Minden, amit a #meltdown / #spectre processzorbugokkal kapcsolatban tudni érdemes #2

 ( trey | 2018. január 10., szerda - 8:06 )

Ubuntu

IBM

Microsoft

Intel

Microcode frissítések érkeztek az Intel-től (HUP cikk: Microcode. WTF?)

Az Intel szerint a következő héten a processzoraik több mint 90%-a megkapja a Meltdown/Spectre patcheket

Egyéb

Meltdown PoC kódok, demók érhetők el szabadon

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Patchelt BIOS, patchelt kernel. Semmi lassulást sem érzek a napi taszkokban.

--
trey @ gépház

eddig 2 gépre tettel fel az új ubi kernelt, de én sem éreztem változást, bár nem is mértem :)

patchelt BIOS nincs /egyenlőre?/

Ha nincs patchelt BIOS, akkor tegyed fel az intel-ucode csomagot, az frissíti a proci mikrokódját.

Végre kiadta az Intel a nyilvánosságnak is a mikrokódokat jan. 8-án (akinek kell, letöltheti az Intel oldaláról, és még Windows alá is fel lehet passzintani, ha valakinek a lapja, gépe már nem támogatott és nem kap új BIOS-t), így végre az Arch vonatkozó csomagja is frissült, igaz csak a testingben, de azért lehúztam. Lassulást én sem tapasztalatok, de lehet nem is vagyok védve, mert i7 2620M procira azt írja a kernel továbbra is, hogy 2013-as mikrokódra frissült, mikor 2017-12-17-einek kéne lennie minimum, ha nem 2018-01-08-ainak:
[ 0.000000] microcode: microcode updated early to revision 0x29, date = 2013-06-12
[ 0.410508] microcode: sig=0x206a7, pf=0x10, revision=0x29
[ 0.410667] microcode: Microcode Update Driver: v2.2.
Még 2017-ben is ezt írta, bár lehet nem jelent semmit, mert ettől még frissülhetett a mikrokód. Az a baj, hogy Spectre és Meltdown testerből nincs megbízható Linux alá, így nem tudok róla meggyőződni, hogy mennyire vagyok védve.


„Pár marék nerd-et leszámítva kutyát se érdekel már 2016-ban a Linux. Persze, a Schönherz koliban biztos lehet villogni vele, de el kéne fogadni, ez már egy teljesen halott platform. Hagyjuk meg szervergépnek…” Aron1988@PH Fórum

Addig örülj. Mi főleg SQL szervereken vettük észre a változást, egyes helyeken brutális. Van egy eléggé régi szoftverünk, ami sok, meglehetősen komplex lekérdezés eredményét rakja ki webre táblázatos formában. Eddig 2-3 másodperc alatt futott le, most olyan 25-30 másodperc. Soronként jelenik meg a táblázat, mint anno. a pucér nénis GIF a 2400 baudos modemmel...

"Soronként jelenik meg a táblázat, mint anno. a pucér nénis GIF a 2400 baudos modemmel..."
digitális sztriptíz


"I'd rather be hated for who I am, than loved for who I am not."

Én szervert még nem frissítettem. Megvárom előbb, hogy leülepedjen a por, mindenki szopja meg, a Microsoft javítsa ki a kibaszott patcheit, adja ki újra, majd azokat is javítsa ki, aztán ha már nincs rinya, akkor nekiállok frissíteni.

Nem csinálok magamnak azzal plusz munkát, hogy elbaszok mindent, aztán javíthatom az egészet.

--
trey @ gépház

SQL kiszolgálón van értelme ennek a patchnek egyátalán?

Manapság jellemzően nem csak egy service fut egy gépen...

Van valami lista, hogy mely processzorokat érinti ez a dolog?
Vagy egy program ami leteszteli a gépet?
--
Tertilla; Tisztelem a botladozó embert és nem rokonszenvezem a tökéletessel! Hagyd már abba!; DropBox

Jól látom, a q6600 olyan régi, hogy nem érinti?

még az is lehet, de
"Intel may modify this list at a later time"... :)

Jé, akkor az én i5-6400 és Atom x5 procis gépeimet nem is érinti...? (jó, persze, lehet még később hozzáírják)

Lehet, hogy figyelmetlen voltam eddig, de ez meglepett (Ubuntus hír):
"A local attacker could use..."
Ha ez igaz, akkor nagyjából a kitérdekel kategória számomra a meltdown. Egy "local attacker" egyszerűbben is ellophatja a jelszót. Sőt, akár kalapáccsal is szétverheti a gépet, ha olyanja van.

