LINUX.ORG.RU

Уязвима ли ваша система к Spectre или Meltdown?

 ,


5

2

Разработчики CoreOS представили скрипт для проверки уязвимости вашей системы. Качаем, запускаем, делимся результатами:

https://github.com/speed47/spectre-meltdown-checker

  1. Не могу запустить скрипт, у меня лапки462 (57%)

    ********************************************************************************************************************************************************************************************************************************************************************************************************************************

  2. Уязвима к Spectre Variant 1254 (31%)

    *******************************************************************************************************************************************************************************

  3. Уязвима к Spectre Variant 2245 (30%)

    *************************************************************************************************************************************************************************

  4. Не уязвима к Meltdown231 (28%)

    ****************************************************************************************************************************************************************

  5. Уязвима к Meltdown96 (12%)

    ******************************************************************

  6. Не уязвима к Spectre Variant 282 (10%)

    ********************************************************

  7. Не уязвима к Spectre Variant 174 (9%)

    ***************************************************

Всего голосов: 1444, всего проголосовавших: 815

★★★★★

Проверено: Licwin ()

# ./spectre-meltdown-checker.sh
Spectre and Meltdown mitigation detection tool v0.32

Checking for vulnerabilities against running kernel Linux 4.14.14-sky #1 SMP Wed Jan 17 12:24:44 MSK 2018 x86_64
CPU is  Intel(R) Core(TM) i3-7100 CPU @ 3.90GHz

CVE-2017-5753 [bounds check bypass] aka 'Spectre Variant 1'
* Checking whether we're safe according to the /sys interface:  NO  (kernel confirms your system is vulnerable)
> STATUS:  VULNERABLE  (Vulnerable)

CVE-2017-5715 [branch target injection] aka 'Spectre Variant 2'
* Checking whether we're safe according to the /sys interface:  NO  (kernel confirms your system is vulnerable)
> STATUS:  VULNERABLE  (Vulnerable: Minimal generic ASM retpoline)

CVE-2017-5754 [rogue data cache load] aka 'Meltdown' aka 'Variant 3'
* Checking whether we're safe according to the /sys interface:  YES  (kernel confirms that the mitigation is active)
> STATUS:  NOT VULNERABLE  (Mitigation: PTI)

A false sense of security is worse than no security at all, see --disclaimer

Ubuntu 16.04, ядро распоследнее - самосбор, intel-microcode_3.20180108.0+really20170707ubuntu16.04.1, обновления BIOS по теме не установлены.

superuser ★★ ()

Как эти уязвимости могут повлиять на систему в контексте сетевой безопасности? Вот например крутится у меня приложение на линуксе, что может предпринять атакующий из сети? Я так понял, эта гадость работает в направлении виртуалка=>хост или если на хосте запущен троян без привилегий, то но может их получить?

Pyzia ★★★★ ()
Ответ на: комментарий от Pyzia

Вот например крутится у меня приложение на линуксе, что может предпринять атакующий из сети?

Если твое приложение не выполняет код из сети (как браузер выполняет javascript, например), то ничего.

Я так понял, эта гадость работает в направлении виртуалка=>хост

Эта гадость работает по всем направлениям.

Kron4ek ★★ ()
Ответ на: комментарий от AS

https://git.kernel.org/pub/scm/linux/kernel/git/stable/linux-stable.git/tree/...

^^^ Исходники соответствуют твоему ядру 4.9.77. Если прокрутить ниже, видим дурацкий вариант который изначально пропихнула Intel :

	/* Assume for now that ALL x86 CPUs are insecure */
	setup_force_cpu_bug(X86_BUG_CPU_MELTDOWN);

Именно поэтому показывает meltdown в /proc/cpuinfo и «за компанию» твой AMD получает -30% к производительности! Придётся или подождать пока нормальная версия патча спустится до ядер 4.9, или обновиться на одно из последних 4.15 что более предпочтительно

SakuraKun ★★ ()
Spectre and Meltdown mitigation detection tool v0.32

Checking for vulnerabilities against running kernel Linux 4.14.13-300.fc27.x86_64 #1 SMP Thu Jan 11 04:00:01 UTC 2018 x86_64
CPU is  Intel(R) Core(TM) i5-4210U CPU @ 1.70GHz

CVE-2017-5753 [bounds check bypass] aka 'Spectre Variant 1'
* Checking whether we're safe according to the /sys interface:  NO  (kernel confirms your system is vulnerable)
> STATUS:  VULNERABLE  (Vulnerable)

