Sobre "Meltdown and Spectre"

Luciernaga · Posted: Tue Mar 13, 2018 8:37 pm Post subject: Sobre "Meltdown and Spectre"

Hola qué tal, de nuevo con problemas ... :oops:

Tal vez lo que voy a exponerles sea un poco/mucho genérico y no tengamos solución.
Desde la segunda quincena de enero hasta la fecha estoy teniendo problemas con Gentoo.
Veamos si los datos que expongo pueden ser resueltos ???
Con instalaciones de Gentoo SIN SYSTEMD no hay problema alguno.
Ahora bien, tampoco he logrado instalar un escritorio Gnome SIN SYSTEMD.
En este momento acabo de ejecutar un programa (spectre-meltdown-checker.sh) en mi servidor Tyan y la información devuelta es la siguiente:
Spectre and Meltdown mitigation detection tool v0.35

Checking for vulnerabilities on current system
Kernel is [35mLinux 4.9.76-gentoo-r1 #1 SMP Tue Mar 13 16:53:30 CET 2018 x86_64[0m
CPU is [35mSix-Core AMD Opteron(tm) Processor 2435[0m

[1;34mHardware check[0m
* Hardware support (CPU microcode) for mitigation techniques
* Indirect Branch Restricted Speculation (IBRS)
* SPEC_CTRL MSR is available: [41m[30m NO [0m
* CPU indicates IBRS capability: [41m[30m NO [0m
* Indirect Branch Prediction Barrier (IBPB)
* PRED_CMD MSR is available: [41m[30m NO [0m
* CPU indicates IBPB capability: [41m[30m NO [0m
* Single Thread Indirect Branch Predictors (STIBP)
* SPEC_CTRL MSR is available: [41m[30m NO [0m
* CPU indicates STIBP capability: [41m[30m NO [0m
* Enhanced IBRS (IBRS_ALL)
* CPU indicates ARCH_CAPABILITIES MSR availability: [41m[30m NO [0m
* ARCH_CAPABILITIES MSR advertises IBRS_ALL capability: [41m[30m NO [0m
* CPU explicitly indicates not being vulnerable to Meltdown (RDCL_NO): [44m[30m NO [0m
* CPU microcode is known to cause stability problems: [44m[30m NO [0m
* CPU vulnerability to the three speculative execution attacks variants
* Vulnerable to Variant 1: [41m[30m YES [0m
* Vulnerable to Variant 2: [41m[30m YES [0m
* Vulnerable to Variant 3: [42m[30m NO [0m

[1;34mCVE-2017-5753 [bounds check bypass] aka 'Spectre Variant 1'[0m
* Kernel has array_index_mask_nospec: [41m[30m NO [0m
* Kernel has the Red Hat/Ubuntu patch: [41m[30m NO [0m
* Checking count of LFENCE instructions following a jump in kernel... [41m[30m NO [0m (only 3 jump-then-lfence instructions found, should be >= 30 (heuristic))
> [46m[30mSTATUS:[0m [41m[30m VULNERABLE [0m (Kernel source needs to be patched to mitigate the vulnerability)

[1;34mCVE-2017-5715 [branch target injection] aka 'Spectre Variant 2'[0m
* Mitigation 1
* Kernel is compiled with IBRS/IBPB support: [41m[30m NO [0m
* Currently enabled features
* IBRS enabled for Kernel space: [41m[30m NO [0m
* IBRS enabled for User space: [41m[30m NO [0m
* IBPB enabled: [41m[30m NO [0m
* Mitigation 2
* Kernel compiled with retpoline option: [41m[30m NO [0m
* Kernel compiled with a retpoline-aware compiler: [41m[30m NO [0m
> [46m[30mSTATUS:[0m [41m[30m VULNERABLE [0m (IBRS hardware + kernel support OR kernel with retpoline are needed to mitigate the vulnerability)

[1;34mCVE-2017-5754 [rogue data cache load] aka 'Meltdown' aka 'Variant 3'[0m
* Kernel supports Page Table Isolation (PTI): [42m[30m YES [0m
* PTI enabled and active: [41m[30m NO [0m
* Running as a Xen PV DomU: [42m[30m NO [0m
> [46m[30mSTATUS:[0m [42m[30m NOT VULNERABLE [0m (your CPU vendor reported your CPU model as not vulnerable)

A false sense of security is worse than no security at all, see --disclaimer

¿Qué me pueden decir al respecto?
¿Existe alguna solución o tengo que dar por perdida esta máquina?
Cualquier comentario será bienvenido, gracias por su atención ...

