LINUX.ORG.RU

Уязвима ли ваша система к Spectre или Meltdown?

 ,


5

2

Разработчики CoreOS представили скрипт для проверки уязвимости вашей системы. Качаем, запускаем, делимся результатами:

https://github.com/speed47/spectre-meltdown-checker

  1. Не могу запустить скрипт, у меня лапки462 (57%)

    ********************************************************************************************************************************************************************************************************************************************************************************************************************************

  2. Уязвима к Spectre Variant 1254 (31%)

    *******************************************************************************************************************************************************************************

  3. Уязвима к Spectre Variant 2245 (30%)

    *************************************************************************************************************************************************************************

  4. Не уязвима к Meltdown231 (28%)

    ****************************************************************************************************************************************************************

  5. Уязвима к Meltdown96 (12%)

    ******************************************************************

  6. Не уязвима к Spectre Variant 282 (10%)

    ********************************************************

  7. Не уязвима к Spectre Variant 174 (9%)

    ***************************************************

Всего голосов: 1444, всего проголосовавших: 815

★★★★★

Проверено: Licwin ()

Если мне пишет что я уязвим на обновленном дебиане Stretch, эта нормально?

linuhs_user ()

Вот это должно повисеть на главной ЛОРа подольше! Это нужный опрос, не то, что всякая дичь, что последнее время светится в подтверждённых…

Не могу запустить скрипт, у меня лапки

This.

r3lgar ★★★★★ ()
Уязвима к Spectre Variant 1
Уязвима к Spectre Variant 2
Не уязвима к Meltdown

Linux 4.14.14 + Intel(R) Core(TM) i7-2600K CPU @ 3.40GHz.

saahriktu ★★★★★ ()
Последнее исправление: saahriktu (всего исправлений: 1)

CPU is AMD A10-7870K Radeon R7, 12 Compute Cores 4C+8G

На 4.14.10-gentoo-r1:

  • уязвима к Spectre Variant 1
  • не уязвима к Spectre Variant 2
  • не уязвима к Meltdown

Обновил до 4.14.14-gentoo:

  • уязвима к Spectre Variant 1
  • уязвима к Spectre Variant 2
  • не уязвима к Meltdown

так-то.. щас буду чесать репу насчёт опций, хотя CONFIG_GENERIC_CPU_VULNERABILITIES включен.

Bruce_Lee ★★ ()

Разработчики CoreOS представили скрипт для проверки уязвимости вашей системыгадания на /proc/cpuinfo и /proc/config.gz.

пачинилниблагадари

KOHb-TPOJIJIbJIEP ()

А можете еще какую-нибудь бенчмаркалку прикрепить чтоб посчитать падение производительности?

micronekodesu ()

Я думал там будет эксплуатация уязвимостей, а он тупо грепает cpuinfo. Не, так не интересно.

crutch_master ★★★★★ ()
Последнее исправление: crutch_master (всего исправлений: 1)

А если систем несколько?

ass ★★★ ()

Разработчики CoreOS представили скрипт для проверки уязвимости вашей системы.

Разработчики ядра, вроде как, тоже...

$ grep . /sys/devices/system/cpu/vulnerabilities/*
/sys/devices/system/cpu/vulnerabilities/meltdown:Mitigation: PTI
/sys/devices/system/cpu/vulnerabilities/spectre_v1:Vulnerable
/sys/devices/system/cpu/vulnerabilities/spectre_v2:Vulnerable: Minimal generic ASM retpoline

AS ★★★★★ ()
Ответ на: комментарий от AS

Разработчики ядра, вроде как, тоже...

Скрипт дёргает /sys, если эти вещи там есть, но если ядро старое, то скрипт запускает проверки конфигов.

Aceler ★★★★★ ()
Ответ на: комментарий от Aceler

Скрипт дёргает /sys, если эти вещи там есть,

Интересно, в ядре тоже по типу процессора и состоянию ядра, или какие-то тесты делаются всё же ? Никто патч ещё не смотрел ?