CVE-2017-5715 [branch target injection] aka 'Spectre Variant 2'
* Checking whether we're safe according to the /sys interface:  NO  (kernel confirms your system is vulnerable)
> STATUS:  VULNERABLE  (Vulnerable: Minimal generic ASM retpoline)

CVE-2017-5754 [rogue data cache load] aka 'Meltdown' aka 'Variant 3'
* Checking whether we're safe according to the /sys interface:  YES  (kernel confirms that the mitigation is active)
> STATUS:  NOT VULNERABLE  (Mitigation: PTI)

Fedora только что обновлённая.

av0r ()
Ответ на: комментарий от SakuraKun

дурацкий вариант который изначально пропихнула Intel
Именно поэтому показывает meltdown в /proc/cpuinfo

Понятно, спасибо. Пусть пока стоит, там не к спеху.

AS ★★★★★ ()

У Manjaro этот чекер в репе лежит.

Checking for vulnerabilities against running kernel Linux 4.14.14-1-MANJARO #1 SMP PREEMPT Wed Jan 17 22:34:54 UTC 2018 x86_64
CPU is Intel(R) Core(TM) i3-2370M CPU @ 2.40GHz

CVE-2017-5753 [bounds check bypass] aka 'Spectre Variant 1'
* Checking whether we're safe according to the /sys interface:  NO  (kernel confirms your system is vulnerable)
> STATUS:  VULNERABLE  (Vulnerable)

CVE-2017-5715 [branch target injection] aka 'Spectre Variant 2'
* Checking whether we're safe according to the /sys interface:  NO  (kernel confirms your system is vulnerable)
> STATUS:  VULNERABLE  (Vulnerable: Minimal generic ASM retpoline)

CVE-2017-5754 [rogue data cache load] aka 'Meltdown' aka 'Variant 3'
* Checking whether we're safe according to the /sys interface:  YES  (kernel confirms that the mitigation is active)
> STATUS:  NOT VULNERABLE  (Mitigation: PTI)

InterVi ()
Ответ на: комментарий от SakuraKun

В Росе, видимо, кастомно запатчили:

Linux 4.9.76-nrj-desktop-1rosa-x86_64
<>
CVE-2017-5754 [rogue data cache load] aka 'Meltdown' aka 'Variant 3'
* Kernel supports Page Table Isolation (PTI):  YES 
* PTI enabled and active:  NO 
* Checking if we're running under Xen PV (64 bits):  NO 
> STATUS:  NOT VULNERABLE  (your CPU vendor reported your CPU model as not vulnerable)

redgremlin ★★★★★ ()
Ответ на: комментарий от redgremlin

В Росе, видимо, кастомно запатчили:

Не факт, я про другой источник информации, а не про скрипт в голосовалке.

AS ★★★★★ ()
Ответ на: комментарий от SakuraKun

и «за компанию» твой AMD получает -30% к производительности!

Понятно, спасибо. Пусть пока стоит, там не к спеху

Нет, стоп. Как раз включение KPI-то не показано, как для Intel. Откуда -30% тогда? Впрочем, момент не принципиальный всё равно в данном конкретном случае, как я уже написал.

AS ★★★★★ ()
Ответ на: комментарий от redgremlin

Ну я и по факту проверял уязвимость, не заработало

Да я знаю, это давно смотрел уже. Просто вдруг что новое.

AS ★★★★★ ()

Не могу запустить скрипт

У меня KolibriOS

mos ★★★★★ ()

Уязвима к Spectre Variant 1
Не уязвима к Spectre Variant 2
Не уязвима к Meltdown

Linux 4.14.14-1-ARCH #1 SMP PREEMPT Fri Jan 19 18:42:04 UTC 2018 x86_64
CPU is Intel(R) Core(TM) i5-4300M CPU @ 2.60GHz

Не уязвима к Spectre Variant 1
Уязвима к Spectre Variant 2
Не уязвима к Meltdown

Linux 4.13.0-31-generic #34~16.04.1-Ubuntu SMP Fri Jan 19 17:11:01 UTC 2018 x86_64
CPU is Intel(R) Core(TM) i3-3220 CPU @ 3.30GHz

mad_austronaut ★★★ ()

