LINUX.ORG.RU

Команда SUSE выпустила обновление безопасности Meltdown & Spectre

 , ,


1

2

Обновление затронуло как openSUSE Leap, так и Tumbleweed. Были выпущены ядра с базовой защитой против Meltdown и Spectre. Для Tumbleweed это ядро версии 4.14.13

Что сделано на данный момент:

  • Атака Meltdown полностью нивелирована при помощи Kernel Page Table Isolation (KPTI).

  • Атака Spectre Variant 1 была нивелирована заплатами, добавленными в код ядра. Однако не исключено, что где-то ещё остаются лазейки и разработчики SUSE готовы добавлять новые патчи в будущем.

  • Обновления Qemu для усложнения реализации Spectre Variant 2

  • Обновления Firefox, Chromium и Webkit2Gtk3, которые исключают атаку через Javascript для Meltdown и Spectre.

  • Spectre Variant 2 нивелирован лишь частично, так как для полной защиты требуется обновление микрокода CPU.

Несмотря на то, что было выпущено обновление для некоторых чипсетов Intel и AMD Ryzen, обновление микрокода Intel позже проявило себя как нестабильное и его решили откатить.

Как только Intel выпустит более стабильную версию микрокода для своих процессоров, будет выпущено соответствующее обновление.

Для openSUSE Tumbleweed пакет «ucode-intel» откатии до версии, в которой не было возможности Spectre атаки.

Для openSUSE Leap также откатили обновленные пакеты «ucode-intel», их необходимо понизить вручную, если вы столкнулись с такими проблемами, как ошибки MCE.

Это можно сделать, набрав в консоли:

– openSUSE Leap 42.2: zypper in -f ucode-intel-20170707-7.6.1
– openSUSE Leap 42.3: zypper in -f ucode-intel-20170707-10.1

>>> Подробности

★★★★★

Проверено: Aceler ()
Последнее исправление: Aceler (всего исправлений: 1)

Ответ на: комментарий от Lowes

Лучше так, чем быстрое обновление, ломающее систему. Кроме того, в оригинале новости сказано, что для липа обновы выкатили уже 5-го января.

Pyzia ★★★★★
() автор топика

Другие дистры тоже выпустили, даже вроде в Слаке видел, но почему то про них мини-новости на ЛОРе не написали.

mx__ ★★★★★
()

This is an update to our current Meltdown and Spectre situation on openSUSE Leap and Tumbleweed.

We have released kernels with initial Meltdown and Spectre mitigations begin of January.

For openSUSE Leap 42.2 and 42.3 we released updates on January 5th.

For openSUSE Tumbleweed we released 4.14.11, 4.14.12 and 4.14.13 kernels in the first weeks of January.

Нужно бы исправить заголовок

e1nste1n ★★★★★
()
Ответ на: комментарий от mx__

Нет, речь про другое:

Fri Jan 26 03:46:16 UTC 2018
a/kernel-firmware-20180118_2a713be-noarch-1.txz:  Upgraded.
a/kernel-generic-4.14.15-x86_64-1.txz:  Upgraded.
a/kernel-huge-4.14.15-x86_64-1.txz:  Upgraded.
a/kernel-modules-4.14.15-x86_64-1.txz:  Upgraded.
...
d/gcc-7.3.0-x86_64-1.txz:  Upgraded.
  This compiler supports -mindirect-branch=thunk-extern, allowing full
  mitigation of Spectre v2 in the kernel (when CONFIG_RETPOLINE is used).
...
d/kernel-headers-4.14.15-x86-1.txz:  Upgraded.
k/kernel-source-4.14.15-noarch-1.txz:  Upgraded.
  .config changes (thanks to ivandi):
  -CIFS_DEBUG2 n
  -CIFS_DEBUG_DUMP_KEYS n
   CIFS_DEBUG y -> n
   CIFS_UPCALL n -> y
   CIFS_XATTR n -> y
   NFS_V4_1 n -> y
  +CIFS_ACL y
  +CIFS_POSIX y
  +NFS_V4_1_IMPLEMENTATION_ID_DOMAIN "kernel.org"
  +NFS_V4_1_MIGRATION n
  +NFS_V4_2 n
  +PNFS_BLOCK y
  +PNFS_FILE_LAYOUT y
  +PNFS_FLEXFILE_LAYOUT m
  +SUNRPC_BACKCHANNEL y
...
isolinux/initrd.img:  Rebuilt.
kernels/*:  Upgraded.
usb-and-pxe-installers/usbboot.img:  Rebuilt.
ftp://ftp.osuosl.org/pub/slackware/slackware64-current/ChangeLog.txt

