Minden, amit a #meltdown / #spectre processzorbugokkal kapcsolatban tudni érdemes #2

Címkék

IBM

Microsoft

Intel

Microcode frissítések érkeztek az Intel-től (HUP cikk: Microcode. WTF?)

Az Intel szerint a következő héten a processzoraik több mint 90%-a megkapja a Meltdown/Spectre patcheket

Egyéb

Meltdown PoC kódok, demók érhetők el szabadon

Hozzászólások

Patchelt BIOS, patchelt kernel. Semmi lassulást sem érzek a napi taszkokban.

--
trey @ gépház

Ha nincs patchelt BIOS, akkor tegyed fel az intel-ucode csomagot, az frissíti a proci mikrokódját.

Végre kiadta az Intel a nyilvánosságnak is a mikrokódokat jan. 8-án (akinek kell, letöltheti az Intel oldaláról, és még Windows alá is fel lehet passzintani, ha valakinek a lapja, gépe már nem támogatott és nem kap új BIOS-t), így végre az Arch vonatkozó csomagja is frissült, igaz csak a testingben, de azért lehúztam. Lassulást én sem tapasztalatok, de lehet nem is vagyok védve, mert i7 2620M procira azt írja a kernel továbbra is, hogy 2013-as mikrokódra frissült, mikor 2017-12-17-einek kéne lennie minimum, ha nem 2018-01-08-ainak:
[ 0.000000] microcode: microcode updated early to revision 0x29, date = 2013-06-12
[ 0.410508] microcode: sig=0x206a7, pf=0x10, revision=0x29
[ 0.410667] microcode: Microcode Update Driver: v2.2.
Még 2017-ben is ezt írta, bár lehet nem jelent semmit, mert ettől még frissülhetett a mikrokód. Az a baj, hogy Spectre és Meltdown testerből nincs megbízható Linux alá, így nem tudok róla meggyőződni, hogy mennyire vagyok védve.

„Pár marék nerd-et leszámítva kutyát se érdekel már 2016-ban a Linux. Persze, a Schönherz koliban biztos lehet villogni vele, de el kéne fogadni, ez már egy teljesen halott platform. Hagyjuk meg szervergépnek…” Aron1988@PH Fórum

Addig örülj. Mi főleg SQL szervereken vettük észre a változást, egyes helyeken brutális. Van egy eléggé régi szoftverünk, ami sok, meglehetősen komplex lekérdezés eredményét rakja ki webre táblázatos formában. Eddig 2-3 másodperc alatt futott le, most olyan 25-30 másodperc. Soronként jelenik meg a táblázat, mint anno. a pucér nénis GIF a 2400 baudos modemmel...

Én szervert még nem frissítettem. Megvárom előbb, hogy leülepedjen a por, mindenki szopja meg, a Microsoft javítsa ki a kibaszott patcheit, adja ki újra, majd azokat is javítsa ki, aztán ha már nincs rinya, akkor nekiállok frissíteni.

Nem csinálok magamnak azzal plusz munkát, hogy elbaszok mindent, aztán javíthatom az egészet.

--
trey @ gépház

Van valami lista, hogy mely processzorokat érinti ez a dolog?
Vagy egy program ami leteszteli a gépet?
--
Tertilla; Tisztelem a botladozó embert és nem rokonszenvezem a tökéletessel! Hagyd már abba!; DropBox

Lehet, hogy figyelmetlen voltam eddig, de ez meglepett (Ubuntus hír):
"A local attacker could use..."
Ha ez igaz, akkor nagyjából a kitérdekel kategória számomra a meltdown. Egy "local attacker" egyszerűbben is ellophatja a jelszót. Sőt, akár kalapáccsal is szétverheti a gépet, ha olyanja van.

----
"Mert nincs különbség: mindenki vétkezett, és híjával van az Isten dicsőségének. Ezért Isten ingyen igazítja meg őket kegyelméből, miután megváltotta őket a Krisztus Jézus által." (Róma 3.22-24)

Korabban elerheto volt egy 20171215 -os microcode update package, ahol le van irv,a hogy mely cpu-k eseten okoz ez valtozast. Az Intel most elerhetove tette a 20180108-as microcode updatet, viszont itt nincs leirva, hogy mely processzorok valtoztatk tenylegesen a packageban. Van valami elerheto changelog? A korabbi ubuntus packageben levo microcodeok a nalam elofordulo i5-4570, i7-5930K, i5-7500, i7-7700K tipusokhoz tartalmaz csak updatet. Viszont sem a i7-2600, se az i7-3770K sem az i5-6500-as gepem nem kerul igy frissitesre.

---
Apple iMac 27"
áéíóöőúüű

Korabban volt arrol szo, hogy csak az utobbi 5 evben eladott CPU-k mikrokodjat javitja. Az ubuntus lista ezt jol beazonosithatoan tartalmazza is. A lista elso eleme (0x000306c3) ez egy negyedik sorozatu Core i CPU (Ez a CPUID #1 -es utasitas EAX valasza, a cpuid -r command irja ki a cpuhoz), az utolso pedig egy 7. generacios CPU. Viszont arrol semmi informaciot nem tartalmaz az Inteles oldal, hogy konkretan melyik CPU mikrokodok valtoztak es a valtozasok kozul melyik tartalmazza a meltdown/spectre javitast. Egyaltalan tenyleg szukseges microcode update a javitashoz?

