[Állítólag] Kritikus, Spectre/Meltdown-szerű sebezhetőséget fedeztek fel az AMD Ryzen és EPYC processzorokban

AMD

A sebezhetőség(ek)nek már weboldala is van: amdflaws.com

( blackluck v | 2018. 03. 14., sze – 08:07 )

Nekem "fizetett intel hirdetes" szaga van a dolognak.

( nexudes v | 2018. 03. 14., sze – 09:05 )

Ha jól értelmeztem a legtöbbször rendszergazda jogosultság kell.
Csatlakozom szerintem ez megint egy Intel kampány az Intel inside msot nem pálya, hát másképp próbálkoznak.
Nekem elég alap, hogy minden BIOS egyedi jelszóval van védve, legalábbis törekszem erre egyenlőre működik is a dolog.

Már pedig a jövőbe ez lesz a módi, egymás házát gyújtják fel, nem a saját fejlesztésekkel szereznek piacot.

Egyetértek azzal is, hogy jobb is, ha az Intel csöndben marad, a Spectre1-2 ellen sincs még kiadva nyilvánosan az új mikrokód, az oldalukon nem elérhető. A nyilvánosságra hozatal óta már 3. hónapja húzzák, de megyünk át a 4.-be.

„Pár marék nerd-et leszámítva kutyát se érdekel már 2016-ban a Linux. Persze, a Schönherz koliban biztos lehet villogni vele, de el kéne fogadni, ez már egy teljesen halott platform. Hagyjuk meg szervergépnek…” Aron1988@PH Fórum

Igen, most látom, hogy Manjaróhoz és Debianhoz már van ilyen csomag. Archhoz nincs, és az Intel oldalán sincs még kint.

„Pár marék nerd-et leszámítva kutyát se érdekel már 2016-ban a Linux. Persze, a Schönherz koliban biztos lehet villogni vele, de el kéne fogadni, ez már egy teljesen halott platform. Hagyjuk meg szervergépnek…” Aron1988@PH Fórum

Ezzel tönkre is lehet tenni egy processzort, ha rosszul csinálom?
Ahogy egy sikertelen BIOS frissítéssel az alaplapot?
Tudom, ott volt boot block, meg már dual is BIOS van.
Ha kiadom a dd if=microcode.dat of=/dev/cpu/microcode bs=1M parancsot, a letöltött
~5MB-os microcode.dat-al írjam felül a ~10kB-os /dev/cpu/microcode fájlt?
Ami speciális, beolvashatatlan file.
A CONFIG_MICROCODE_OLD_INTERFACE=y a make menuconfigban van, és kernel ujrafordításra utal?
A listában szerepel a CPU-m, pár ezer az értéke, de nincs kedvem cserélni.
Illetve van még egy i processzor, amin lehetne, kellene cserélni.

kösz

Pontosan milyen CPU-d van, és milyen disztró alá tennéd fel? Nem teszi tönkre a processzort, ha rosszul rakod fel, akkor csak a kernel nem tudja betölteni a mikrokódot, így pedig olyan, mintha fel sem tetted volna. A BIOS-t nem érinti, és a CPU-ra sem flashel rá semmit. Annyit elárulok, hogy nem dd-vel kell csinálni a kézi telepítést, inkább helyette a disztród tárolójából tegyed fel az inteles mikrokód csomagot.

Feltelepíteni sem muszáj, az újabb kernelekben van user pointer sanitization Spectre1 ellen, retpoline Spectre2 ellen, így védve vagy mikrokód betöltése nélkül is, elvileg kisebb teljesítményveszteséggel. Én is csak tesztelgetni tettem fel.

