Hier auch: U-Mate 17.10, Kernel 4.13.0-37 und U-Mate 18.04, Kernel 4.15.0-13 > beide mit Intel Celeron N2840 keine Auffälligkeiten, keine Probleme, alles läuft stabil.
Sicherheitslücke in Prozessoren, was wird Ubuntu tun?
Anmeldungsdatum: Beiträge: 115 Wohnort: Börde |
|
Anmeldungsdatum: Beiträge: 184 |
Seltsam! Ich habe den Microcode auf den Rechner meiner Freundin per "apt-get" installiert, aber scheinbar wird er nicht geladen. OS: Lubuntu 17.10 - CPU: Intel Celeron N2940 $ apt policy intel-microcode intel-microcode: Installiert: 3.20180312.0~ubuntu17.10.1 Installationskandidat: 3.20180312.0~ubuntu17.10.1 Versionstabelle: *** 3.20180312.0~ubuntu17.10.1 500 500 http://de.archive.ubuntu.com/ubuntu artful-updates/main amd64 Packages 500 http://de.archive.ubuntu.com/ubuntu artful-security/main amd64 Packages 100 /var/lib/dpkg/status 3.20170707.1 500 500 http://de.archive.ubuntu.com/ubuntu artful/restricted amd64 Packages ... $ dmesg | grep microcode [ 1.720870] microcode: sig=0x30678, pf=0x8, revision=0x829 [ 1.721622] microcode: Microcode Update Driver: v2.2. Laut Microcode Revision Guidance, March 6 2018 (Seite 15) (https://newsroom.intel.com/wp-content/uploads/sites/11/2018/03/microcode-update-guidance.pdf) müsste dieser Prozessor doch jetzt auch supportet werden. Hat hier jemand vielleicht eine Idee? Grüße, Floridaboy |
Anmeldungsdatum: Beiträge: 3288 Wohnort: Koblenz |
Welchen Kernel nutzt Du? Vielleicht wird der microcode nicht geladen. Sollte revision=0x836 sein. |
Anmeldungsdatum: Beiträge: 184 |
Danke schon mal für den Hinweis! Komme erst am Wochenende wieder an den Rechner. Melde mich dann. Viele Grüße, Floridaboy |
Anmeldungsdatum: Beiträge: 184 |
Hier die Kernelversion: ~$ uname -r 4.13.0-38-generic Ich gehe davon aus, dass ich irgendwie von revision=0x829 auf revision=0x836 upgraden muss?! Ich weiß aber nicht wie. Oder ist die Revisionsnummer vergleichbar mit einer Modellnummer? Also ein N2940 mit rev.=0x829 ist älter, als der gleiche Prozessortyp mit rev.=0x836? Also Hardware bedingte Unterschiede?! Ich habe echt keine Ahnung mehr, was ich noch tun kann... ☹ |
Anmeldungsdatum: Beiträge: 3381 |
Du brauchst doch garnichts tun, da du erst ab der Celeron N3xxx-Serie zugreifen müsstest. https://newsroom.intel.com/wp-content/uploads/sites/11/2018/03/microcode-update-guidance.pdf Ach, es es gibt ja doch zwei Modelle, wo man drüber nachdenken könnte. Aber deiner ist nicht mit dabei. |
Anmeldungsdatum: Beiträge: 184 |
Ich habe gerade mal den spectre-meltdown-checker.sh laufen lassen. Folgende Ausgabe ist zu lesen (in etwas gekürzter Form): CVE-2017-5753 [bounds check bypass] aka 'Spectre Variant 1' * Mitigated according to the /sys interface: YES (Mitigation: OSB (observable speculation barrier, Intel v6)) * Kernel has array_index_mask_nospec (x86): NO * Kernel has the Red Hat/Ubuntu patch: YES * Kernel has mask_nospec64 (arm): NO > STATUS: NOT VULNERABLE (Mitigation: OSB (observable speculation barrier, Intel v6)) CVE-2017-5715 [branch target injection] aka 'Spectre Variant 2' * Mitigated according to the /sys interface: YES (Mitigation: Full generic retpoline) * Mitigation 1 * Kernel is compiled with IBRS support: YES * IBRS enabled and active: NO * Kernel is compiled with IBPB support: YES * IBPB enabled and active: NO * Mitigation 2 * Kernel has branch predictor hardening (arm): NO * Kernel compiled with retpoline option: YES * Kernel compiled with a retpoline-aware compiler: YES (kernel reports full retpoline compilation) > STATUS: VULNERABLE (IBRS+IBPB or retpoline+IBPB is needed to mitigate the vulnerability) (...) CVE-2017-5754 [rogue data cache load] aka 'Meltdown' aka 'Variant 3' * Mitigated according to the /sys interface: YES (Mitigation: PTI) * Kernel supports Page Table Isolation (PTI): YES * PTI enabled and active: YES * Reduced performance impact of PTI: NO (PCID/INVPCID not supported, performance impact of PTI will be significant) * Running as a Xen PV DomU: NO > STATUS: NOT VULNERABLE (Mitigation: PTI) Es sieht so aus, als wäre der Rechner nur noch über Spectre 2 angreifbar. So wie ich das im I-Net gelesen habe, wird das entsprechende Patch dann mit dem Kernel 4.14 mitgeliefert. Also mit Ubuntu 18.04. Ich warte mal ab... Viele Grüße, Floridaboy |
Anmeldungsdatum: Beiträge: 184 |