---
Apple iMac 27"
áéíóöőúüű

No, lekaptam az inteltol ezt a microcode packaget. Az iucode_tool ki tudja listazni ezeket a microcodeokat: https://pastebin.ubuntu.com/26366071/

A listaban a 'sig' pedig megeggyezik, a "cpuid -r" utasitasnal a "0x00000001"-es valasz sorban levo eax ertekkel. Tehat, nalam egy X5400 sorozatu Xeonos gepen ez 0x0001067a ami alapjan 2010-09-28-as az utolso microcode update. Jol latszik, hogy csak az utolso par esetben frissult a microcode a pakkban.

---
Apple iMac 27"
áéíóöőúüű

O igen, ez meg a masik. Holott ugyonakkor olyat is irt mar valaki, valahol (talan itt?), hogy a BIOS update telepitese utan (tehat, valszeg microcode frissites utan) megszunt a lassulas amit eddig tapasztalt. Azabaj, hogy bazi nagy fejetlenseg van, es senki sem tud/akar tudni/mondani konkretumokat.

---
Apple iMac 27"
áéíóöőúüű

Én egyelőre nem fogok. Ubuntus masinámon ilyen proci ketyeg a /proc/cpuinfo szerint: "Intel(R) Core(TM) i5-6400 CPU @ 2.70GHz"

Ezen csak azt a Python3-as progit teszteltem, amivel épp dolgozok. Ez nagyrészt numpy tömbökkel kavar, úgy összesen kb. 100 MB-nyival egyszerre.

Frissítés előtt (többedik futtatásra, 3 futás átlagából, parancssor, time-mal mérve)
user: 71.281s
sys: 1.599s

Után:
user: 72.253s
sys: 1.396s

User time-ban kb 1.5%-ot vesztettem. Hogy a sys miért lett kevesebb a frissítés után, azt nem tudom.

Mindenesetre ez nem vág földhöz. Persze tudom, hogy nem releváns egy konkrét alkalmazás sebessége, csak gondoltam, színesítem a képet egy kis pöttyel.
(Van valahol gyűjtemény előtt-utána sebességekből?)

Hát csak annyi, hogy ha egy HW feature ami eddig használva volt, és azt a célt szolgálta, hogy a CPU gyorsabban hajtsa végre a feladatait letiltásra /kikerülésre szoftveresen/ kerül, és alig jelent ez a gyakorlatban teljesítménybeli eltérést, akkor jogosan merül fel a kérdés, hogy mit is gyorsított a feature valójában?

--
robyboy

Mikrokód frissítés milyen mértékben javítja ezeket a sebezhetőséget? Lehet egyáltalán erről tudni már valamit? Teszem azt valahol nagyon speciális nem frissíthető kernel fut, ott elég csak a mikrokód frissítés is? Vagy ez arról szól, hogy mindenképpen frissíteni kell a mikrokódot és operációs rendszert is?

Juhuhuhúúú a 4.13-as ubuntu kernel szétkúrja az nVidia 340-es drivert :D :D :D

A gépemben nVidia Geforce 9800GT van. Eddig nVidia binary driver 340.102-es driver volt használatban.

Hiba jelentve: https://bugs.launchpad.net/ubuntu/+source/nvidia-graphics-drivers-340/+…

Most nézem xorg-osat, később írom mi történt...

UPDATE1: x-ORG-os nVidia driver működik ...

UPDATE2: Az nVidia 304 legacy driver is befosott a 4.13-as kerneltől :D :D :D :D :D

Hiba jelentve: https://bugs.launchpad.net/ubuntu/+source/nvidia-graphics-drivers-304/+…

Működik a proposal driverrel:

Looks like it's already been fixed in xenial-proposed**. As a workaround until the new version appears in the main repos, open a terminal (Ctrl + Alt + T) and type:

# Add xenial-proposed source:
echo "deb http://archive.ubuntu.com/ubuntu/ xenial-proposed restricted main multiverse universe" \
| sudo tee /etc/apt/sources.list.d/xenial-proposed.list
sudo apt update

# Install the updated package:
sudo apt -t xenial-proposed install nvidia-340

# Remove xenial-proposed source:
sudo rm /etc/apt/sources.list.d/xenial-proposed.list
sudo apt update

Az itt (github.com/crozone/SpectrePoC) talalhato PoC furcsa dolgokat produkal. Egy Core 2 Duo T9500 procival szerelt gepen, macOS 10.13.2 alatt rendben mukodik, mig egy szinten Core 2 alapokon epitett Xeon X5470-es gepen, CentOS 7 alatt nem mukodik. Ugyonakkor, ha X5470-en Windows 10 64-bites kiadas alatt elinditok egy masik (github.com/stephanvandekerkhof/cpp-spectre-meltdown-vulnerability-windows-test ) PoC-ot, akkor ez elcrashel, noha a leirasban emlitett SSE2 megvan. Tobb helyen irtak, hogy a Core2Duo nem veszelyes, ezek szerint akkor megis?

---
Apple iMac 27"
áéíóöőúüű