saahriktu ★★★★★
()
Ответ на: комментарий от mx__

Видимо, просто потому, что не нашлось энтузиастов новости писать.

hobbit ★★★★★
()
Ответ на: комментарий от Slackware_user

Во! Вот и напиши новость. В качестве источника можно даже ссылки на официальные списки рассылки использовать, где-то на ЛОРе я такое видел.

hobbit ★★★★★
()

Хорошо, что я про кривой микрокод Intel прочитал до очередного zypper up, и пакет ucode-intel успел заблокировать.
Как-то не очень тянет на новость — унифицированная, сразу про несколько дистров, кто там что сделал, была бы круче.

sluggard ★★★★★
()
Последнее исправление: sluggard (всего исправлений: 1)

Обновления Firefox, Chromium и Webkit2Gtk3, которые исключают атаку через Javascript для Meltdown и Spectre.

ИМХО. Для обычного пользователя только вот это и актуально.

anonymous
()
Ответ на: комментарий от Pyzia

По мне так лучше бы вообще не было никаких апдейтов, потому что жертвовать производительностью из-за сомнительной уязвимости неохота.

Lowes ★★
()
Ответ на: комментарий от mx__

Уязвимости практически эпохальные, отсюда столько пристального внимания ко всему, что связано с их устранением.

sluggard ★★★★★
()
Ответ на: комментарий от Lowes

PTI и reptoline (от Spectre Variant 2) ты можешь отключить опциями загрузки ядра — pti=off и spectre_v2=off соответственно.

sluggard ★★★★★
()
Ответ на: комментарий от sluggard

Извините а причем тут SUSE ? Я вот это не очень понимаю. Вот если бы к примеру новость звучала так :

Когда все уже давно сделали попытки закрыть дыру то СУСЕ в числе последних наконец то соизволила ...

Это еще можно было понять.

mx__ ★★★★★
()
Ответ на: комментарий от mx__

А я выше уже сказал, что общая новость о работах и прогрессе во всех дистрах была бы лучше, а это — не тянет.
Но никто не сделал, а автор новости сусевод, написал про используемый дистр.

sluggard ★★★★★
()
Ответ на: комментарий от mx__

Извините а причем тут SUSE ?

Сначала ты вскукарекнул типа а чо при каждой уязвимости новости будем писать что-ли? Тебе технично возразили что уязвимости про мельдоний и спректре это не рядовая вещь.

Ты это на сузю не наезжай. А может его кто-то любит и он в центре его мира. Тем более внутри треда про Слаку упомянули.

anonymous
()
Ответ на: комментарий от sluggard

Тогда форматирование новости будет выглядеть отвратительно, поскольку если учесть, что только про один бубен - три-четыре абзаца с подробностями, то представьте себе если все смешать в кучу. Так что общая новость о работе и прогрессе неуместна, поскольку рекомендации к каждому дистрибутиву свои и занимают много места. Если бы это была рядовая уязвимость, вроде дырки в иксах, то достаточно одной новости. Если же это WPA2, Spectre и meldtown, то тут без примечаний никак и поэтому отдельные новости.

Lowes ★★
()
Последнее исправление: Lowes (всего исправлений: 2)
Ответ на: комментарий от Lowes

А не надо про каждый бубен для каждого дистра писать в тексте новости, есть внешние ссылки.
Впрочем, про SUSE написано, на остальные дистры пофигу, захотят их пользователи — напишут.

sluggard ★★★★★
()
Ответ на: комментарий от sluggard

Пусть пишут. Такие новости без примечаний не обходятся.