_________________
Soy como una diminuta luciérnaga, perdido en la inmensa oscuridad del universo.

pcmaster · Posted: Fri Mar 16, 2018 3:46 pm Post subject:

¿Qué procesador tiene esa máquina?

¿Puedes ponernos el enlace al script que comprueba las vulnerabilidades?

¿Tienes actualizado el microcódigo del procesador a la última versión?
_________________
pcmaster

Luciernaga · Posted: Fri Mar 16, 2018 4:54 pm Post subject:

Hola 'pcmaster'.

quilosaq · Veteran Joined: 22 Dec 2009 Posts: 1522

Luciernaga · Posted: Thu Apr 05, 2018 12:59 pm Post subject:

pcmaster · Posted: Thu Apr 05, 2018 5:29 pm Post subject:

Puedes instalarlo desde Portage:

https://packages.gentoo.org/packages/sys-firmware/intel-microcode

y configurarlo según explica el wiki: https://wiki.gentoo.org/wiki/Microcode

https://wiki.gentoo.org/wiki/Intel_microcode
_________________
pcmaster

Luciernaga · Posted: Fri Apr 06, 2018 3:30 pm Post subject:

OZÚÚÚ ... en mis preguntas y respuestas he tenido un lapsus que debo aclarar, no tanto en la cuestión de fondo pero si en el contenido, veamos:
La cuestión de fondo:
Desde principios de este año estoy teniendo problemas con instalar Gentoo en mis equipos informáticos (solo con Gentoo) ningún problema con otras distros Linux. Mis equipos son distintos en comparación (unos con otros) con el material que incorporan aunque son COMPATIBLES entre si mismos con el software en general. Específicamente son los siguientes:
1 - Servidor Tyan S8212 (8 años) con 2 CPU's AMD Opteron 2435 y 16GB de memoria DDR2, gráfica nVidia GT740, BIOS normal.
2 - Servidor WorkStation Z10PE-D16-WS (2 años) con 2 CPU's Intel Xeon E5-2630 v3 y 64GB de memoria DDR4, gráfica nVidia GTX760, BIOS UEFI última versión actualizada.
3 - Cliente Sabertooth 990FX R2.0 (2 años) con 1 CPU AMD FX 8370 y 16GB de memoria DDR3, gráfica nVidia GT9600, BIOS UEFI.
4 - Cliente MSI B350 Tomahawk (1 año) con 1 CPU AMD Ryzen 7 1800X y 16GB de memoria DDR4, gráfica ATI Asus Radeon 7 250X, BIOS UEFI actualizada automáticamente.
5 - Cliente VAIO Sony VGN-SR21M con 1 CPU Intel CoreDuo P8400 y 4GB de memoria DDR2, gráfica Radeon HD 3450/3470, BIOS portátil.
En mi último mensaje di la respuesta del servidor WorkStation :oops:

en vez de la que se solicitaba del servidor Tyan, dado que los problemas con la instalación de Gentoo en cualquiera de mis equipos daban (y siguen dando) resultados distintos, probablemente, por una mala y/o deficiente configuración del núcleo para afrontar los problemas derivados del microcódigo de las CPU's resulta que, y ahora me estoy dando cuenta de ello, que absolutamente nada se comenta de ello en el manual y hay que ir descubriendo a medida de improvisación con los buenos consejos de amigos en este foro.
El contenido
Alguien dijo que cada máquina es un mundo y su comportamiento con el resto puede tener efectos diferentes, por tanto, cada una en particular merece su atención específica. En este momento (al parecer) tengo resueltas las instalaciones de Gentoo en el servidor principal WorkStation y en el cliente Sabertooth, me queda el resto que voy intentándolo poco a poco, especialmente en la Ryzen que me da unos problemas absurdos, tales como que al emitir la orden revdep-rebuild.sh entra en un bucle de reconstruir absolutamente todo el sistema completo.