AS ★★★★★ ()
Ответ на: комментарий от crutch_master

Ну да, конечно, в свободнораспространяемом с гитхаба скрипте, разумеется, должна быть эксплуатация уязвимостей, чтобы любой дурак.

Только грепает он не cpuinfo.

Aceler ★★★★★ ()

Не могу запустить скрипт, у меня лапки

Откуда тут столько Фурфагов 😐

fornlr ★★★★★ ()
Ответ на: комментарий от fornlr

Откуда тут столько Фурфагов 😐

Наверное, всем про лапки понравилось. :-)

AS ★★★★★ ()
Ответ на: комментарий от Aceler

Ну да, конечно, в свободнораспространяемом с гитхаба скрипте, разумеется, должна быть эксплуатация уязвимостей, чтобы любой дурак.

Ну, мало ли. Раньше выкладывали с эксплуатациями, правда после патчей.

Только грепает он не cpuinfo.

Я про суть.

crutch_master ★★★★★ ()

Уязвима к Meltdown (10%)

Остальные 90% на АМД перебрались? ;)

SakuraKun ()

Какая именно система? У мну их несколько.

rht ★★★★★ ()

> Note that you should launch this script with root privileges to get accurate information

Смысл? Я же браузер и трояны запусакаю от юзера.

Отрапортовало по всем No.
Upd:

CVE-2017-5753 [bounds check bypass] aka 'Spectre Variant 1'
> STATUS:  VULNERABLE 
CVE-2017-5715 [branch target injection] aka 'Spectre Variant 2'
> STATUS:  VULNERABLE 
CVE-2017-5754 [rogue data cache load] aka 'Meltdown' aka 'Variant 3'
> STATUS:  NOT VULNERABLE 
ZenitharChampion ★★★★★ ()
Последнее исправление: ZenitharChampion (всего исправлений: 1)

А разве от Spectre уже есть заплатки?

RazrFalcon ★★★★★ ()

Уязвима к Spectre Variant 1
Уязвима к Spectre Variant 2
Не уязвима к Meltdown

Fedora 27 с последними обновлениями, проц:

Intel(R) Xeon(R) CPU E5-2670 0 @ 2.60GHz
Это нормально?

r0ck3r ★★★★★ ()
Ответ на: комментарий от RazrFalcon

Это доступно только на распоследней версии ядра.

Ядер только, не ядра. Портировано и в 4.4, и в 4.9, и в 4.14. Ждать 4.15 не обязательно.

AS ★★★★★ ()

проверил несколько компов с рачем и центосью:
- к мелтдауну уязвимости нет нигде,
- к спектру2 неуязвим только старый амд в микросервере (точнее, ему вообще всё пофиг),
- рач на свежем ядре linux-lqx уязвим ещё и к спектру1

xfilx ★★ ()
Ответ на: комментарий от r0ck3r

На Федоре вариант 1 должен бы быть закрыт уже.

Aceler ★★★★★ ()

Надо, всё же, дописать в начале, что это проверка по косвенным признакам, которая может не иметь ничего общего с действительностью.

Кстати, само ядро про AMD пишет «/sys/devices/system/cpu/vulnerabilities/meltdown:Vulnerable». Либо они там что-то знают, либо тоже по косвенным признакам, и по AMD учёт признаков не доделали.

AS ★★★★★ ()

у меня процессор, который считался допотопным ещё во времена Debian Lenny, сомневаюсь что он это поддерживает

buratino ★★★★ ()

Хакеры вконец обленились. Уже опросы устраивают: «Можно ли вас взломать?».

ashot ★★★ ()

Debian Stretch с последними обновлениями уязвим к Variant 1 и 2, к Meltdown не уязвим. Процессор Intel Core i5-7600.

eugeno ★★★★★ ()
Последнее исправление: eugeno (всего исправлений: 1)
Ответ на: комментарий от AS

А какая версия ядра у Вас стоит? Просто вначале сделали по-тупому как предлагал Intel - «уязвимы все а не только мы!» - и до того момента, когда наконец приняли патч от АМД который добавляет исключение для АМД-шных процессоров, прошло недели полторы. И все ядра, выпущенные между этими двумя событиями, пишут meltdown:Vulnerable для АМД некорректно. Ещё может зависеть от авторов дистрибутива, если они не берут ядро «как оно есть» а по личным причинам не включают какие-то патчи