„Pár marék nerd-et leszámítva kutyát se érdekel már 2016-ban a Linux. Persze, a Schönherz koliban biztos lehet villogni vele, de el kéne fogadni, ez már egy teljesen halott platform. Hagyjuk meg szervergépnek…” Aron1988@PH Fórum

Úgy tudom, hogy C2D-hoz még nem készült el az új mikrokód, de az Intel ezekhez is ígéri, dolgoznak rajta, nem tudni mikor hozzák ki. Jelenleg csak 2. gen. Core i-khez és újabb procikhoz adták ki. Addig használj új kernelt retpoline-nal, azt talán egyébként is inkább megéri használni, mert épp úgy véd, de nem lassul be a gép tőle annyira, mint a mikrokódos védekezési technikával. Ha majd kijön a mikrokódfrissítés a procidhoz, akkor majd a Debian nonfree tárolójából az intel-microcode csomagot telepítsed, majd utána újraindítod a rendszert, és dmesg | grep microcode segítségével megnézed betöltöte-e bootkor. Igazából már most is felteheted az aktuális mikrokódcsomagot, mert ha a Spectre-ös nem is jött még ki a procidhoz, de valószínű a jelenlegi mikrokódcsomagban is újabb a mikrokód, mint amid a BIOS-od tartalmaz, és abban lehetnek egyéb hibajavítások, ami miatt megéri használni, lassítani nem lassít semmit.

„Pár marék nerd-et leszámítva kutyát se érdekel már 2016-ban a Linux. Persze, a Schönherz koliban biztos lehet villogni vele, de el kéne fogadni, ez már egy teljesen halott platform. Hagyjuk meg szervergépnek…” Aron1988@PH Fórum

Az Intel oldalát nem értem, mikor írtam, még nem volt kint, de a dátum 12-ei.

Pár órára rá, hogy beírtam az előbbi hozzászólásom, megjelent az Arch testing tárolóban is a 20180312-es verziójú intel-ucode csomag, fel is passzintottam. Mintha IPBP mitigációval tényleg érezhetően lassabb lenne, mint retpoline-nal. Azért tesztelgetem egy kicsit, ha sokat gyorsít, letiltom noibpb paraméterrel, elvileg a full generic retpoline-nak elégnek kéne lennie védekezés szempontjából, és azzal nem tapasztaltam lassulást.

„Pár marék nerd-et leszámítva kutyát se érdekel már 2016-ban a Linux. Persze, a Schönherz koliban biztos lehet villogni vele, de el kéne fogadni, ez már egy teljesen halott platform. Hagyjuk meg szervergépnek…” Aron1988@PH Fórum

Bios egyedi jelszó nem véd szerintem ilyenkor. Mellesleg az egészből talán annyi lehet érdekes, hogy a bios valid mivoltát nem ellenőrzi a CPU/semmi(??). Itt jegyezném meg, hogy a korábbi laptopom bios.bin cuccában is matattam leírás alapján, kíváncsiságból, hogy legyen overclock. Na, az Inteltől volt, de azt se validálta semmi.(??)

Nem vagyok egy sec expert, na. De felfogtam, hogy mi a spectre és a meltdown, azt pedig érzem, hogy ez azért nem feltétlen olyan, csak a hype hasonló.

( n0b0dy | 2018. 03. 14., sze – 11:55 )

Ezt a proxycégen keresztüli letámadást valószínűleg a Microsofttól leste el az Intel. Lehet, hogy még licencdíjat is fizetnek érte a Microsoftnak.

( dejo v | 2018. 03. 14., sze – 13:10 )

Jól van, látom a többség egyre gondol.
Amikor megláttam a hírt még hozzászónoklások nélkül, nekem is ez volt az érzésem, hogy könnyebb megrendelni egy kutatást a konkurencia lejáratására, mint a saját hibájukat önkritikával kezelni!

--
Tertilla; Tisztelem a botladozó embert és nem rokonszenvezem a tökéletessel! Hagyd már abba!; DropBox

( jantyik | 2018. 03. 14., sze – 22:16 )

Oszt póló van-e már ezekből? Nem látom a shopra a linket.

( Jason v | 2018. 03. 16., p – 11:36 )

Felmerült bennem az interjú után, hogy a "pár nerd összeáll security céget gründolni" kft-nek honnan van 14k USD-je egy tökre felesleges ellenőrzésre, ha rendes sajtósra sincs?