Lowes ★★
()
Ответ на: комментарий от mx__
Fri Jan 26 03:46:16 UTC 2018
a/kernel-firmware-20180118_2a713be-noarch-1.txz:  Upgraded.
a/kernel-generic-4.14.15-x86_64-1.txz:  Upgraded.
a/kernel-huge-4.14.15-x86_64-1.txz:  Upgraded.
a/kernel-modules-4.14.15-x86_64-1.txz:  Upgraded.
ap/itstool-2.0.4-x86_64-2.txz:  Rebuilt.
  Fixed a memory exhaustion crash bug. Thanks to Stuart Winter.
d/gcc-7.3.0-x86_64-1.txz:  Upgraded.
  This compiler supports -mindirect-branch=thunk-extern, allowing full
  mitigation of Spectre v2 in the kernel (when CONFIG_RETPOLINE is used)

надо смотреть ченжлог, в секьюрити только наиболее эпичное отмечают)

Slackware_user ★★★★★
()
Ответ на: комментарий от Pyzia

Ну да

Как засадить Btrfs быстрее всех по дефолту - это мы пожалуйста. И всё равно, если у кого что разлетится.

fornlr ★★★★★
()

Spectre Variant 2 нивелирован лишь частично, так как для полной защиты требуется обновление микрокода CPU.

Микрокода, на который АМД походу забил. А так - всё семейство уязвимостей - проблема самой архитектуры «параллельные конвейеры + предсказание»
Тут, что АМД, что Intel заманаются микрокод обновлять, пока вообще предсказание ветвлений им не вырубят.Ибо пройдёт пару месяцев и появится спектра 3,4,125. Тоже с «плавилкой»
На арче вроде spectre 1 починили, но второй пашет (минут десять назад обновился, в обновах по прежнему нет АМДшного микрокода - только ядро прилетело).

drfaust ★★★★★
()
Ответ на: комментарий от drfaust

АМД походу забил

Обновление было 4 января (в SUSE по крайней мере пакет ucode-amd тогда обновился). И ещё обновят, надо думать. Просто не как Штеуд — когда ни хера не тестировано, и обновление микрокода чуть ли не хуже уязвимости.

sluggard ★★★★★
()
Последнее исправление: sluggard (всего исправлений: 1)
Ответ на: комментарий от demrnd

Компания SUSE со своими продуктими существует и работает, проект openSUSE живёт и здравствует (даже в двух вариантах). Всё в порядке, все живы. )

sluggard ★★★★★
()
Ответ на: комментарий от demrnd

Novell-один из трёх китов наряду с ред хет и каноникал, основной бизнес которых-линукс.

Pyzia ★★★★★
() автор топика
Ответ на: комментарий от Lowes

По ссылке ОПовой

For openSUSE Leap 42.2 and 42.3 we released updates on January 5th

А бубен слоупоки, даже KPTI от meltdown где-то через неделю выкатили

TheAnonymous ★★★★★
()

вообще 4.2 какое-то

суся и red hat обновились ещё 5 января

TheAnonymous ★★★★★
()
Ответ на: комментарий от demrnd

Немци? Вообще яж говорю удивлен.

Йа-йа. Дафай ти пастаффить openSUSE и занятся эфэктивный немецкий секс. Дас ис фантастиш, практиш

anonymous
()

Для openSUSE Tumbleweed пакет «ucode-intel» откатии до версии, в которой не было возможности Spectre атаки.

evilface ★★
()
Ответ на: комментарий от demrnd

Вообще у них все неплохо.

Openstack завели, paas на kubernetes запустили, сидят работают. Такой бекап на случай если с РХ что-то пойдет не так.

alpha ★★★★★
()
Ответ на: комментарий от sluggard

Понятно - бум разбираться что тут у меня в арче твориться...

drfaust ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.