Linux 3.10.0-693.11.6.el7.x86_64 Intel(R) Core(TM) i7-3770 CPU @ 3.40GHz

CVE-2017-5753 [bounds check bypass] aka 'Spectre Variant 1'
* Checking count of LFENCE opcodes in kernel:  YES 
[quote] STATUS:  NOT VULNERABLE  (106 opcodes found, which is >= 70, heuristic to be improved when official patches become available)[br][/quote]CVE-2017-5715 [branch target injection] aka 'Spectre Variant 2'
* Mitigation 1
*   Hardware (CPU microcode) support for mitigation
*     The SPEC_CTRL MSR is available:  NO 
*     The SPEC_CTRL CPUID feature bit is set:  NO 
*   Kernel support for IBRS:  YES 
*   IBRS enabled for Kernel space:  UNKNOWN 
*   IBRS enabled for User space:  UNKNOWN 
* Mitigation 2
*   Kernel compiled with retpoline option:  NO 
*   Kernel compiled with a retpoline-aware compiler:  NO 
[quote] STATUS:  VULNERABLE  (IBRS hardware + kernel support OR kernel with retpoline are needed to mitigate the vulnerability)[br][/quote]CVE-2017-5754 [rogue data cache load] aka 'Meltdown' aka 'Variant 3'
* Kernel supports Page Table Isolation (PTI):  YES 
* PTI enabled and active:  YES 
* Checking if we're running under Xen PV (64 bits):  NO 
[quote] STATUS:  NOT VULNERABLE  (PTI mitigates the vulnerability)[br][/quote]
roco_constantin ()

по ходу уязвим к 1 варианту и ко 2...хотя версия ядра последняя -x86_64 Linux 4.14.0-3-amd64. debian testing

grey_wolf ()

Тот кто забтится о безопасности, не станет запускать скрипт из 1000 строк на sh неизвестного происхождения.

renjumin ★★★★ ()

Никакая система не уязвима к Spectre 1, пока не появится эксплойт, который из одного процесса не прочитает данные второго процесса.

Сейчас бизнесмены от компьютерной вирусатости оселдают тренд и наварят баблишка на «исследованиях» и прочих ловушках для «приведений» попова.

А пока наслажлаемся свежими версиями компиляторов, которые генерируют код с худшей производительностью.

dzidzitop ★★ ()
Последнее исправление: dzidzitop (всего исправлений: 2)

STATUS: NOT VULNERABLE (your CPU vendor reported your CPU model as not vulnerable)

Я в безопасности )

linux-org-ru ()

на маке не работает :(

v9lij ★★★★★ ()
> /compat/linux/usr/bin/sh /tmp/spectre-meltdown-checker.sh
Spectre and Meltdown mitigation detection tool v0.32

Note that you should launch this script with root privileges to get accurate information.
We'll proceed but you might see permission denied errors.
To run it as root, you can try the following command: sudo /tmp/spectre-meltdown-checker.sh

Checking for vulnerabilities against running kernel Linux 2.6.32 FreeBSD 11.1-STABLE #0 r328282: Tue Jan 23 19:15:46 MSK 2018 x86_64
CPU is  AMD Phenom(tm) II X6 1055T Processor
We're missing some kernel info (see -v), accuracy might be reduced

CVE-2017-5753 [bounds check bypass] aka 'Spectre Variant 1'
* Checking count of LFENCE opcodes in kernel:  YES 
> STATUS:  NOT VULNERABLE  (88 opcodes found, which is >= 70, heuristic to be improved when official patches become available)

CVE-2017-5715 [branch target injection] aka 'Spectre Variant 2'
* Mitigation 1
*   Hardware (CPU microcode) support for mitigation
*     The SPEC_CTRL MSR is available:  UNKNOWN  (couldn't read /dev/cpu/0/msr, is msr support enabled in your kernel?)
*     The SPEC_CTRL CPUID feature bit is set:  UNKNOWN  (couldn't read /dev/cpu/0/cpuidr, is cpuid support enabled in your kernel?)
*   Kernel support for IBRS:  NO 
*   IBRS enabled for Kernel space:  NO 
*   IBRS enabled for User space:  NO 
* Mitigation 2
*   Kernel compiled with retpoline option:  UNKNOWN  (couldn't read your kernel configuration)
*   Kernel compiled with a retpoline-aware compiler:  NO 
> STATUS:  VULNERABLE  (IBRS hardware + kernel support OR kernel with retpoline are needed to mitigate the vulnerability)

CVE-2017-5754 [rogue data cache load] aka 'Meltdown' aka 'Variant 3'
* Kernel supports Page Table Isolation (PTI):  NO 
* PTI enabled and active:  UNKNOWN  (dmesg truncated, please reboot and relaunch this script)
* Checking if we're running under Xen PV (64 bits):  UNKNOWN  (dmesg truncated, please reboot and relaunch this script)
> STATUS:  NOT VULNERABLE  (your CPU vendor reported your CPU model as not vulnerable)

A false sense of security is worse than no security at all, see --disclaimer
iZEN ★★★★★ ()
Ответ на: комментарий от AS

Может быть я ошибаюсь и в 4.9.77 пишет meldown для всех а KPTI применяет только для Intel (и только для них получается -30%) - но к сожалению нет времени проверять, и действительно момент непринципиальный - рано или поздно те патчи которые сейчас мёржатся в 4.15 должны прийти в 4.9 и всё станет как и должно быть... Разве что это может произойти нескоро, т.к. все силы сейчас брошены на 4.15 и у «старых ядер» меньший приоритет

SakuraKun ★★ ()

Собираете статистику, решаете какую уязвимость на линуксоидах применять?

