Sie sind nicht angemeldet.

[gelöst] Spectre und Meltdown: Was muss ich machen?

Lieber Besucher, herzlich willkommen bei: GentooForum.de. Falls dies Ihr erster Besuch auf dieser Seite ist, lesen Sie sich bitte die Hilfe durch. Dort wird Ihnen die Bedienung dieser Seite näher erläutert. Darüber hinaus sollten Sie sich registrieren, um alle Funktionen dieser Seite nutzen zu können. Benutzen Sie das Registrierungsformular, um sich zu registrieren oder informieren Sie sich ausführlich über den Registrierungsvorgang. Falls Sie sich bereits zu einem früheren Zeitpunkt registriert haben, können Sie sich hier anmelden.

hafgan

Fortgeschrittener

  • »hafgan« ist der Autor dieses Themas

Beiträge: 184

  • Nachricht senden

1

11.01.2018, 17:44

Spectre und Meltdown: Was muss ich machen?

Hallo,

ich bitte um Hilfe, da ich mit den vielen Nachrichten zum Thema Meltdown und Spectre und was nun zu tun ist überfordert bin.

Ich besitze einen Laptop mit Intel i7 . Dieser ist ja von beiden Sicherheitslücken betroffen. Dazu 2 Fragen:

1. Wird das überhaupt halbwegs vernünftig sicher eines Tages oder wird man nur beruhigt von den Medien? Ich tue mir da schwer das einzuschätzen.

2. Was soll ich denn nun in Gentoo machen?
Ich bin nun über diese Projektseite gestolpert und die sagt mir für Intel 2 Dinge zu tun:
- gentoo-sources update ==> Die Kernel die da empfohlen werden gibts noch gar nicht im Tree also abwarten?
- intel-microcode aktualisieren ==> Bin ich gerade dran Habe ich gerade erledigt.

Muss ich jetzt einfach nur warten bis der neue Kernel im Tree erscheint und bin bis dahin ungeschützt unterwegs oder sind noch andere Sachen notwendig...

Bitte um Hilfe!
hafgan

Dieser Beitrag wurde bereits 2 mal editiert, zuletzt von »hafgan« (10.02.2018, 13:07)

hafgan

Fortgeschrittener

  • »hafgan« ist der Autor dieses Themas

Beiträge: 184

  • Nachricht senden

2

14.01.2018, 11:10

Ich habe hier ein Skript zum Checken der Sicherheitslücken gefunden:
https://github.com/speed47/spectre-meltd…down-checker.sh

Bis auf den Microcode ist noch nichts bei mir in Ordnung!!

hafgan

rubus

Anfänger

  • »rubus« ist männlich

Beiträge: 45

  • Nachricht senden

3

18.01.2018, 11:15

Nettes Skript, "vulnerable" auf ganzer Linie ...

Zitat


Wird das überhaupt halbwegs vernünftig sicher eines Tages oder wird man nur beruhigt von den Medien? Ich tue mir da schwer das einzuschätzen.

Da das Problem hardwareseitig immanent ist, kann man es afaik auch nicht wirklich aus der Welt schaffen, indem man ihm ein paar Softwarekrücken hinterher wirft. Ich fürchte, letztendlich läuft nur auf ein bißchen Budenzauber ("mitigation") zur Beruhigung der Gemüter hinaus.

hafgan

Fortgeschrittener

  • »hafgan« ist der Autor dieses Themas

Beiträge: 184

  • Nachricht senden

4

29.01.2018, 18:54

Für mich wird das immer seltsamer!

Jetzt habe ich heute den neuen 4.15 Kernel, der ja die ganzen Patches enthalten soll demaskiert und installiert.

Das Ergebnis ist ernüchternd:

Quellcode

 
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24

CVE-2017-5753 [bounds check bypass] aka 'Spectre Variant 1'
* Mitigated according to the /sys interface:  NO  (kernel confirms your system is vulnerable)
> STATUS:  VULNERABLE  (Vulnerable)

CVE-2017-5715 [branch target injection] aka 'Spectre Variant 2'
* Mitigated according to the /sys interface:  NO  (kernel confirms your system is vulnerable)
* Mitigation 1
  * Kernel is compiled with IBRS/IBPB support:  NO 
  * Currently enabled features
    * IBRS enabled for Kernel space:  NO 
    * IBRS enabled for User space:  NO 
    * IBPB enabled:  NO 
* Mitigation 2
  * Kernel compiled with retpoline option:  YES 
  * Kernel compiled with a retpoline-aware compiler:  NO  (kernel reports minimal retpoline compilation)
  * Retpoline enabled:  YES 
> STATUS:  VULNERABLE  (Vulnerable: Minimal AMD ASM retpoline)

CVE-2017-5754 [rogue data cache load] aka 'Meltdown' aka 'Variant 3'
* Mitigated according to the /sys interface:  YES  (kernel confirms that your CPU is unaffected)
* Kernel supports Page Table Isolation (PTI):  YES 
* PTI enabled and active:  UNKNOWN  (dmesg truncated, please reboot and relaunch this script)
* Running as a Xen PV DomU:  NO 
> STATUS:  NOT VULNERABLE  (your CPU vendor reported your CPU model as not vulnerable)

OK, Meltdown ist für AMD Prozessoren ja nicht (sehr?) relevant. Aber die beiden anderen Spectre Probleme sind noch immer offen.

Zu migitation 1:
Keine Ahnung, wie man IBRS aktiviert. Ich habe in der Kernelsuche nichts gefunden. Weiß da jemand was?

Mitigation 2:
Ich brauche also noch einen "retpoline aware compiler". OK, muss ich da einen Neueren nehmen, oder nur neu bauen? Weiß jemand was?

Auf der genannten Projektseite zu dem Thema steht auch nichts Neues...

hafgan

hafgan

Fortgeschrittener

  • »hafgan« ist der Autor dieses Themas

Beiträge: 184

  • Nachricht senden

5

10.02.2018, 13:06

Ich gebe hier mal kurz meinen Status durch, falls sich noch jemand dafür interessiert:

Die 3 Sicherheitslücken sind nun geschlossen (laut dem Tool).

Dazu musste installiert werden:
- gcc-7.3 (wegen Retpoline)
- Kernel 4.15.2 (mit den entsprechenden Einstellungen)

Ich habe mir gcc-7.3 nur für den Kernel installiert und wird nur aktiviert, wenn ich einen Kernel baue. Das System habe ich noch mit dem gcc-6.4-r1 gelassen. Wollte da nicht zu tiefe Änderungen vornehmen und mir andere Probleme einhandeln.

hafgan

Ähnliche Themen

Häufig verwendete Suchbegriffe:

www.my-echo.de mobile-parts-discount.net Andere Architekturen Lob & Kritik Gentoo Linux bka trojaner finden Emerge Probleme softwaregarage.de Drucker Linux Computer und Notebooks