LINUX.ORG.RU

Уязвима ли ваша система к Spectre или Meltdown?

 ,


5

2

Разработчики CoreOS представили скрипт для проверки уязвимости вашей системы. Качаем, запускаем, делимся результатами:

https://github.com/speed47/spectre-meltdown-checker

  1. Не могу запустить скрипт, у меня лапки 462 (57%)

    ********************************************************************************************************************************************************************************************************************************************************************************************************************************

  2. Уязвима к Spectre Variant 1 254 (31%)

    *******************************************************************************************************************************************************************************

  3. Уязвима к Spectre Variant 2 245 (30%)

    *************************************************************************************************************************************************************************

  4. Не уязвима к Meltdown 231 (28%)

    ****************************************************************************************************************************************************************

  5. Уязвима к Meltdown 96 (12%)

    ******************************************************************

  6. Не уязвима к Spectre Variant 2 82 (10%)

    ********************************************************

  7. Не уязвима к Spectre Variant 1 74 (9%)

    ***************************************************

Всего голосов: 1444, всего проголосовавших: 815

★★★★★

Проверено: Licwin ()

Ответ на: комментарий от linuhs_user

dist-upgrade закрыло Meltdown... А что с первыми двумя делать то?)

linuhs_user
()

Вот это должно повисеть на главной ЛОРа подольше! Это нужный опрос, не то, что всякая дичь, что последнее время светится в подтверждённых…

Не могу запустить скрипт, у меня лапки

This.

r3lgar ★★★★★
()
Уязвима к Spectre Variant 1
Уязвима к Spectre Variant 2
Не уязвима к Meltdown

Linux 4.14.14 + Intel(R) Core(TM) i7-2600K CPU @ 3.40GHz.

saahriktu ★★★★★
()
Последнее исправление: saahriktu (всего исправлений: 1)

CPU is AMD A10-7870K Radeon R7, 12 Compute Cores 4C+8G

На 4.14.10-gentoo-r1:

  • уязвима к Spectre Variant 1
  • не уязвима к Spectre Variant 2
  • не уязвима к Meltdown

Обновил до 4.14.14-gentoo:

  • уязвима к Spectre Variant 1
  • уязвима к Spectre Variant 2
  • не уязвима к Meltdown

так-то.. щас буду чесать репу насчёт опций, хотя CONFIG_GENERIC_CPU_VULNERABILITIES включен.

Bruce_Lee ★★
()

Разработчики CoreOS представили скрипт для проверки уязвимости вашей системыгадания на /proc/cpuinfo и /proc/config.gz.

пачинилниблагадари

KOHb-TPOJIJIbJIEP
()

А можете еще какую-нибудь бенчмаркалку прикрепить чтоб посчитать падение производительности?

micronekodesu ★★★
()

Разработчики CoreOS представили скрипт для проверки уязвимости вашей системы.

Разработчики ядра, вроде как, тоже...

$ grep . /sys/devices/system/cpu/vulnerabilities/*
/sys/devices/system/cpu/vulnerabilities/meltdown:Mitigation: PTI
/sys/devices/system/cpu/vulnerabilities/spectre_v1:Vulnerable
/sys/devices/system/cpu/vulnerabilities/spectre_v2:Vulnerable: Minimal generic ASM retpoline

AS ★★★★★
()
Ответ на: комментарий от ass

Посчитай среднее арифметическое.

Aceler ★★★★★
() автор топика
Ответ на: комментарий от AS

Разработчики ядра, вроде как, тоже...

Скрипт дёргает /sys, если эти вещи там есть, но если ядро старое, то скрипт запускает проверки конфигов.

Aceler ★★★★★
() автор топика
Ответ на: комментарий от Aceler

Скрипт дёргает /sys, если эти вещи там есть,

Интересно, в ядре тоже по типу процессора и состоянию ядра, или какие-то тесты делаются всё же ? Никто патч ещё не смотрел ?

AS ★★★★★
()
Ответ на: комментарий от crutch_master

Ну да, конечно, в свободнораспространяемом с гитхаба скрипте, разумеется, должна быть эксплуатация уязвимостей, чтобы любой дурак.

Только грепает он не cpuinfo.

Aceler ★★★★★
() автор топика
Ответ на: комментарий от fornlr

Откуда тут столько Фурфагов 😐

Наверное, всем про лапки понравилось. :-)

AS ★★★★★
()
Ответ на: комментарий от Aceler

Ну да, конечно, в свободнораспространяемом с гитхаба скрипте, разумеется, должна быть эксплуатация уязвимостей, чтобы любой дурак.

Ну, мало ли. Раньше выкладывали с эксплуатациями, правда после патчей.

Только грепает он не cpuinfo.

Я про суть.

crutch_master ★★★★★
()

Какая именно система? У мну их несколько.

Deleted
()

> Note that you should launch this script with root privileges to get accurate information

Смысл? Я же браузер и трояны запусакаю от юзера.

Отрапортовало по всем No.
Upd:

CVE-2017-5753 [bounds check bypass] aka 'Spectre Variant 1'
> STATUS:  VULNERABLE 
CVE-2017-5715 [branch target injection] aka 'Spectre Variant 2'
> STATUS:  VULNERABLE 
CVE-2017-5754 [rogue data cache load] aka 'Meltdown' aka 'Variant 3'
> STATUS:  NOT VULNERABLE 
ZenitharChampion ★★★★★
()
Последнее исправление: ZenitharChampion (всего исправлений: 1)

Уязвима к Spectre Variant 1
Уязвима к Spectre Variant 2
Не уязвима к Meltdown

Fedora 27 с последними обновлениями, проц:

Intel(R) Xeon(R) CPU E5-2670 0 @ 2.60GHz
Это нормально?

r0ck3r ★★★★★
()
Ответ на: комментарий от RazrFalcon

Это доступно только на распоследней версии ядра.

