Xubuntuneuling
Anmeldungsdatum: 13. März 2013
Beiträge: 124
|
Hallo! Hätte eine generelle Frage bzgl. Meltdown und Spectre. Es ist so, dass ich regelmäßig Sicherheitsupdates mache. Ich war mir auch ziemlich sicher, dass dann alles ok ist.
Habe aber durch Zufall entdeckt, dass der Intel-Microcode gar nicht installiert war bei mir (Ist wohl überall so, war ja eine Ubuntu-Standardinstallation). Ist das nun so, dass die ganzen Sicherheitsupdates gar nichts genutzt haben? Wenn ja, was muss ich machen, um nicht verwundbar zu sein?
Intel-Microcode habe ich nun installiert, unter den zusätzlichen Treibern wird aber nichts angezeigt. Danke im Voraus!
|
sebix
Moderator, Webteam
Anmeldungsdatum: 14. April 2009
Beiträge: 5323
|
Xubuntuneuling schrieb: Es ist so, dass ich regelmäßig Sicherheitsupdates mache. Ich war mir auch ziemlich sicher, dass dann alles ok ist.
Habe aber durch Zufall entdeckt, dass der Intel-Microcode gar nicht installiert war bei mir (Ist wohl überall so, war ja eine Ubuntu-Standardinstallation). Ist das nun so, dass die ganzen Sicherheitsupdates gar nichts genutzt haben?
Doch, der Kernel hat dann Schutzmassnahmen mitgebracht. Die sind zwar weniger performant aber genauso effektiv. Wenn ja, was muss ich machen, um nicht verwundbar zu sein?
Weiterhin wie gewohnt Updates installieren Intel-Microcode habe ich nun installiert, unter den zusätzlichen Treibern wird aber nichts angezeigt.
Weil es kein Treiber in dem Sinne ist, den das Betriebssystem laedt. Mit folgenden Kommandos kannst du herausfinden, welche Schutzmassnahme aktiv ist: cat /sys/devices/system/cpu/vulnerabilities/meltdown
cat /sys/devices/system/cpu/vulnerabilities/spectre_v1
cat /sys/devices/system/cpu/vulnerabilities/spectre_v2
|
Xubuntuneuling
(Themenstarter)
Anmeldungsdatum: 13. März 2013
Beiträge: 124
|
Danke! Bin nun beruhigt! Verstehe ich richtig: Wenn der Microcode geladen werden würde, wäre dies effizienter, dann wären die Patches im Kernel teilweise überflüssig und würden nicht zur Anwendung kommen. Wenn kein Microcode geladen wird, übernimmt der Kernel den Schutz und das ganze ist dann aber langsamer. Richtig so?
|
frostschutz
Anmeldungsdatum: 18. November 2010
Beiträge: 7651
|
sebix schrieb: Mit folgenden Kommandos kannst du herausfinden, welche Schutzmassnahme aktiv ist: cat /sys/devices/system/cpu/vulnerabilities/meltdown
cat /sys/devices/system/cpu/vulnerabilities/spectre_v1
cat /sys/devices/system/cpu/vulnerabilities/spectre_v2
Geht auch in einem Befehl und etwas zukunftssicherer, kommen ja immer wieder mal neue Dateien hinzu: $ head /sys/devices/system/cpu/vulnerabilities/*
==> /sys/devices/system/cpu/vulnerabilities/meltdown <==
Vulnerable
==> /sys/devices/system/cpu/vulnerabilities/spec_store_bypass <==
Vulnerable
==> /sys/devices/system/cpu/vulnerabilities/spectre_v1 <==
Mitigation: __user pointer sanitization
==> /sys/devices/system/cpu/vulnerabilities/spectre_v2 <==
Vulnerable Microcode sollte in der ersten Zeile stehen: $ dmesg | head
[ 0.000000] microcode: microcode updated early to revision 0x22, date = 2017-01-27 Natürlich je nach CPU und Microcode Version ein anderer Text aber so in der Richtung eben. Der microcode könnte auch später geladen werden, aber "update early" ist bei einigen CPUs nötig, macht man es später kann dies zu Abstürzen führen.
|
sebix
Moderator, Webteam
Anmeldungsdatum: 14. April 2009
Beiträge: 5323
|
Wenn es BIOS-Updates gibt, ist es sinnvoller, diese einzuspielen, denn dann ist das nachtraegliche Laden des Microcodes in die CPU gar nicht mehr notwendig.
|
floogy
Anmeldungsdatum: 21. Juli 2006
Beiträge: 3288
Wohnort: Koblenz
|
Nur dass man mit einem BIOS update theoretisch das mainboard bricken kann, mit dem nachladen des microcodes durch den kernel allerdings eher nicht.
|
Dogeater
Anmeldungsdatum: 16. Juni 2015
Beiträge: 3381
|
Dafür muss man sich aber schon sehr dumm anstellen und vor einem BIOS-Update generell zu warnen, ist einfach nicht die richtige Praxis.
|
colombo1980
Anmeldungsdatum: 23. September 2008
Beiträge: 1286
|
Naja, aber so wirklich verstanden habe ich es dann ja doch nicht, oder? Ich dachte hier müsste es fixes geben auf Programmebene, zb Firefox, auf Systemebene, zb Linux und auf Hardwareebene, zb Laptop. Da mein Asus Laptop für Asus mittlerweile zum Elektroschrott gehört nach zwei/drei Jahren, bekomme ich hier nichts mehr. Und dass, obwohl Intel auch für meinen i7 der 4ten Generation Updates bereitstellt. Oder ist es am Ende genau dieser Patch s.o., den neuere Laptops per BIOS Update bekommen?
|
ChickenLipsRfun2eat
Anmeldungsdatum: 6. Dezember 2009
Beiträge: 12067
|
Der microcode ist doch genau das, was du brauchst. Vergleiche mal die Ausgaben von frostschutz Befehlen mit und ohne installiertem Microcode.
|
sebix
Moderator, Webteam
Anmeldungsdatum: 14. April 2009
Beiträge: 5323
|
colombo1980 schrieb: Oder ist es am Ende genau dieser Patch s.o., den neuere Laptops per BIOS Update bekommen?
Vereinfach gesagt: Wenn es eine Microcode Updates gibt (die auch vom Kernel zur Laufzeit angewandt werden, wenn kein BIOS Update durchgefuehrt wurde), verwendet der Kernel andere Schutzmassnahmen.
|
colombo1980
Anmeldungsdatum: 23. September 2008
Beiträge: 1286
|
ok, dann weiß ich jetzt Bescheid und bin froh, dass ich hier nicht von Asus abhängig bin. Danke
|