So, erstes Fazit zu den Server welche diese Plattform hier betreiben: Die Auswirkungen der aktuellen Kernel Patches sind bestenfalls akademischer Natur, und haben für den Produktiven Betrieb keine negativen Folgen.
mfg Stefan
Ehemaliger
Anmeldungsdatum: Beiträge: 17449 |
So, erstes Fazit zu den Server welche diese Plattform hier betreiben: Die Auswirkungen der aktuellen Kernel Patches sind bestenfalls akademischer Natur, und haben für den Produktiven Betrieb keine negativen Folgen. mfg Stefan |
||||||
Anmeldungsdatum: Beiträge: 184 |
Bin gerade am Rechner von meiner Freundin. Habe ein Update/Distupgrade gemacht und den Microcode installiert. Ausgabe: :~$ dmesg | grep microcode [ 1.701346] microcode: sig=0x30678, pf=0x8, revision=0x829 [ 1.702291] microcode: Microcode Update Driver: v2.2. Keine Angabe eines Datums!!! Habe schon rebootet, etc. Bin jetzt etwas ideenlos, wie ich jetzt erfahren kann, ob der Microcode aktuell ist oder nicht... CPU: *-cpu Beschreibung: CPU Produkt: Intel(R) Celeron(R) CPU N2940 @ 1.83GHz Hersteller: Intel Corp. Physische ID: 4 Bus-Informationen: cpu@0 Version: Intel(R) Celeron(R) CPU N2940 @ 1.83GHz Steckplatz: CPU 1 Größe: 1028MHz Kapazität: 2249MHz Breite: 64 bits Takt: 83MHz Fähigkeiten: x86-64 fpu fpu_exception wp vme de pse tsc msr pae mce cx8 apic sep mtrr pge mca cmov pat pse36 clflush dts acpi mmx fxsr sse sse2 ss ht tm pbe syscall nx rdtscp constant_tsc arch_perfmon pebs bts rep_good nopl xtopology tsc_reliable nonstop_tsc cpuid aperfmperf tsc_known_freq pni pclmulqdq dtes64 monitor ds_cpl vmx est tm2 ssse3 cx16 xtpr pdcm sse4_1 sse4_2 movbe popcnt tsc_deadline_timer rdrand lahf_lm 3dnowprefetch epb pti tpr_shadow vnmi flexpriority ept vpid tsc_adjust smep erms dtherm ida arat cpufreq Konfiguration: cores=4 enabledcores=4 threads=1 Kernel: :~$ cat /proc/version_signature Ubuntu 4.13.0-25.29-generic 4.13.13 Weiss da vielleicht jemand weiter? |
||||||
Anmeldungsdatum: Beiträge: 8989 |
ich hatte das Thema hier im Thread selber vor ein paar Tagen - les mal ab hier, vielleicht hilft dir das weiter. ☺ |
||||||
Anmeldungsdatum: Beiträge: 184 |
Danke! Habe mich bereits gestern noch mal durch den ganzen Thread geackert. Das einzige was ich noch im I-Net gefunden habe, bezüglich fehlendem Datums war hier: https://wiki.gentoo.org/wiki/Intel_microcode#Verification
Also wie ich das Verstehe: Entweder ist der Microcode aktuell oder er läd nicht richtig?!?! Grüße, Floridaboy |
||||||
Anmeldungsdatum: Beiträge: 1967 |
Weitere Info grep . /sys/devices/system/cpu/vulnerabilities/* /sys/devices/system/cpu/vulnerabilities/meltdown:Mitigation: PTI /sys/devices/system/cpu/vulnerabilities/spectre_v1:Vulnerable /sys/devices/system/cpu/vulnerabilities/spectre_v2:Mitigation: Full generic retpoline So sieht es mit dem neuen 4.14er aus. Schau mal hier |
||||||
Anmeldungsdatum: Beiträge: 3288 Wohnort: Koblenz |
@Floridaboy Mir scheint, die CPU ist zwar als zu patchen gelistet, aber der microcode wurde trotzdem noch nicht gegen Spectre erweitert: Welche ID hat die CPU? cpuid | grep "processor serial number" | head -n1 dpkg -l intel-microcode | grep ^ii iucode_tool -S -l /lib/firmware/intel-ucode/ Laut dieser Seite weist die CPU die ID 30678 (SR1YV) auf. Sehe gerade, dass sich das mit der Ausgabe dmesg | grep microcode deckt. Hier sieht man, dass das neueste Paket intel-microcode noch keinen patch gegen spectre v2 für die CPU Intel(R) Celeron(R) CPU N2940 @ 1.83GHz enthält. ~$ dpkg -l intel-microcode | grep ^ii ; dpkg -L intel-microcode | grep changelog.Debian.gz ii intel-microcode 3.20180108.0~ubuntu16.04.2 amd64 Processor microcode firmware for Intel CPUs /usr/share/doc/intel-microcode/changelog.Debian.gz ~$ zcat /usr/share/doc/intel-microcode/changelog.Debian.gz |egrep --color -i '30678|SR1YV' |
||||||
Anmeldungsdatum: Beiträge: 184 |
Danke für eure Antworten! Ich bin erst wieder nächstes Wochenende bei meiner Freundin, um an ihrem Rechner das alles zu überprüfen. Werde mich dann umgehend hier melden. Vorausgesetzt, bis dahin zeigt mein eigener PC keine Auffälligkeiten... Viele Grüße, Floridaboy |
||||||
Anmeldungsdatum: Beiträge: 3288 Wohnort: Koblenz |
Sehe gerade, dass Frieder108 das schon richtig verlinkt hat.