Ядер только, не ядра. Портировано и в 4.4, и в 4.9, и в 4.14. Ждать 4.15 не обязательно.

AS ★★★★★
()

проверил несколько компов с рачем и центосью:
- к мелтдауну уязвимости нет нигде,
- к спектру2 неуязвим только старый амд в микросервере (точнее, ему вообще всё пофиг),
- рач на свежем ядре linux-lqx уязвим ещё и к спектру1

xfilx ★★
()

Надо, всё же, дописать в начале, что это проверка по косвенным признакам, которая может не иметь ничего общего с действительностью.

Кстати, само ядро про AMD пишет «/sys/devices/system/cpu/vulnerabilities/meltdown:Vulnerable». Либо они там что-то знают, либо тоже по косвенным признакам, и по AMD учёт признаков не доделали.

AS ★★★★★
()

у меня процессор, который считался допотопным ещё во времена Debian Lenny, сомневаюсь что он это поддерживает

buratino ★★★★★
()

Хакеры вконец обленились. Уже опросы устраивают: «Можно ли вас взломать?».

ashot ★★★★
()

Debian Stretch с последними обновлениями уязвим к Variant 1 и 2, к Meltdown не уязвим. Процессор Intel Core i5-7600.

eugeno ★★★★★
()
Последнее исправление: eugeno (всего исправлений: 1)
Ответ на: комментарий от AS

А какая версия ядра у Вас стоит? Просто вначале сделали по-тупому как предлагал Intel - «уязвимы все а не только мы!» - и до того момента, когда наконец приняли патч от АМД который добавляет исключение для АМД-шных процессоров, прошло недели полторы. И все ядра, выпущенные между этими двумя событиями, пишут meltdown:Vulnerable для АМД некорректно. Ещё может зависеть от авторов дистрибутива, если они не берут ядро «как оно есть» а по личным причинам не включают какие-то патчи

SakuraKun ★★★★★
()
Последнее исправление: SakuraKun (всего исправлений: 1)

Кстати, сегодня пришло обновление ядра и хоть перестал быть уязвим к spectre 1

nihirash ★★★
()
Ответ на: комментарий от Aceler

Процессоры intel уязвимы с 1995 года

Интересно, как с этим было у трансметы

nihirash ★★★
()
Ответ на: комментарий от petrosyan

Уязвимо все, что свежее 1995 года выпуска.

до какой степени уязвимо? браузерами в сети пользоваться ещё можно, или уже всё?

buratino ★★★★★
()
Ответ на: комментарий от buratino

браузерами в сети пользоваться ещё можно, или уже всё?

Обновленными - можно. Старыми - только с выключением js.

Kron4ek ★★★★★
()
Ответ на: комментарий от RazrFalcon

У меня на одном AMD и одном Intel показало, что Spectre 1 NOT VULNERABLE, только второй на всех машинах показал уязвимость.

redgremlin ★★★★★
()

так названия уязвимостей придумали поклонники James Bond?

xmikex ★★★★
()
Ответ на: комментарий от Kron4ek

Обновленными - можно. Старыми - только с выключением js.

Ну про фурифокса не знаю, но в релизных версиях хрома и оперы затычки нет по умолчанию. Она пока экспериментальная, и её можно включить самому в настройках

fornlr ★★★★★
()
Ответ на: комментарий от Kron4ek

ну, браузер у меня тоже только при царе горохе обновлялся

правда, я практически никуда не хожу. разве что кто лор заломает :)

buratino ★★★★★
()

третий пень. дебиан 9 с ядром 3.16 от дебиана 8 (древнего)

Checking for vulnerabilities against running kernel Linux 3.16.0-4-686-pae #1 SMP Debian 3.16.43-2+deb8u2 (2017-06-26) i686
CPU is  Celeron (Coppermine)

CVE-2017-5753 [bounds check bypass] aka 'Spectre Variant 1'
* Checking count of LFENCE opcodes in kernel:  NO 
> STATUS:  VULNERABLE  (only 23 opcodes found, should be >= 70, heuristic to be improved when official patches become available)

CVE-2017-5715 [branch target injection] aka 'Spectre Variant 2'
* Mitigation 1
*   Hardware (CPU microcode) support for mitigation
*     The SPEC_CTRL MSR is available:  NO 
*     The SPEC_CTRL CPUID feature bit is set:  YES 
*   Kernel support for IBRS:  NO 
*   IBRS enabled for Kernel space:  NO 
*   IBRS enabled for User space:  NO 
* Mitigation 2
*   Kernel compiled with retpoline option:  NO 
*   Kernel compiled with a retpoline-aware compiler:  NO 
> STATUS:  VULNERABLE  (IBRS hardware + kernel support OR kernel with retpoline are needed to mitigate the vulnerability)

CVE-2017-5754 [rogue data cache load] aka 'Meltdown' aka 'Variant 3'
* Kernel supports Page Table Isolation (PTI):  NO 
* PTI enabled and active:  NO 
* Checking if we're running under Xen PV (64 bits):  NO 
> STATUS:  VULNERABLE  (PTI is needed to mitigate the vulnerability)
buratino ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.