úgy tűnt"-vélemény. Majd talán egyszer. De akkor is csak business-gép.

Ez milyen gep/BIOS es mennyi idos?

Acer Aspire 4820TG volt név szerint, nem mai modell van vagy 6-7 éves, és nem is mostanában hanem még 2-3 éve történt a dolog... A penen nem a bináris, hanem egy ottfelejtett ZIP-fájl volt. A billentyűkombóra elkezdte a flashelést, majd visszajelzés nélkül leállt (megjegyzem ennél a modellnél dokumentáltan NINCS visszajelzés a folyamatról ha ezt a módszert választod!). Többé bekapcsolni sem tudtam...

Ez is ACER, Acer V3-372-104c. Ez viszont relatív friss darab.

=====
tl;dr
Egy-két mondatban leírnátok, hogy lehet ellopni egy bitcoin-t?

Nálam T450-en nem kell(ett) System Update Windows alól elvégzni simán. Bár a sebesség probléma észrevehető lett... :(

system update alol semmit nem *kell*. minden szandeka kiirthato, kiveszed a pipat es kesz. pont ez az egyik vedekezesi felulet. kell is, miota tamado kodot terjesztett a drivermatrix. a felelosseg reszben a tied. nem?

--
Vortex Rikers NC114-85EKLS

Mármint a hivatalos Lenovo SU alkalmazás terjesztett kártevőt?

yep, par eve itt is hir volt - a recommended updates fulon a driverekkel jott egy ideig.

--
Vortex Rikers NC114-85EKLS

A Latitude-om kapott.

melyik?
nekem az e5440-re májusi a legfrissebb, amit látok

Én 5430-ról és 6440-ről tudom, hogy nem :-(

=====
tl;dr
Egy-két mondatban leírnátok, hogy lehet ellopni egy bitcoin-t?

Hopp, a 6440-hez megjött - sőt a korábban kimaradt 5550-hez is (egyelőre az 5430-hoz még mindig nem, de akkor egy fokkal bizakodóbb vagyok.)
És ezeknek a leírása is emlegeti a Spectre-t.

=====
tl;dr
Egy-két mondatban leírnátok, hogy lehet ellopni egy bitcoin-t?

En meg a Latitude E7450-re nem kaptam meg.

Most mar de.

nekem is, ty!

_Szerintem_ ezek a BIOS fixek gyakorlatilag microcode update-ek, amiket az operációs rendszerek is frissítenek.

Pont ezt emlegettem korábban egy másik szálon, hogy mindenki kapkod, mint állat, senki nem egyeztet senkivel. Mi a tökömnek frissítsem az OS-t, ha már a BIOS megoldja. Megoldja? Ebben sem vagyok biztos.

--
robyboy

A CVE-2017-5715-höz microcode és OS frissítés is kell, legalábbis Windowson.

Btw microcode-ot tudtommal az OS is tudja frissíteni (futásidőben), ezért nem egészen értem, miért létszükséglet a BIOS/UEFI frissítés.

Mert lehet, hogy a BIOS frissítés egy olyan bugot (is) javít, ami nélkül OS alól nem tudod betölteni a microcode frissítést akkor sem, ha megfeszülsz?

BTW: letöltöttem a legfrissebb microcode frissítéscsomagot az Intel-től:

https://downloadcenter.intel.com/download/27431/Linux-Processor-Microcode-Data-File

Bemásoltam, reboot:

trey@alderaan:~$ journalctl --no-hostname -o short-monotonic --boot -0   | sed -n '1,/PM: Preparing system for sleep/p' | grep 'microcode\|smp'
[    0.000000] kernel: smpboot: Allowing 8 CPUs, 4 hotplug CPUs
[    0.031987] kernel: smpboot: Max logical packages: 4
[    0.072806] kernel: smpboot: CPU0: Intel(R) Core(TM) i5-5200U CPU @ 2.20GHz (family: 0x6, model: 0x3d, stepping: 0x4)
[    0.073941] kernel: smp: Bringing up secondary CPUs ...
[    0.074520] kernel: smp: Brought up 1 node, 4 CPUs
[    0.074520] kernel: smpboot: Total of 4 processors activated (17559.76 BogoMIPS)
[    1.136873] kernel: microcode: sig=0x306d4, pf=0x40, revision=0x28
[    1.136995] kernel: microcode: Microcode Update Driver: v2.2.

Nincs a logban a szokásos "microcode: microcode updated early to revision xxxx, date = yyyy-dd-mm" üzenet, így feltételezhető, hogy a BIOS frissítéssel a legfrissebb microcode is felkerült a gépemre. Nincs szükség OS alól tölteni. Ez a biztos, nem az, hogy OS alól töltesz, ami vagy van default, vagy nincs, vagy sikerül vagy nem stb.

--
trey @ gépház

Ez magyarázat az Asus állítására is, hogy bios ÈS op.rendszer frissítés is kell, hogy "well protected" legyél.

Az más kérdés, hogy az Asus által felsorolt VivoPC-knél kimaradt az általam is birtokolt VM40B-s típus, amiben egy Celeron 1007U-s proci van.

Ezen lista szerint bizony ö is érintett:

https://www.techarp.com/guides/complete-list-cpus-meltdown-spectre/4/

Akkor most hogy is van ez Asus? Támogatunk? Nem támogatunk?

--
robyboy

Ubuntu 16.04-en a kernel csomag frissült, viszont az intel-firmware csomag nem. Nem illene annak is?
--
♙♘♗♖♕♔

Az Intel jövö hét végéig ígérte az új CPU microcode-okat.