https://forum.ubuntuusers.de/topic/sicherheitsluecke-in-prozessoren-was-wird-ubun/15/#post-8925968 Für meine CPU gibt es den Patch auch noch nicht. Also Geduld. Die große Liste von Intel zeigt wohl nur, was sie sich alles vorgenommen haben zu patchen. |
||||||
Anmeldungsdatum: Beiträge: 184 |
Meinst du diese Liste? https://downloadcenter.intel.com/download/27431/Linux-Processor-Microcode-Data-File Das wäre interessant, da dort auch mein Prozessor gelistet ist, der im 3. Quartal 2012 heraus kam. Also schon über fünf Jahre alt ist... |
||||||
Anmeldungsdatum: Beiträge: 3288 Wohnort: Koblenz |
Ich bin mir nun unsicher, da diese Datei ja auch alle anderen microcodes für Intel CPUs liefert. Hier ist eine Liste mit betroffenen Intel Systemen. In der Presse wurde die von Dir genannte Liste teilweise fälschlich als Liste für betroffene CPUs interpretiert, für die Intel nun die mitigations für spectre v1, v2 und meltdown v3 am 8. Januar 2018 auslieferte. In der Datei befindet sich aber ein changelog mit nur wenigen CPUs, die aktuellen Code vom 4. Januar enthalten.
Firmware Updates and Initial Performance Data for Data Center Systems | Intel | By Navin Shenoy Hier mal eine Gegenüberstellung und Zuordnung der changelogs Intels und ubuntus zu dem intel-microcode (intel-microcode (3.20180108.0~ubuntu16.04.2) xenial-security; urgency=medium) https://bpaste.net/show/cff4910562f7
Da scheinen aber auch viele sehr viel ältere microcode revisionen z.B. aus November und Dezember dabei zu sein. Ich weiß nicht, ob diese dann schon microcode gegen Spectre und Meltdown enthalten. microcode revision vom 4. Januar 2018 CoffeeLake
KabyLake
|
||||||
Anmeldungsdatum: Beiträge: 3288 Wohnort: Koblenz |
Gerade kam ein neues intel-microcode update hinein:
Es sieht so aus, als sei der microcode für CoffeeLake nun wieder entfernt wurde:
https://bugs.launchpad.net/ubuntu/+source/intel-microcode/+bug/1742933 |
||||||
Anmeldungsdatum: Beiträge: 131 |
Nicht nur für die, für meinen Skylake auch. dmesg | grep microcode [ 0.000000] microcode: CPU0 microcode updated early to revision 0xba, date = 2017-04-09 [ 0.085538] microcode: CPU1 microcode updated early to revision 0xba, date = 2017-04-09 [ 0.722964] microcode: CPU0 sig=0x506e3, pf=0x2, revision=0xba [ 0.722975] microcode: CPU1 sig=0x506e3, pf=0x2, revision=0xba [ 0.722993] microcode: CPU2 sig=0x506e3, pf=0x2, revision=0xba [ 0.723012] microcode: CPU3 sig=0x506e3, pf=0x2, revision=0xba [ 0.723056] microcode: Microcode Update Driver: v2.01 <tigran@aivazian.fsnet.co.uk>, Peter Oruba Finde ich gar nicht lustig. |
||||||
Anmeldungsdatum: Beiträge: 3288 Wohnort: Koblenz |
Komisch, die firmware ist bei mir noch da (/lib/firmware/intel-ucode/06-5e-03) und die revision ist mit c2 angegeben, das kommt allerdings aus dem letzten changelog mit einem aktuellem dpkg -L abgeglichen.
Was sagt denn bei Dir
EDIT: scheint aber zu stimmen, denn die Ausgabe 0xba passt zu ba->c2 Das bedeutet, dass nur die ganz neuen, gänzlich entfernt wurden, und weitere, die den code enthielten zurückgerollt wurden. Welche das sind weiß ich nicht. Vielleicht hat jemand alle md5 parat, der das update noch nicht eingespielt hat, dann könnte man das anhand der md5-Summe vergleichen. Das würde aber immer noch nicht unbedingt bedeuten, dass auch alle die spectre mitigation enthielten, oder? ... Das ist doof, wenn Du gar nicht von dem reboot-Problem betroffen warst. Intel Security Issue Update: Addressing Reboot Issues | Intel | By Navin Shenoy | January 11, 2018 |
||||||
Anmeldungsdatum: Beiträge: 131 |
$ iucode_tool -S -l /lib/firmware/intel-ucode/ iucode_tool: system has processor(s) with signature 0x000506e3 selected microcodes: 001: sig 0x000506e3, pf mask 0x36, 2017-04-09, rev 0x00ba, size 98304
Nö, war ich nicht. Der Rechner lief tadellos. Habe ich die Chance das zurückzustellen, indem ich das aktuelle Paket entferne und mir das vorige wiederhole? Das scheint noch vorhanden zu sein, wenn ich das hier richtig verstehe. $ apt list -a "intel-microcode" Auflistung... Fertig intel-microcode/xenial-security,now 3.20180108.0+really20170707ubuntu16.04.1 amd64 [installiert] intel-microcode/xenial-updates 3.20180108.0~ubuntu16.04.2 amd64 intel-microcode/xenial 3.20151106.1 amd64 Ich müsste es doch also herunterladen und installieren können. |
||||||
Anmeldungsdatum: Beiträge: 3288 Wohnort: Koblenz |
Ja, sollte gehen How to downgrade a package via apt-get?, oder mit pinning https://wiki.ubuntuusers.de/Apt-Pinning/ |