LINUX.ORG.RU

Включены ли у вас патчи безопасности от spectre, meltdown, etc?

 , , , ,


2

1

Безопасность или производительность?

P.S. Пользуясь случаем, хотел бы прорекламировать хорошо находимый сайт, с параметрами для отключения данных патчей: https://make-linux-fast-again.com

  1. Я не знаю411 (57%)

    ********************************************************************************************************************************************************************************************************************************************************************************************************************************

  2. Включены все146 (20%)

    *****************************************************************************************************************

  3. Выключены програмно85 (12%)

    ******************************************************************

  4. Не скомпилированы вообще58 (8%)

    *********************************************

  5. Включены выборочно22 (3%)

    *****************

Всего голосов: 722

>>> Проголосовать

Я не знаю 92 (48%)

Очень полезный опрос

neocrust ★★★★★ ()

kpti включен, т.к. meltdown эксплуатируется очень легко. Всё остальное отключено, т.к. не знаю, как у кого, а на моём SandyBridge производительность садится существенно, а эксплуатация их, хоть и возможна, но очень нетривиальна и местами умозрительна.

SkyMaverick ()

noibrs noibpb nopti nospectre_v2 nospectre_v1 l1tf=off nospec_store_bypass_disable no_stf_barrier mds=off mitigations=off

Что за бред. Для того mitigations=off и придумали чтобы отключать всё разом.

Deleted ()
Ответ на: комментарий от beaver

Ну и, естественно, не покажем ни одной реальной атаки при помощи этих уязвимостей. А так да, они есть.

IPR ★★★★★ ()
Ответ на: комментарий от PunkoIvan

А где вариант «У меня АМД?» :)

Процы AMD тоже подвержены уязвимостям из серии Spectre.

Вот на Ryzen 5 2400G:

/sys/devices/system/cpu/vulnerabilities/l1tf:Not affected
/sys/devices/system/cpu/vulnerabilities/mds:Not affected
/sys/devices/system/cpu/vulnerabilities/meltdown:Not affected
/sys/devices/system/cpu/vulnerabilities/spec_store_bypass:Mitigation: Speculative Store Bypass disabled via prctl and seccomp
/sys/devices/system/cpu/vulnerabilities/spectre_v1:Mitigation: usercopy/swapgs barriers and __user pointer sanitization
/sys/devices/system/cpu/vulnerabilities/spectre_v2:Mitigation: Full AMD retpoline, IBPB: conditional, STIBP: disabled, RSB filling

Meltdown'у не подвержен, против Spectre заплатки.

Zombieff ★★ ()
Последнее исправление: Zombieff (всего исправлений: 1)
Ответ на: комментарий от Harliff

аффтар был краток и сказал всё, что нужно. и главное, что для передачи информации никакой жабаскрипт не нужен от слова совсем! :)

Iron_Bug ★★★★ ()

Странный вопрос. Вроде многое включено, но куча дыр в самом микрокоде, а для моего проца не все заплатки завезли. В итоге имеем на половину дырявый проц.

RazrFalcon ★★★★★ ()

NOT VULNERABLE

Ко всем. Тормозов не замечают, уж в сравнении с виндой точно. Но следующее железо постараюсь брать не от intel.

FedyaPryanichkov ()

А если у меня windows, куда мне это прописывать?

romanlinux ()
Ответ на: комментарий от imul

спасибо тебе за это. узнал, что у меня система всё ещё уязвима к некоторым дырам проца, разобрался как обновить микрокод, закрыл уязвимости

eternal_sorrow ★★★★★ ()
Ответ на: комментарий от eternal_sorrow

Пожалуйста. Рад, что пригодилось.

imul ★★★★★ ()

Стоит стандартное ядро арча. Не знаю, включены ли в нем или нет.