Upgrade auf 18.04 hat leider nix gebracht: Aktuell: uname -r 4.15.0-20-generic spectre-meltdown-checker.sh: (...) CVE-2017-5715 [branch target injection] aka 'Spectre Variant 2' * Mitigated according to the /sys interface: YES (Mitigation: Full generic retpoline) * Mitigation 1 * Kernel is compiled with IBRS support: YES * IBRS enabled and active: UNKNOWN * Kernel is compiled with IBPB support: YES * IBPB enabled and active: NO * Mitigation 2 * Kernel has branch predictor hardening (arm): NO * Kernel compiled with retpoline option: YES * Kernel compiled with a retpoline-aware compiler: YES (kernel reports full retpoline compilation) > STATUS: VULNERABLE (IBRS+IBPB or retpoline+IBPB is needed to mitigate the vulnerability) > How to fix: To mitigate this vulnerability, you need either IBRS + IBPB, both requiring hardware support from your CPU microcode in addition to kernel support, or a kernel compiled with retpoline and IBPB, with retpoline requiring a retpoline-aware compiler (re-run this script with -v to know if your version of gcc is retpoline-aware) and IBPB requiring hardware support from your CPU microcode. The retpoline + IBPB approach is generally preferred as the performance impact is lower. More information about how to enable the missing bits for those two possible mitigations on your system follow. You only need to take one of the two approaches. (...) Ein Versuch (z.B.) IBRS einzuschalten: # echo 2 > /proc/sys/kernel/ibrs_enable bash: /proc/sys/kernel/ibrs_enable: Datei oder Verzeichnis nicht gefunden ... Und auch hier keine Veränderung: dmesg | grep microcode [ 1.819295] microcode: sig=0x30678, pf=0x8, revision=0x829 [ 1.819641] microcode: Microcode Update Driver: v2.2. Mir fällt jetzt wirklich nichts mehr ein, was ich noch tun könnte... ☹ |
Anmeldungsdatum: Beiträge: 3425 |
Wenn Intel für den Intel Celeron N2940 kein Update heraus gibt, mit dem es IBRS und IBPB als Befehlserweiterung in der CPU nachrüstet, dann kannst Du da gar nichts tun. Außer neue Hardware kaufen. Aber will man das zu diesem Zeitpunkt wirklich? Es wird wohl noch Jahre dauern, bis die konzeptionelle Sicherheitsschwäche der Out-of-Order CPU Architektur wirklich behoben wurde. Noch frecher verhält sich Intel übrigens zu den Käufern der dicken Yorkfield 4-Kernern, da kostete schon die CPU alleine 339.00 Dollar, aber Intel hat entschieden, das es nicht mal die notdürtigen Flicken, also die IBRS und IBPB als Befehlserweiterung für die CPU gegen die Sicherheitslücke heraus geben will. Aber Softwareseitig: die Linux Entwickler, die Compiler Entwickler und auch die Firefox Entwickler tun was sie können, um die konzeptionelle Sicherheitsschwäche aller Out-of-Order CPUs so gut es geht abzumildern. Da darf man sich bei der Desktop Nutzung wohl auf Ubuntu ganz gut aufgehoben fühlen. |
Anmeldungsdatum: Beiträge: 184 |
Okay, danke für die Antwort! Jetzt weiß ich wenigstens, dass es am Microcode liegt, den es für diesen Prozessor scheinbar gar nicht gibt. Der Codename steht zwar im "Microcode Revision Guidance" aber dessen Revision wird nicht aufgeführt und demnach nicht unterstützt. Das hat mich halt u.a. verwirrt. Und neue Hardware kaufen werde ich mir deswegen nicht. Hätte Intel wohl gerne. Die ganzen Prozessoren sind ja derzeit sowieso noch Meltdown und Spectre verbuggt. Erst mal warten, bis sich bei denen etwas Hardwareseitig getan hat
Ja, dass ist schon der Hammer, den sich Intel da erlaubt!!!
Das gibt Hoffnung! Danke nochmals und viele Grüße, Floridaboy |
Anmeldungsdatum: Beiträge: 184 |
So, habe jetzt Lubuntu 18.04 komplett neu aufgesetzt und habe noch mal den spectre-meltdown-checker drüber laufen lassen: (...) CVE-2017-5715 [branch target injection] aka 'Spectre Variant 2' * Mitigated according to the /sys interface: YES (Mitigation: Full generic retpoline) * Mitigation 1 * Kernel is compiled with IBRS support: YES * IBRS enabled and active: UNKNOWN * Kernel is compiled with IBPB support: YES * IBPB enabled and active: NO * Mitigation 2 * Kernel has branch predictor hardening (arm): NO * Kernel compiled with retpoline option: YES * Kernel compiled with a retpoline-aware compiler: YES (kernel reports full retpoline compilation) > STATUS: NOT VULNERABLE (Full retpoline is mitigating the vulnerability) IBPB is considered as a good addition to retpoline for Variant 2 mitigation, but your CPU microcode doesn't support it (...) Das sieht doch ganz gut aus! ☺ Schönes WE, Floridaboy |
Anmeldungsdatum: Beiträge: 3381 |
Neuigkeiten für Altmetallbesitzer: Ihr bekommt keine Microcode-Updates! https://www.pcwelt.de/a/intel-diese-prozessoren-bekommen-keine-microcode-updates,3450321 |