----
"Mert nincs különbség: mindenki vétkezett, és híjával van az Isten dicsőségének. Ezért Isten ingyen igazítja meg őket kegyelméből, miután megváltotta őket a Krisztus Jézus által." (Róma 3.22-24)

nem voltál figyelmetlen, egyszerűen nem érted pl a local attacker fogalmát

Valóban. Rágugliztam. Most már minden világos. Köszi.

----
"Mert nincs különbség: mindenki vétkezett, és híjával van az Isten dicsőségének. Ezért Isten ingyen igazítja meg őket kegyelméből, miután megváltotta őket a Krisztus Jézus által." (Róma 3.22-24)

Korabban elerheto volt egy 20171215 -os microcode update package, ahol le van irv,a hogy mely cpu-k eseten okoz ez valtozast. Az Intel most elerhetove tette a 20180108-as microcode updatet, viszont itt nincs leirva, hogy mely processzorok valtoztatk tenylegesen a packageban. Van valami elerheto changelog? A korabbi ubuntus packageben levo microcodeok a nalam elofordulo i5-4570, i7-5930K, i5-7500, i7-7700K tipusokhoz tartalmaz csak updatet. Viszont sem a i7-2600, se az i7-3770K sem az i5-6500-as gepem nem kerul igy frissitesre.

---
Apple iMac 27"
áéíóöőúüű

Ez megvan, viszont itt nincs kifejezetten leirva, hogy mely processzorok mikrokodjaban tortent valtozas.

---
Apple iMac 27"
áéíóöőúüű

Szerintem az Intel által a jobb oldali hosszú listában felsoroltakban.
Az intel-ucode könyvtárak tartalmát amúgy összehasonlíthatod, de hogy melyik mit takar, azt nem tudom hogy lehetne kideríteni.
--
♙♘♗♖♕♔

Korabban volt arrol szo, hogy csak az utobbi 5 evben eladott CPU-k mikrokodjat javitja. Az ubuntus lista ezt jol beazonosithatoan tartalmazza is. A lista elso eleme (0x000306c3) ez egy negyedik sorozatu Core i CPU (Ez a CPUID #1 -es utasitas EAX valasza, a cpuid -r command irja ki a cpuhoz), az utolso pedig egy 7. generacios CPU. Viszont arrol semmi informaciot nem tartalmaz az Inteles oldal, hogy konkretan melyik CPU mikrokodok valtoztak es a valtozasok kozul melyik tartalmazza a meltdown/spectre javitast. Egyaltalan tenyleg szukseges microcode update a javitashoz?

---
Apple iMac 27"
áéíóöőúüű

Jó kérdés. Ez az inteles oldal tényleg lehetne kicsit informatívabb.
--
♙♘♗♖♕♔

No, lekaptam az inteltol ezt a microcode packaget. Az iucode_tool ki tudja listazni ezeket a microcodeokat: https://pastebin.ubuntu.com/26366071/

A listaban a 'sig' pedig megeggyezik, a "cpuid -r" utasitasnal a "0x00000001"-es valasz sorban levo eax ertekkel. Tehat, nalam egy X5400 sorozatu Xeonos gepen ez 0x0001067a ami alapjan 2010-09-28-as az utolso microcode update. Jol latszik, hogy csak az utolso par esetben frissult a microcode a pakkban.

---
Apple iMac 27"
áéíóöőúüű

Kösz! Ez alapján nálam (T510) 2013-06-28 az utolsó update :(
--
♙♘♗♖♕♔

Ez egybevag azzal a kijelentessel, hogy csak az utobbi 5 ev processzoraihoz lesz update. En, miutan atneztem az osszes hozzaferheto konfigot, ugy lattam, hogy minimum 4. generacios Core i csalad kell ahhoz, hogy legyen ra spectre elleni microcode.

---
Apple iMac 27"
áéíóöőúüű

pláne, hogy eddig azt mondták, microcode-ból nem javítható xd

O igen, ez meg a masik. Holott ugyonakkor olyat is irt mar valaki, valahol (talan itt?), hogy a BIOS update telepitese utan (tehat, valszeg microcode frissites utan) megszunt a lassulas amit eddig tapasztalt. Azabaj, hogy bazi nagy fejetlenseg van, es senki sem tud/akar tudni/mondani konkretumokat.

---
Apple iMac 27"
áéíóöőúüű

Lejjebb adtam egy Microsoft forrást:

https://www.flickr.com/photos/h_u_p/25742569458/

Ott le van írva, hogy mit, hogyan. Van olyan Spectre variáns, amihez KELL a BIOS / microcode _is_. Nem csak az, hanem az is.

