Újabb infók a C2D CPU-k biztonságával kapcsolatban

Intel

Theo de Raadt levelében arra figyelmeztetett, hogy bugosak az Intel Core 2 Duo processzorok. Valaki arra figyelmeztette Theo-t, hogy tavalyi errata oldalakat nézeget. Továbbá, hogy a Theo által említett hibás TLB kezelést - amely kiszámíthatatlan rendszerműködést, fagyást, reboot-ot, stb. okozhat - már áprilisban korrigálta az Intel a microcode frissítésében. Stanislav Sedov ( stas @ FreeBSD . org ) blogjában egy május eleji leírást találhatunk arra, hogy hogyan alkalmazhatjuk a microcode frissítést FreeBSD-n.

Egy korábbi írásomban kitérek arra, hogy Linux alatt hogyan lehet microcode-ot betölteni. Emlékeztetőül:

Ubuntu-n (máshol hasonlóan):

0.) apt-get install microcode.ctl
1.) modprobe microcode
2.) cd /usr/share/misc/
3.) wget http://urbanmyth.org/microcode/ucode/intel-ia32microcode-23April2007.tx…
4.) bunzip2 intel-ia32microcode-23April2007.txt.bz2
5.) mv microcode.dat microcode.orig
6.) mv intel-ia32microcode-23April2007.txt microcode.dat

Teszt: 


root@alderaan:/usr/share/misc# microcode_ctl -u
microcode_ctl: writing microcode (length: 293888)
microcode_ctl: microcode successfuly written to /dev/cpu/microcode

Friss microcode-ért érdemes rendszeresen nézegetni a http://urbanmyth.org/microcode/ oldalt. Egyes disztrók csomagban is szállíthatják.

Stanislav blogbejegyzése a FreeBSD-n microcode frissítésről itt.

( necrolite | 2007. 06. 29., p – 09:53 )

Elolvasva az elozo irasodat akkor ha jol ertem ezt minden bootkor be kell tolteni?

Illetve ha jol ertem akkor ez a BIOS update altal akkor a legkenyelmesebb ha a BIOS betolti minden boot soran...

"Elolvasva az elozo irasodat akkor ha jol ertem ezt minden bootkor be kell tolteni?"

Igen. Amíg az alaplapgyártód nem javítja a BIOS-ban. Utána is használhatod, ártani nem fog. Egy-egy ilyen microcode frissítés ellenben több hibát is javíthat.

"Illetve ha jol ertem akkor ez a BIOS update altal akkor a legkenyelmesebb ha a BIOS betolti minden boot soran..."

A microcode update általában a "gyors fix". Az Intel gyorsan kiadja, és tudod használni addig, amíg a vasad gyártója a BIOS-ban nem implementálja a fixet. Ha tudja. Továbbá ócska gyártóknál - akik nem igen / egyáltalán nem frissítik a BIOS-t - a microcode használata az egyetlen megoldás. Vagy a hw csere. Egyébként nem ritkák az ilyen frissítések. Brand gyártók (HP (rompaq), Dell, IBM, ... ) rendszeresen lekövetik ezeket.

--
trey @ gépház

( sibike | 2007. 06. 29., p – 10:11 )

Valaki arra figyelmeztette Theo-t

Ki az a valaki?

Theo által említett hibás TLB kezelést - amely kiszámíthatatlan rendszerműködést, fagyást, reboot-ot, stb. okozhat - már áprilisban korrigálta az Intel a microcode frissítésében

És ezt honnan tudja? (nincs changelog)

"Ki az a valaki?"

Ott a szálban valaki megjegyezte, hogy az errata-k, amiket linkel 2006-os dátumúak.

"http://www.geek.com/images/geeknews/2006Jan/core_duo_errata__2006_01_21…"

"És ezt honnan tudja? (nincs changelog)"

OS vendorokat értesíti az Intel. A Microsoft is így frissítette a microcode-jait. Mivel a csávó @freebsd.org e-mail címmel rendelkezik, feltételezem, hogy az Intel őket is értesítette. Egyébként a neten több helyen is hivatkoznak a TLB frissítésre. Google a barátod.

--
trey @ gépház

( Z0l v | 2007. 06. 29., p – 10:18 )

Ez a sima core duora nem vonatkozik ugye?

