Her mit euerem Fazit zu Meltdown und Spectre

Message

ChrisJumper · Post by **ChrisJumper** » Mon Aug 27, 2018 9:52 am

Mittlerweile sind alle meine Rechner mit Updates versorgt, mit dem aktuellen Microcode-update und bis auf den ältesten Rechner schaut das überall so aus:

Code: Select all

grep . /sys/devices/system/cpu/vulnerabilities/*
/sys/devices/system/cpu/vulnerabilities/l1tf:Mitigation: PTE Inversion
/sys/devices/system/cpu/vulnerabilities/meltdown:Mitigation: PTI
/sys/devices/system/cpu/vulnerabilities/spec_store_bypass:Mitigation: Speculative Store Bypass disabled
/sys/devices/system/cpu/vulnerabilities/spectre_v1:Mitigation: __user pointer sanitization
/sys/devices/system/cpu/vulnerabilities/spectre_v2:Mitigation: Full generic retpoline, IBPB, IBRS_FW

Kernel 4.17.19 und intel-microcode Version: 20180807a_p20180808

Intel, ich bin zwar nicht ganz zufrieden mit der Art und Weise, aber dennoch ein Dank dafür das es im Laufe eines Jahres dann doch klappte, auch bei ca. 10 Jahre alten CPUs.

Wegen der Leistung: Das ist ärgerlich, aber ich nehme es lieber in Kauf, weil mir persönlich Sicherheit mehr wert ist als Leistung.

mv · Post by mv » Wed Aug 29, 2018 6:55 pm

ChrisJumper wrote:/sys/devices/system/cpu/vulnerabilities/l1tf:Mitigation: PTE Inversion

Bei mir sieht das anders aus:

grep -H . /sys/devices/system/cpu/vulnerabilities/l1tf wrote:/sys/devices/system/cpu/vulnerabilities/l1tf:Mitigation: PTE Inversion; VMX: conditional cache flushes, SMT disabled

mv · Post by mv » Wed Aug 29, 2018 8:15 pm

Ergänzung: Nach

Code: Select all

echo always >|/sys/module/kvm_intel/parameters/vmentry_l1d_flush

erhalte ich

grep -H . /sys/devices/system/cpu/vulnerabilities/l1tf wrote:/sys/devices/system/cpu/vulnerabilities/l1tf:Mitigation: PTE Inversion; VMX: cache flushes, SMT disabled

was vermutlich langsamer aber sicherer ist. Leider habe ich weder eine Kernel-Option noch eine andere Möglichkeit in /etc/sysctl.d gefunden, die obige Kernel-Variable zu setzen.

ChrisJumper · Post by **ChrisJumper** » Wed Aug 29, 2018 8:51 pm

Danke für den Hinweis mv!

Hab hier auf dem System den kvm Treiber gar nicht in Benutzung, wahrscheinlich deswegen.

mv · Post by mv » Tue Sep 04, 2018 5:35 pm

Es gibt ein zugehöriges Kernel-Argument. Anscheinend sollte man dem Kernel inzwischen mindestens die beiden Argumente

Code: Select all

spec_store_bypass_disable=on l1tf=full

übergeben, wenn man Sicherheit über Geschwindigkeit stellt. Es wundert mich, dass diese nicht Default sind, wo Linus sich doch lauthals beschwert hat, dass der sichere Modus nach den Intel-Patches auf den Intel-Prozessoren nur ein Opt-In und nicht der Default sei.

ChrisJumper · Post by **ChrisJumper** » Sat Nov 17, 2018 10:15 pm

Fefe blogt über Sepctre und Meltdown, das laut Phoronix der neue 4.20er Linux Kernel teilweise 20 bis 50 Prozent Leistungseinbußen hat?! oO

Ich wollte zwar eh erst neue CPUs kaufen wenn diese auch eine Hardware Sicherung nutzen oder neue Technik haben. Aber ich fürchte langsam das uns das Thema in Zukunft noch länger begleiten wird. Vielleicht lohnt sich dann eine dedizierte Einrichtung für bestimmte Aufgaben und dort die Patches nicht zu nutzen aber die Umgebung zu härten oder die Daten vor der Verarbeitung zu prüften.

firefly · Post by **firefly** » Sun Nov 18, 2018 8:13 am

ChrisJumper wrote:Fefe blogt über Sepctre und Meltdown, das laut Phoronix der neue 4.20er Linux Kernel teilweise 20 bis 50 Prozent Leistungseinbußen hat?! oO

Wobei das jetzt hauptsächlich Intel CPUs betrifft.

mike155 · Post by **mike155** » Sun Nov 18, 2018 10:49 pm

ChrisJumper wrote:teilweise 20 bis 50 Prozent Leistungseinbußen

Gut, dass Linus wieder da ist: https://lkml.org/lkml/2018/11/19/37

Yamakuzure · Post by **Yamakuzure** » Wed Nov 21, 2018 12:30 pm

Gibt es eigentlich irgendwelche Berichte darüber, dass es tatsächlich mal irgendwo zu Angriffen per MeltDown/Spectre gekommen ist?

Alle was ich bisher sehen konnte, sind konstruierte PoCs... Es wäre wirlich mal interessant wie praktisch die Gefahr wirklich ist, und wie viel graue Theorie hier uns das Fürchten lehrt.

Mgiese · Post by **Mgiese** » Wed Dec 12, 2018 12:13 am

spec_store_bypass_disable=on hilft nicht. Kernel 4.19.8 , GCC 8.2 zum Kernel bauen benutzt und immernoch :

Code: Select all

/sys/devices/system/cpu/vulnerabilities/spec_store_bypass:Vulnerable

jemand nen tipp ?

thanks

Mgiese · Post by **Mgiese** » Wed May 15, 2019 6:52 pm

habe nun gentoo-sources 5.0.7 drauf, aber leider ist mein system immer noch nicht gefixt.

/sys/devices/system/cpu/vulnerabilities/spec_store_bypass:Vulnerable

Code: Select all

spec_store_bypass_disable=on l1tf=full

uebergebe ich an den kernel.

CPU : Intel Core i5-3470

aktuelle unstable firmware ist installiert : sys-firmware/intel-microcode-20180807a_p20190420

muss man eventuell ein microcodeupdate manuell anstossen ?

danke fuer infos

firefly · Post by **firefly** » Wed May 15, 2019 7:58 pm

AFAIK muss der microcode im kernel eingebunden werden, damit dieser beim systemstart den microcode in der cpu updaten kann.
https://wiki.gentoo.org/wiki/Intel_microcode

Daher muss man den kernel neu bauen, wenn ein update des intel-microcode paket installiert wurde.

Mgiese · Post by **Mgiese** » Wed May 15, 2019 9:21 pm

oh danke

Code: Select all

General setup  --->
    [*] Initial RAM filesystem and RAM disk (initramfs/initrd) support
Processor type and features  --->
    <*> CPU microcode loading support
    [*]   Intel microcode loading support

emerge --ask --noreplace sys-firmware/intel-microcode sys-apps/iucode_tool

iucode_tool -S --write-earlyfw=/boot/early_ucode.cpio /lib/firmware/intel-ucode/*

grub-mkconfig -o /boot/grub/grub.cfg

und neustart

Code: Select all

/sys/devices/system/cpu/vulnerabilities/spec_store_bypass:Mitigation: Speculative Store Bypass disabled via prctl and seccomp

danke sehr !