Rinaldus ★★★★★ ()
Ответ на: комментарий от fsb4000

Вот только все эти патчи полумеры и не дают гарантий.

peregrine ★★★★★ ()
Ответ на: комментарий от peregrine

Кстати, погуглил есть скрипт от самой microsoft показывающий инфу об уязвимостях:

$ Get-SpeculationControlSettings
For more information about the output below, please refer to https://support.microsoft.com/help/4074629

Speculation control settings for CVE-2017-5715 [branch target injection]
AMD CPU detected: mitigations for branch target injection on AMD CPUs have additional registry settings for this mitigation, please refer to FAQ #15 at https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/ADV180002

Hardware support for branch target injection mitigation is present: True
Windows OS support for branch target injection mitigation is present: True
Windows OS support for branch target injection mitigation is enabled: True

Speculation control settings for CVE-2017-5754 [rogue data cache load]

Hardware requires kernel VA shadowing: False

Speculation control settings for CVE-2018-3639 [speculative store bypass]

Hardware is vulnerable to speculative store bypass: True
Hardware support for speculative store bypass disable is present: True
Windows OS support for speculative store bypass disable is present: True
Windows OS support for speculative store bypass disable is enabled system-wide: False

Speculation control settings for CVE-2018-3620 [L1 terminal fault]

Hardware is vulnerable to L1 terminal fault: False

Speculation control settings for MDS [microarchitectural data sampling]

Windows OS support for MDS mitigation is present: True
Hardware is vulnerable to MDS: False


BTIHardwarePresent                  : True
BTIWindowsSupportPresent            : True
BTIWindowsSupportEnabled            : True
BTIDisabledBySystemPolicy           : False
BTIDisabledByNoHardwareSupport      : False
BTIKernelRetpolineEnabled           : True
BTIKernelImportOptimizationEnabled  : True
KVAShadowRequired                   : False
KVAShadowWindowsSupportPresent      : True
KVAShadowWindowsSupportEnabled      : False
KVAShadowPcidEnabled                : False
SSBDWindowsSupportPresent           : True
SSBDHardwareVulnerable              : True
SSBDHardwarePresent                 : True
SSBDWindowsSupportEnabledSystemWide : False
L1TFHardwareVulnerable              : False
L1TFWindowsSupportPresent           : True
L1TFWindowsSupportEnabled           : False
L1TFInvalidPteBit                   : 0
L1DFlushSupported                   : False
MDSWindowsSupportPresent            : True
MDSHardwareVulnerable               : False
MDSWindowsSupportEnabled            : False
fsb4000 ★★ ()

Вчера отключил патчи на компьютере с процессором Pentium 4. Прям ощутимо стал хром быстрее работать. Даже в Pycharm-е можно работать.

dicos ()

А как это на windows 10 посмотреть?

karton1 ★★★★ ()
Ответ на: комментарий от eternal_sorrow

Так и нам расскажи.

> grep -R vulnerable /sys/devices/system/cpu/vulnerabilities
/sys/devices/system/cpu/vulnerabilities/mds:Mitigation: Clear CPU buffers; SMT vulnerable
/sys/devices/system/cpu/vulnerabilities/l1tf:Mitigation: PTE Inversion; VMX: conditional cache flushes, SMT vulnerable
Что мне делать с этим?

Suntechnic ★★★★★ ()
Ответ на: комментарий от Suntechnic

отключать SMT. ну или нет. сам решай. с микрокодом у тебя всё нормально.

eternal_sorrow ★★★★★ ()
Ответ на: комментарий от eternal_sorrow

Что значит «отключать SMT»? В смылсе ставить патч защищающий от SMT?

Насколько я понимаю тут написано что уязвимость mds устранена путем очистки буфера CPU, но сохраняется уязвимость SMT.

Чекер дает следующие уязвимости:
CVE-2017-5715:KO
CVE-2018-3640:KO
CVE-2018-3615:KO

Сейчас в параметрах ядра ничего нет. Ядро 5.2.11, из mainline Ubuntu. Камень i7-6500U.

Позапускал тесты 7z как с отключенными патчами, так и с включенными - рзницы впроизводительности не увидел.

Suntechnic ★★★★★ ()
Ответ на: комментарий от darkenshvein

хром завешивает ОС

Google отчаянно нуждается в твоей информации. Надо ж на чем-то нейросетки учить.

KennyMinigun ★★★★★ ()
Ответ на: комментарий от IPR

А есть примеры реального использования этих уязвимостей? Или только паника и сопли?