Doy las gracias a pcmaster por sus consejos y por abrirme la luz para lograr y entender la configuración del microcódigo de las CPU's que buena falta hace, un cordial saludo a todos.
_________________
Soy como una diminuta luciérnaga, perdido en la inmensa oscuridad del universo.

Luciernaga · Posted: Tue Apr 17, 2018 5:17 pm Post subject:

Vamos a ver, tengo la extraña sensación de vivir en un KAOS con la configuración y compilación del microcódigo en la máquina servidor WorkStation Z10PE-D16-WS con dos CPU's Intel Xeon E5-2630 v3 ..... :oops:

No así con las máquinas AMD que funcionan correctamente y cargan el microcódigo correspondiente al efecto.
A trancas y barrancas he llegado a instalar el sistema completamente (con un escritorio GNOME) pero es inestable, al arrancar muestra errores en la consola y no presenta el indicador de sistema, obliga a pulsar Intro para mostrarlo y poder registrar el superusuario y/o usuario.
http://www.imagebam.com/image/288452825347853
Ahora bien, para poder incluir la referencia correspondiente en esta línea del kernel ... :cry:

http://www.imagebam.com/image/90ac12825352633
... no encuentro la lectura del nombre del archivo del código y/o los resultados de búsqueda no me lo proporcionan .... :cry:

http://www.imagebam.com/image/8ee9e9825355103
http://www.imagebam.com/image/10086a825359233
Esta imagen muestra el resultado de la herramienta iucode que da 0x000306f2
En la carpeta /lib/firmware/intel-ucode/* presenta una serie de ficheros que, seguro, uno de ellos es el necesitado.
http://www.imagebam.com/image/0c1ec7825360163
Y ahora la pregunta del millón .... ¿cómo descifrar la respuesta que da la herramienta iucode con el contenido de la carpeta intel-ucode?
o dicho de otra forma ¿cómo saber qué fichero de microcódigo es el apropiado para mis dos CPU's?
Es evidente que no se carga automáticamente y en las pruebas y búsquedas realizadas no logro estabilizar el sistema.

Gracias por vuestra ayuda, saludetes

PostData: Qué tanto de verdad hay en esa nota de la wiki.

quilosaq · Veteran Joined: 22 Dec 2009 Posts: 1522

Luciernaga · Posted: Wed Apr 18, 2018 2:46 pm Post subject:

Muchas gracias por la ayuda, quilosaq, visto y oído al parche ... lo ví y no supe descifrarlo.
Después de recompilar el núcleo y reiniciar el equipo "continúa" inestable.

Cómo es que en esta información ...
http://www.imagebam.com/image/10086a825359233
... presenta dos códigos diferentes (54 y 55) para cada CPU siendo las dos unidades EXACTAMENTE iguales.

Luciernaga · Posted: Fri Apr 20, 2018 9:13 am Post subject:

COMPROBADO --- La alternativa SYSTEMD es la que me provocaba inestabilidad y fallos en algunos dispositivos, como por ejemplo: no presentar el indicador de sistema en la consola al iniciar, mostrar errores no reconociendo buses PCIe, no reconocer una segunda tarjeta de red configurada correctamente, etc..

Una enésima instalación de Gentoo (sin SYSTEMD) han desaparecido todos esos incordios en la primera fase de la instalación en mi equipo servidor WorkStation Z10PE-D16-WS.
cat /proc/cpuinfo
http://www.imagebam.com/image/ab7a8b830344883

http://www.imagebam.com/image/e9031a830342463

http://www.imagebam.com/image/9bcb6f830343273

Rulando como nunca sin systemd ...

http://www.imagebam.com/image/2856a7809037143
_________________
Soy como una diminuta luciérnaga, perdido en la inmensa oscuridad del universo.