Chelobaka ★★★★★ ()

Уязвима к Spectre Variant 1
Уязвима к Spectre Variant 2
Уязвима к к Meltdown

Linux 4.10.0-40-generic #44~16.04.1-Ubuntu SMP Thu Nov 9 15:37:44 UTC 2017 x86_64
CPU is  Intel(R) Core(TM) i7-4700MQ CPU @ 2.40GHz
exst ★★★ ()

Не могу запустить скрипт, у меня лапки

dormeur86 ★★★★ ()
Spectre and Meltdown mitigation detection tool v0.32

Checking for vulnerabilities on current system
Kernel is Linux 4.14.14-mainline-rev1 #1 SMP Wed Jan 17 14:31:53 UTC 2018 aarch64
CPU is 
We're missing some kernel info (see -v), accuracy might be reduced

Ясно понятно.

VinilNavigator ()

<slowpoke>Пишет, что уязвима к spectre, но неуязвима к meltdown - что делать-то?.. ядро 4.14.12 - слишком старое?</slowpoke>

BattleCoder ★★★★★ ()

Эмм, а разве Variant 1 можно починить софтверно?

anc ★★★★★ ()

Подождите, но разработчики этого самого скрипта сами напиали, что скрипт не проверяет сами уязвимости, он только проверяет наличие заплаток против них.

Например на процессорах AMD без патча kpti он заявляет что система уязвима к meltdown, а spectre вообще сложная и малоизученная штука, и пока Товальдс ругается с инжинерами интел по поводу эффективности их патчей, о какой защите мы вообще говорим?

Так что я вообще не представляю, что мне тут ответить. Потому что мои АМД А6 и BCM2709 уязвимы ко всем трём уязвимостям, особенно Meltdown. А Пишка так вообще может быть атакована из гостевой машины Xen.

Отвечу пожалуй что у меня лапки, потому что я не понимаю гениальность этого скрипта.

kirill_rrr ★★★★★ ()
Последнее исправление: kirill_rrr (всего исправлений: 1)
Ответ на: комментарий от Aceler

Только если будут свободнораспостраняемые эксплойты, чтобы любой дурак, только тогда большинство разработчиков почешется чтобы качественно заткнуть дыры. Если у хомячков не будут вылезать раздражающие порнобанеры и скринлокеры раз в неделю, то уязвимости не навредят бизнесу и зачем вообще что то делать?

kirill_rrr ★★★★★ ()
Ответ на: комментарий от kirill_rrr

Если у хомячков не будут вылезать раздражающие порнобанеры и скринлокеры раз в неделю, то уязвимости не навредят бизнесу

Интересное утверждение. А ты давно вообще бизнес вблизи видел? :-)

Aceler ★★★★★ ()
Последнее исправление: Aceler (всего исправлений: 1)
Ответ на: комментарий от Aceler

Тот бизнес, где могут взрываться ядерные электростанции и где лишние 40 мс в биржевых сделках могут стать решающими, я вообще не видел. У этого бизнеса другие стандарты и должен быть другой подход к безопастности и надёжности. И интернет у него должен быть другой. Вероятно у них то и крутятся mips-серверы с 256 ядер на каждом из процессоров.

kirill_rrr ★★★★★ ()
Последнее исправление: kirill_rrr (всего исправлений: 1)
Ответ на: комментарий от Aceler

Как будто что-то плохое…

«Игрушечная» эксплуатация была доступна с первых дней публикации уязвимостей, всем ЛОРом гоняли её, подбирали параметры канпиляции и радостно делились результатами. Думал тут будет обвязка автоматизирующая это дело

MrClon ★★★★★ ()

1-2 spectre, потому как пока ещё не накатил апдейты. И не уверен, что буду накатывать. На локалхосте оно не особо нужно.

shell-script ★★★★★ ()

Где вариант «я не знаю и мне пофиг»?

thesis ★★★★★ ()

uname -a
Linux lindon-ovh 4.4.0-36-generic #55-Ubuntu SMP Thu Aug 11 18:01:55 UTC 2016 x86_64 x86_64 x86_64 GNU/Linux