SakuraKun ()
Последнее исправление: SakuraKun (всего исправлений: 1)

Кстати, сегодня пришло обновление ядра и хоть перестал быть уязвим к spectre 1

nihirash ★★ ()
Ответ на: комментарий от Aceler

Процессоры intel уязвимы с 1995 года

Интересно, как с этим было у трансметы

nihirash ★★ ()
Ответ на: комментарий от Aceler

чё, если я ща третий пень достану - он будет уязвим? правда, там openbsd стоит, скрипт сработает?

buratino ★★★★ ()
Ответ на: комментарий от buratino

В mac os скрипт не работает, в бзде скорее всего тоже. Уязвимо все, что свежее 1995 года выпуска.

petrosyan ★★★★★ ()
Ответ на: комментарий от petrosyan

Уязвимо все, что свежее 1995 года выпуска.

до какой степени уязвимо? браузерами в сети пользоваться ещё можно, или уже всё?

buratino ★★★★ ()
Ответ на: комментарий от buratino

браузерами в сети пользоваться ещё можно, или уже всё?

Обновленными - можно. Старыми - только с выключением js.

Kron4ek ★★ ()
Ответ на: комментарий от RazrFalcon

У меня на одном AMD и одном Intel показало, что Spectre 1 NOT VULNERABLE, только второй на всех машинах показал уязвимость.

redgremlin ★★★★★ ()

так названия уязвимостей придумали поклонники James Bond?

xmikex ★★★ ()
Ответ на: комментарий от Kron4ek

Обновленными - можно. Старыми - только с выключением js.

Ну про фурифокса не знаю, но в релизных версиях хрома и оперы затычки нет по умолчанию. Она пока экспериментальная, и её можно включить самому в настройках

fornlr ★★★★★ ()
Ответ на: комментарий от Kron4ek

ну, браузер у меня тоже только при царе горохе обновлялся

правда, я практически никуда не хожу. разве что кто лор заломает :)

buratino ★★★★ ()
Ответ на: комментарий от buratino

правда, я практически никуда не хожу. разве что кто лор заломает :)

Ну тогда тебе ничего не грозит :)

Kron4ek ★★ ()

третий пень. дебиан 9 с ядром 3.16 от дебиана 8 (древнего)

Checking for vulnerabilities against running kernel Linux 3.16.0-4-686-pae #1 SMP Debian 3.16.43-2+deb8u2 (2017-06-26) i686
CPU is  Celeron (Coppermine)

CVE-2017-5753 [bounds check bypass] aka 'Spectre Variant 1'
* Checking count of LFENCE opcodes in kernel:  NO 
> STATUS:  VULNERABLE  (only 23 opcodes found, should be >= 70, heuristic to be improved when official patches become available)

CVE-2017-5715 [branch target injection] aka 'Spectre Variant 2'
* Mitigation 1
*   Hardware (CPU microcode) support for mitigation
*     The SPEC_CTRL MSR is available:  NO 
*     The SPEC_CTRL CPUID feature bit is set:  YES 
*   Kernel support for IBRS:  NO 
*   IBRS enabled for Kernel space:  NO 
*   IBRS enabled for User space:  NO 
* Mitigation 2
*   Kernel compiled with retpoline option:  NO 
*   Kernel compiled with a retpoline-aware compiler:  NO 
> STATUS:  VULNERABLE  (IBRS hardware + kernel support OR kernel with retpoline are needed to mitigate the vulnerability)

CVE-2017-5754 [rogue data cache load] aka 'Meltdown' aka 'Variant 3'
* Kernel supports Page Table Isolation (PTI):  NO 
* PTI enabled and active:  NO 
* Checking if we're running under Xen PV (64 bits):  NO 
> STATUS:  VULNERABLE  (PTI is needed to mitigate the vulnerability)
buratino ★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.