Почему моя вируталка уязвима к Spectre? Я всё обновил. Вроде...

0

1

Привет.

Есть Ubuntu 17.10 с последними обновами. Запускаю вируталку с Centos 7 в virtualBox (всё самое послденее с реп).

Матт. плата такая GigaByte GA-H110M-S2 (http://www.gigabyte.ru/products/page/mb/ga-h110m-s2rev_10#support-dl)

BIOS обнвлён:

BIOS Information
	Vendor: American Megatrends Inc.
	Version: F24a
	Release Date: 01/10/2018

судя по описанию BIOS, он должен устрнить обе уязвимости (Update CPU Microcode, и более новых версий нет).

В вируталке запускаю детектор от RedHat (https://access.redhat.com/labs/speculativeexecution/):

Detected CPU vendor: Intel
Running kernel: 3.10.0-693.17.1.el7.x86_64

Variant #1 (Spectre): Mitigated
CVE-2017-5753 - speculative execution bounds-check bypass
   - Kernel with mitigation patches: OK

Variant #2 (Spectre): Vulnerable
CVE-2017-5715 - speculative execution branch target injection
   - Kernel with mitigation patches: OK
   - HW support / updated microcode: NO
   - IBRS: Not disabled on kernel commandline
   - IBPB: Not disabled on kernel commandline

Variant #3 (Meltdown): Mitigated
CVE-2017-5754 - speculative execution permission faults handling
   - Kernel with mitigation patches: OK
   - PTI: Not disabled on kernel commandline

Red Hat recommends that you:
* Ask your HW vendor for CPU microcode update.

Что ещё сделать, чтобы окончательно обезопасить себя от этих двух угроз? Мне писать в GigaByte support?

Ссылка

←	bc: standard_in syntax error

Пожалуйста помогите создать загрузочную флешку с MAC OS

→

Что ещё сделать, чтобы окончательно обезопасить себя от этих двух угроз?

Поменять процессор

xDShot ★★★★★
(07.03.18 16:46:00 MSK)

Ссылка

В виртуалке накати обновления.

anonymous
(07.03.18 16:46:42 MSK)

Ответ на: комментарий от anonymous 07.03.18 16:46:42 MSK

Уже. Ничего не поменялось.

iljuase ★★★
(07.03.18 16:47:51 MSK) автор топика

Ответ на: комментарий от iljuase 07.03.18 16:47:51 MSK

а че там по части microcode. залетело обновление?

anonymous
(07.03.18 16:49:27 MSK)

Ответ на: комментарий от anonymous 07.03.18 16:49:27 MSK

да.

[root@cent_os_1 ~]# grep -i micro /var/log/yum.log
Mar 07 15:51:05 Updated: 2:microcode_ctl-2.1-22.5.el7_4.x86_64

После этого вируталку ребутал.

iljuase ★★★
(07.03.18 16:50:14 MSK) автор топика

Ответ на: комментарий от iljuase 07.03.18 16:50:14 MSK

я х.з. че там в красношапке творится, поидее они впереди планеты всей пофиксили.

anonymous
(07.03.18 16:52:52 MSK)

Ссылка

Мне писать в GigaByte support?

Писать в штеуд, что бы прислали из будущего новый проц.

beastie ★★★★★
(07.03.18 16:55:40 MSK)

Ответ на: комментарий от beastie 07.03.18 16:55:40 MSK

Либо в Авито, чтобы прислали старый

anonymous
(07.03.18 16:57:47 MSK)

Ссылка

А от Spectre #2 вообще есть защита?

tailgunner ★★★★★
(07.03.18 17:19:52 MSK)

Ответ на: комментарий от tailgunner 07.03.18 17:19:52 MSK

Только mitigation в виде сброса btb, ну или полного отключения предсказателя ветвлений

anonymous
(07.03.18 17:22:54 MSK)

Ссылка

Update CPU Microcode, и более новых версий нет

Intel выкатили новую версию микрокода, а потом посоветовали всем откатиться на старую. И в дистрибутивах откатились.

i-rinat ★★★★★
(07.03.18 18:12:13 MSK)

Ответ на: комментарий от i-rinat 07.03.18 18:12:13 MSK

Ну погоди. Т.е. сейчас ни один ПК не может пройти тест от RedHat? А почему тогда RedHat не сделали соотвествующую пометку, чтобы не вводить пользователей в заблуждение?

И почему в описании написано 'HW support / updated microcode'? Ну типа HardWare support, т.е. намекает на апдейт Биоса... И если всё бы зависело от программных заплаток на стороне ОС — на что тогда влияет обнова Биоса в этом тесте?

Не понятно....

iljuase ★★★
(07.03.18 20:13:52 MSK) автор топика

Ответ на: комментарий от iljuase 07.03.18 20:13:52 MSK

К сожалению, у меня нет внятного ответа на эти вопросы.

i-rinat ★★★★★
(07.03.18 20:28:00 MSK)

Ссылка

Ответ на: комментарий от iljuase 07.03.18 16:50:14 MSK

Накой фиг микрокод в виртуалке накатывать? Его в хосте надо накатывать.

Deleted
(07.03.18 20:42:20 MSK)

Ответ на: комментарий от beastie 07.03.18 16:55:40 MSK

может лучше в настоящем купить АМД?

targitaj ★★★★★
(07.03.18 20:44:09 MSK)

Ответ на: комментарий от Deleted 07.03.18 20:42:20 MSK

Я накатил везде. Ubuntu 17.10, все обновы стоят.

iljuase ★★★
(07.03.18 20:59:59 MSK) автор топика

Ответ на: комментарий от targitaj 07.03.18 20:44:09 MSK

Ну я точно не стану менять i5-6400 в ближайшее время. Так да, Ryzen — годные процы, не спорю.

iljuase ★★★
(07.03.18 21:00:48 MSK) автор топика

Ссылка

Ответ на: комментарий от iljuase 07.03.18 20:59:59 MSK

Я накатил везде.

В виртуалки не надо.

Ubuntu 17.10, все обновы стоят.

Ты бы хоть посмотрел «обновы» то:

$ dpkg -l|grep intel-microcode
ii  intel-microcode                          3.20180108.0+really20170707ubuntu17.10.1                   amd64        Processor microcode firmware for Intel CPUs

really20170707

Deleted
(07.03.18 21:28:46 MSK)

Ответ на: комментарий от Deleted 07.03.18 21:28:46 MSK

Спасибо. Теперь всё понятно стало.

iljuase ★★★
(07.03.18 21:42:09 MSK) автор топика
Последнее исправление: iljuase 07.03.18 21:42:32 MSK (всего исправлений: 1)

Ответ на: комментарий от iljuase 07.03.18 21:42:09 MSK

На самом деле у тебя уже всё ок :) Не надо гнаться за последним микрокодом, исправили в ядре уже.

Deleted
(08.03.18 14:46:52 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	bc: standard_in syntax error

General

Пожалуйста помогите создать загрузочную флешку с MAC OS

→

Похожие темы