CVE-2017-5715 [branch target injection] aka 'Spectre Variant 2'
STATUS: NOT VULNERABLE (your CPU vendor reported your CPU model as not vulnerable)

CVE-2017-5754 [rogue data cache load] aka 'Meltdown' aka 'Variant 3'
STATUS: NOT VULNERABLE (your CPU vendor reported your CPU model as not vulnerable)

Блин, опять нихрена не работает

ergil ★★★ ()
Ответ на: комментарий от AS

grep . /sys/devices/system/cpu/vulnerabilities/* /sys/devices/system/cpu/vulnerabilities/meltdown:Mitigation: PTI /sys/devices/system/cpu/vulnerabilities/spectre_v1:Vulnerable /sys/devices/system/cpu/vulnerabilities/spectre_v2:Mitigation: Full generic retpoline

Q9300

zor1984qq ()

Spectre and Meltdown mitigation detection tool v0.32

Checking for vulnerabilities on current system
Kernel is Linux 4.14.15-1-ARCH #1 SMP PREEMPT Tue Jan 23 21:49:25 UTC 2018 x86_64
CPU is Intel(R) Core(TM)2 Quad  CPU   Q9300  @ 2.50GHz

Hardware check
* Hardware support (CPU microcode) for mitigation techniques
  * Indirect Branch Restricted Speculation (IBRS)
    * SPEC_CTRL MSR is available:  NO 
    * CPU indicates IBRS capability:  NO 
  * Indirect Branch Prediction Barrier (IBPB)
    * PRED_CMD MSR is available:  NO 
    * CPU indicates IBPB capability:  NO 
  * Single Thread Indirect Branch Predictors (STIBP)
    * SPEC_CTRL MSR is available:  NO 
    * CPU indicates STIBP capability:  NO 
  * Enhanced IBRS (IBRS_ALL)
    * CPU indicates ARCH_CAPABILITIES MSR availability:  NO 
    * ARCH_CAPABILITIES MSR advertises IBRS_ALL capability:  NO 
  * CPU explicitly indicates not being vulnerable to Meltdown (RDCL_NO):  NO 
* CPU vulnerability to the three speculative execution attacks variants
  * Vulnerable to Variant 1:  YES 
  * Vulnerable to Variant 2:  YES 
  * Vulnerable to Variant 3:  YES 

CVE-2017-5753 [bounds check bypass] aka 'Spectre Variant 1'
* Mitigated according to the /sys interface:  NO  (kernel confirms your system is vulnerable)
> STATUS:  VULNERABLE  (Vulnerable)

CVE-2017-5715 [branch target injection] aka 'Spectre Variant 2'
* Mitigated according to the /sys interface:  YES  (kernel confirms that the mitigation is active)
* Mitigation 1
  * Kernel is compiled with IBRS/IBPB support:  NO 
  * Currently enabled features
    * IBRS enabled for Kernel space:  NO 
    * IBRS enabled for User space:  NO 
    * IBPB enabled:  NO 
* Mitigation 2
  * Kernel compiled with retpoline option:  YES 
  * Kernel compiled with a retpoline-aware compiler:  YES  (kernel reports full retpoline compilation)
  * Retpoline enabled:  YES 
> STATUS:  NOT VULNERABLE  (Mitigation: Full generic retpoline)

CVE-2017-5754 [rogue data cache load] aka 'Meltdown' aka 'Variant 3'
* Mitigated according to the /sys interface:  YES  (kernel confirms that the mitigation is active)
* Kernel supports Page Table Isolation (PTI):  YES 
* PTI enabled and active:  YES 
* Running as a Xen PV DomU:  NO 
> STATUS:  NOT VULNERABLE  (Mitigation: PTI)
zor1984qq ()
Ответ на: комментарий от zor1984qq

Я так понимаю, я уже в зоне риска, и товарищ майор про меня уже всё знает, что не должен?

BattleCoder ★★★★★ ()

Судя по результатам опроса, 54% ЛОРовцев - коты.

petrosyan ★★★★★ ()
Ответ на: комментарий от petrosyan

Не обязательно. Может быть еноты, например.

ergil ★★★ ()

Пасаны, чот не пашет, памагитя!

./spectre-meltdown-checker.sh: строка 7: синтаксическая ошибка рядом с неожиданным маркером «newline»
./spectre-meltdown-checker.sh: строка 7: `<!DOCTYPE html>'

Sociopsih ★☆ ()
Ответ на: комментарий от Novell-ch

Спасибо, помогло. Но не утешило, ибо уязвим ко всем трем. Что, собственно. для меня было очевидно.

Sociopsih ★☆ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.