A Core Solo is olyan processzor, mint a Core Duo. Abban is két mag van, de csak az egyik van engedélyezve. Rossz nyelvek szerint az Intel így adta el a "nem annyira sikerült" (ha az egyik mag a gyártás folyamán nem sikerült, de a másik igen) Core Duo processzorokat. Mivel ez is Yonah, csak le van "tiltva" az egyik mag, feltételezem, hogy nem. Persze biztosat nem állíthatok.

--
trey @ gépház

Van mód a másik mag engedélyezésére?
Illetve: azt tudom, hogy a Celeronokban le van tiltva pár funkció (pl.: speedstep), ezek fizikailag benne vannak attól a processzorban? Ha igen, akkor van mód az engedélyezésére?

---------
WARNING: Linux requires you to type! After rebooted to Windows, you can safely unplug your keyboard.
szerény blogom -- új címen!

Az AMD-nek voltak régebben olyan procijai, melyek le voltak butítva, csak a fele cache volt engedélyezve (512 helyett 256k). Volt olyan video (azt hiszem a tomshardware csinálta), amiben bemutatták, hogyan lehet visszakapcsolni a plusz cache-t. És nem volt túl bonyolult, a proci lábai, meg a hátán lévő kivezetései közé kellett valami ezüstfilccel összeköttetéseket csinálni.
Szóval nem kizárt hogy lehet hekkelni intelt is :)

( csortu v | 2007. 06. 29., p – 10:57 )

Elmagyarázzátok az egyszeri laikusnak, hogy ilyen microcode frissítést érdemes/kell e nekem, mint végfelhasználónak csinálni?

Kipróbáltam, ment is probléma nélkül. Akkor most stabilabb lesz a gépem? Vagy gyorsabb? (Igazság szerint eddig is stabilnak és gyorsnak találtam, a puszta kíváncsiság hajt.) Miért lesz nekem jobb, ha frissítem?

Csaba

Számos olyan hibát javíthat a microcode frissítés, amit te a "normális" (hétköznapi) használat közben észre sem veszel, mint felhasználó. Ha fejlesztő vagy akkor debugolás / fejlesztés során nagyobb esélyed van az ilyen probléma felfedezésére. Attól még, hogy neked látszólag minden OK, a felszín alatt lehetnek problémák. Pl. egyszer csak azt veszed észre a gépeden, hogy az "lefagy", vagy egy program rejtélyes módon meghal. Lehet, hogy ez egy évben egyszer, csak bizonyos körülmények együtt teljesülése esetén fordul elő. Az is lehet, hogy amíg direkt nem triggereled, soha.

Viszont ha van olyan probléma, ami előidézhető szándékosan, security probléma és mondjuk triggerelhető user space-ből, akkor abban biztos lehet, hogy malware / vírus / izé írók meg fogják próbálni kihasználni. Ha használsz microcode frissítést és a BIOS-od / OS-ed nincs felkészítve a probléma lekezelésére, akkor hasznos lehet. Egy biztos, a microcode frissítés sok problémát nem szokott okozni. Sok OS úgy alkalmazza a gépeden, hogy nem is tudsz róla.

--
trey @ gépház

( Troppauer | 2007. 06. 29., p – 14:08 )

Maradok az A64-nél és az Opteronnál.

( Replaced | 2007. 06. 29., p – 16:28 )

es az ilyen microcode betoltes elott nem szokas checksumot/digitalis alairast nezni?

--
Those who do not understand Unix are condemned to reinvent it, poorly. (based on true story)

es az ilyen microcode betoltes elott nem szokas checksumot/digitalis alairast nezni?

Nyilván de és meg is történik az ellenőrzés (akármit nem tudsz feltölteni), ráadásul az egész mikrokód titkosított és nem tudni hogyan milyen titkosítással, algoritmussal, kulccsal, etc. ;)

( Troppauer | 2007. 06. 29., p – 16:50 )

Mégiscsak "eredeti" amerikai mérnökökkel kell processzort terveztetni :)
Goj Engineers Rulez

( joco01 v | 2007. 06. 29., p – 16:53 )

nahát, mióta lehet microcode-ot frissíteni intel procin? ez nekem új, de már maga a microcode ténye is, én még azt hittem, minden utasítás drótozva van.

--
joco voltam szevasz

( nagy_peter v | 2007. 06. 29., p – 17:49 )

Engem inkább csak az érdekelne, hogy az ezen dátum után készült procik már egyáltalán nem érintettek?
Pont mostanában fogok Core2 duo-s centrinó procival laptopot venni, aztán kíváncsi vagyok mire számítsak...