--
trey @ gépház

fejlődik ez :)

Nyilvánvaló, hogy minél több processzort akarnak patch-elve látni, hogy birkáék minél előbb vegyenek újat, a lassulás miatt.

vagy bevezetik az intelnél is a pöcskeddet, vagy inkább a pöcsmájus1-et, hogy minél jobban elterjedjen a sebezhetőség híre, és vele egy vagon féreg, meg vírus, hogy aztán jófiúkként új procikat dobhassanak a piacra..

Én egyelőre nem fogok. Ubuntus masinámon ilyen proci ketyeg a /proc/cpuinfo szerint: "Intel(R) Core(TM) i5-6400 CPU @ 2.70GHz"

Ezen csak azt a Python3-as progit teszteltem, amivel épp dolgozok. Ez nagyrészt numpy tömbökkel kavar, úgy összesen kb. 100 MB-nyival egyszerre.

Frissítés előtt (többedik futtatásra, 3 futás átlagából, parancssor, time-mal mérve)
user: 71.281s
sys: 1.599s

Után:
user: 72.253s
sys: 1.396s

User time-ban kb 1.5%-ot vesztettem. Hogy a sys miért lett kevesebb a frissítés után, azt nem tudom.

Mindenesetre ez nem vág földhöz. Persze tudom, hogy nem releváns egy konkrét alkalmazás sebessége, csak gondoltam, színesítem a képet egy kis pöttyel.
(Van valahol gyűjtemény előtt-utána sebességekből?)

Ez valójában arra is szép példa, hogy sokszor mennyire nincsenek kihasználva a cpu képességei egyébként.

--
robyboy

Miért jelenti ez a pár adat, hogy nncsenek kihasználva a cpu képességei? Ez nekem nem jött le.

Hát csak annyi, hogy ha egy HW feature ami eddig használva volt, és azt a célt szolgálta, hogy a CPU gyorsabban hajtsa végre a feladatait letiltásra /kikerülésre szoftveresen/ kerül, és alig jelent ez a gyakorlatban teljesítménybeli eltérést, akkor jogosan merül fel a kérdés, hogy mit is gyorsított a feature valójában?

--
robyboy

Mikrokód frissítés milyen mértékben javítja ezeket a sebezhetőséget? Lehet egyáltalán erről tudni már valamit? Teszem azt valahol nagyon speciális nem frissíthető kernel fut, ott elég csak a mikrokód frissítés is? Vagy ez arról szól, hogy mindenképpen frissíteni kell a mikrokódot és operációs rendszert is?

További részletek közlése nélkül csak általánosságban lehet válaszolni:

https://flic.kr/p/FdMp3s

--
trey @ gépház

Juhuhuhúúú a 4.13-as ubuntu kernel szétkúrja az nVidia 340-es drivert :D :D :D

A gépemben nVidia Geforce 9800GT van. Eddig nVidia binary driver 340.102-es driver volt használatban.

Hiba jelentve: https://bugs.launchpad.net/ubuntu/+source/nvidia-graphics-drivers-340/+bug/1741671

Most nézem xorg-osat, később írom mi történt...

UPDATE1: x-ORG-os nVidia driver működik ...

UPDATE2: Az nVidia 304 legacy driver is befosott a 4.13-as kerneltől :D :D :D :D :D

Hiba jelentve: https://bugs.launchpad.net/ubuntu/+source/nvidia-graphics-drivers-304/+bug/1742837

Működik a proposal driverrel:

Looks like it's already been fixed in xenial-proposed**. As a workaround until the new version appears in the main repos, open a terminal (Ctrl + Alt + T) and type:

# Add xenial-proposed source:
echo "deb http://archive.ubuntu.com/ubuntu/ xenial-proposed restricted main multiverse universe" \
| sudo tee /etc/apt/sources.list.d/xenial-proposed.list
sudo apt update

# Install the updated package:
sudo apt -t xenial-proposed install nvidia-340

# Remove xenial-proposed source:
sudo rm /etc/apt/sources.list.d/xenial-proposed.list
sudo apt update

Az itt (github.com/crozone/SpectrePoC) talalhato PoC furcsa dolgokat produkal. Egy Core 2 Duo T9500 procival szerelt gepen, macOS 10.13.2 alatt rendben mukodik, mig egy szinten Core 2 alapokon epitett Xeon X5470-es gepen, CentOS 7 alatt nem mukodik. Ugyonakkor, ha X5470-en Windows 10 64-bites kiadas alatt elinditok egy masik (github.com/stephanvandekerkhof/cpp-spectre-meltdown-vulnerability-windows-test ) PoC-ot, akkor ez elcrashel, noha a leirasban emlitett SSE2 megvan. Tobb helyen irtak, hogy a Core2Duo nem veszelyes, ezek szerint akkor megis?

---
Apple iMac 27"
áéíóöőúüű