Были примеры эксплойтов через браузер.

question4 ★★★★★ ()
Ответ на: комментарий от Skullnet

Я должен написать, что при установке ЛЮБОГО Linux дистра, должна появлятся галочка или меню для отключения этих патчей по выбору. На некоторых машинах (ноутбуках) эта заshitа способна уменьшить производительность на 15-20%.

Людям, которым необходимы галочки, отключать какие-либо защиты противопоказано :) Сунутся на нехороший сайт, не приняв мер, и поймают что-нибудь интересное :)

А остальные могут добавить команды ядра.

question4 ★★★★★ ()
Ответ на: комментарий от SakuraKun

Про степень уязвимости ARM точно не помню, но они вроде как и Intel сильно пострадали

Пострадали, но далеко не все ядра.

question4 ★★★★★ ()
Ответ на: комментарий от buratino

# cat /proc/cmdline

BOOT_IMAGE=/boot/vmlinuz-5.2.0-2-amd64 root=UUID=0071e4ab-d28e-426d-9009-1225ad7800e6 ro noibrs noibpb nopti nospectre_v2 nospectre_v1 l1tf=off nospec_store_bypass_disable no_stf_barrier mds=off mitigations=off quiet

выключил. чё произойти-то должно? :)

buratino ★★★★ ()
Ответ на: комментарий от question4

Я просил примеры __реального использования__, а не какие-то сферические кони в вакууме.

IPR ★★★★★ ()
Ответ на: комментарий от question4

Сунутся на нехороший сайт, не приняв мер

Всем параноикам бояться!

Это не винда все таки, где 95% сидят под админом. Во-вторых, единственный способ хакнуть систему - эксплоит в браузере, а их исправляют и их не так уж и много.

Skullnet ★★ ()
Последнее исправление: Skullnet (всего исправлений: 1)

хотел бы прорекламировать хорошо находимый сайт, с параметрами для отключения данных патчей

Отключения патчей? Серьёзно? Вы что-ли из той секты, который обновления венды раньше отключала, потому что «с ними работает хуже», а потом «ой венда вирусы глючит ой ой ой». Капец, 2019 год, айтишники отключают патчи.

Alve ★★★★★ ()
Ответ на: комментарий от Skullnet

Это не винда все таки, где 95% сидят под админом.

Это линукс, тут 95% сидят с sudo с отключенным запросом пароля, это еще круче ;-)

Alve ★★★★★ ()
Ответ на: комментарий от Alve

Обаждите, есть пароль на su, единичка «1» )

One ★★★ ()
Ответ на: комментарий от question4

Нет, обычно как раз ломают мейнстримовые железки с десятками милионов пользователей, а вредоносный код распостраняется через официальный магазин приложений или штатную систему обновлений.

kirill_rrr ★★★★★ ()
Ответ на: комментарий от Skullnet

Это не винда все таки, где 95% сидят под админом. Во-вторых, единственный способ хакнуть систему - эксплоит в браузере, а их исправляют и их не так уж и много.

Админ не нужен. Эксплойт в браузере не нужен. Достаточно запустить нужный джаваскрипт.

question4 ★★★★★ ()
Ответ на: комментарий от IPR

Я просил примеры __реального использования__, а не какие-то сферические кони в вакууме.

Пример вполне реальный. Пиши свой сайт, вставляй туда этот код и можешь грабить караваны.

Естественно, после публикации кода он должен ловиться всеми антивирусами, поэтому будет проблемой найти достаточно неразборчивого хостера. Но миллионам вредоносных сайтов это не помеха.

question4 ★★★★★ ()

На дектопе - включены, так как производительность на нём не особо важна. На ноуте - не включены, по очевидным причинам...

lucentcode ★★★★★ ()
Ответ на: комментарий от Skullnet

Ты бы хоть почитал что из себя сама уязвимость представляет. У тебя из userspace в памяти пароль рута прочитают и всё. Причем это самый базовый пример эксплоита, который публично лежит в сети.

trynoval ()

включены выборочно ибо АМД не подверженой части атак версии

Slackware_user ★★★★★ ()
Закрыто добавление комментариев для недавно зарегистрированных пользователей (со score < 50)