--
robyboy

https://downloadcenter.intel.com/download/27431/Linux-Processor-Microcode-Data-File

"Linux* Processor Microcode Data File
Version: 20180108 (Latest) Date: 1/8/2018"

Te szerintem másra gondolsz.

--
trey @ gépház

Nem néztem rá, de ez így még belefér a jövö hét végéig definícióba.
Tipikus céldátum megadás, ha elöbb jön, az növeli a pozitív életérzést.

--
robyboy

Nálam "intel-microcode" a csomag neve.

--
trey @ gépház

Ja, nálam is :)
--
♙♘♗♖♕♔

Még nem frissült, de kézzel frissítheted:

Letöltöd a microcode pakkot (microcode-20180108.tgz):

https://downloadcenter.intel.com/download/27431/Linux-Processor-Microcode-Data-File

Majd:

To update the intel-ucode package to the system, one need:
1. Ensure the existence of /sys/devices/system/cpu/microcode/reload
2. Copy intel-ucode directory to /lib/firmware, overwrite the files in /lib/firmware/intel-ucode/
3. Write the reload interface to 1 to reload the microcode files, e.g.
  echo 1 > /sys/devices/system/cpu/microcode/reload

--
trey @ gépház

A másik hup-os cikkben én is ezt ajánlottam Czo-nak :) De annyira nem kapkodok, megvárom hogy csomagból frissüljön.
--
♙♘♗♖♕♔

ha pxe-röl bootol, akkor már hálózaton elérhető a egy rövid időre a gép a tényleges bootolás előtt.
ráadásul már nem csak a lokális hálóról lehet pxe-vel bootolni.

sibike, robyboy: ti itt alapvető dolgokat kevertek, szezont a fazonnal.

A Spectre/Meltdown elleni patch-ek az OS-ben csak szoftveresek, és alapból csak a Spectre1, és Meltdown ellen védenek.

A Spectre2 ellen viszont a procit kéne megváltoztatni fizikailag, és lényegében ezt teszik az új mikrokóddal, ami lényegében tekinthető kvázi hardveres patchnek. Nem elég az OS-t Spectre2 ellen patchelni, kell hozzá még a procira is az új mikrokód. Nem csak Windowson, hanem Linux alatt is.

Ezek az új BIOS-ok a mikrokódot tartalmazzák. A mikrokódot be tudja tölteni BIOS nélkül az OS is, de ez nem keverendő a sima szoftveres OS patchekkel. Persze még mindig lehet kérdezni, hogy minek a BIOS-frissítés, ha az OS is be tudja tölteni az új mikrokódot. Erre a választ trey írta meg itt később ebben a szálban.


„Pár marék nerd-et leszámítva kutyát se érdekel már 2016-ban a Linux. Persze, a Schönherz koliban biztos lehet villogni vele, de el kéne fogadni, ez már egy teljesen halott platform. Hagyjuk meg szervergépnek…” Aron1988@PH Fórum

Az is elképzelhető, hogy a frissítés a boot után a sebezhetőségen keresztül támadható részeket védi le valahogy. Nem tudom a mai UEFI -s cuccok milyen API -t adnak az OS felé. Pl. lehet eddig egyes hívások után RAM -ban maradhatott a BIOS jelszó, amit eddig lesz..tak mondván úgyis védi a kernel. No ez most már nem lenne nyerő.
Amilyen sztorikat anno BIOS -os témakörben mozgó kollégák meséltek, jó nagy disznóságok vannak arrafelé. Személyes tapasztalat: saját fejlesztésű hibásan működő USB mass-storge eszköz akasztotta meg a boot -ot mindenféle hibaüzenet nélkül. Simán megállt a gép kezdeti pár boot üzenet után. Se timeout se üzenet, semmi. Amíg az eszköz rajta volt az USB -n, nem lehetett beindítani a gépet. Az eszközöm hibája annyi volt, hogy valamelyik SCSI parancsot hibával visszadobta. Windows, Linux simán ment vele.

Az. Az enyemben viszont jott mas security frissites is. Egyebkent ha csak microcode akkor is itt van a legjobb helyen.

Trey, a frissítés után észrevettél bármi negítat? NAgy performance vesztés?

Most nem egészen értem, hogyan jön képbe most a BIOS.
Ha windows-od, ha Linuxod van, a spectre/meltdown hibákat OS szinten foltozzák, ha jól tudom.

A Lenovo BIOS szinten rendezte az ügyet?

Egyéb:
A memory leak problémára a Google javítása sokkal hatékonyabbnak látszik, mint a windows-os. Ám MS-ék nem ezt alkalmazzák :(
Linux-on nem tudom, hogy mekkora performancia vesztés van, még nem néztem utána. Egylőre régi kernelem van.

"Trey, a frissítés után észrevettél bármi negítat? NAgy performance vesztés?"

Semmit.

"Most nem egészen értem, hogyan jön képbe most a BIOS."

Úgy, hogy a Lenovo a BIOS-ban frissítette a processzor microcode-ot, így nem kellett várnom, míg az op. rendszer vendor szállítja 5 nappal később. Sokkal biztonságosabb, ha a BIOS-ban van ez lekezelve, hiszen tök mindegy, hogy milyen OS-t bootolok a gépen, a processzor ebből a szempontból naprakész, míg op. rendszereknél a gyártóra van bízva, hogy mikor frissít vagy frissít-e egyáltalán.

--
trey @ gépház

Köszönöm.