Включены ли у вас патчи безопасности от spectre, meltdown, etc?

Я не знаю 92 (48%)

Очень полезный опрос

kpti включен, т.к. meltdown эксплуатируется очень легко. Всё остальное отключено, т.к. не знаю, как у кого, а на моём SandyBridge производительность садится существенно, а эксплуатация их, хоть и возможна, но очень нетривиальна и местами умозрительна.

noibrs noibpb nopti nospectre_v2 nospectre_v1 l1tf=off nospec_store_bypass_disable no_stf_barrier mds=off mitigations=off

Что за бред. Для того mitigations=off и придумали чтобы отключать всё разом.

На спермятке как проверить?

Ну и, естественно, не покажем ни одной реальной атаки при помощи этих уязвимостей. А так да, они есть.

А где вариант «У меня АМД?» :)

Процы AMD тоже подвержены уязвимостям из серии Spectre.

Вот на Ryzen 5 2400G:

/sys/devices/system/cpu/vulnerabilities/l1tf:Not affected
/sys/devices/system/cpu/vulnerabilities/mds:Not affected
/sys/devices/system/cpu/vulnerabilities/meltdown:Not affected
/sys/devices/system/cpu/vulnerabilities/spec_store_bypass:Mitigation: Speculative Store Bypass disabled via prctl and seccomp
/sys/devices/system/cpu/vulnerabilities/spectre_v1:Mitigation: usercopy/swapgs barriers and __user pointer sanitization
/sys/devices/system/cpu/vulnerabilities/spectre_v2:Mitigation: Full AMD retpoline, IBPB: conditional, STIBP: disabled, RSB filling

Meltdown'у не подвержен, против Spectre заплатки.

Не Linux.

аффтар был краток и сказал всё, что нужно. и главное, что для передачи информации никакой жабаскрипт не нужен от слова совсем! :)

Странный вопрос. Вроде многое включено, но куча дыр в самом микрокоде, а для моего проца не все заплатки завезли. В итоге имеем на половину дырявый проц.

Дыры можно посмотреть через https://github.com/speed47/spectre-meltdown-checker

NOT VULNERABLE

Ко всем. Тормозов не замечают, уж в сравнении с виндой точно. Но следующее железо постараюсь брать не от intel.

А если у меня windows, куда мне это прописывать?

спасибо тебе за это. узнал, что у меня система всё ещё уязвима к некоторым дырам проца, разобрался как обновить микрокод, закрыл уязвимости

не скажу

Пожалуйста. Рад, что пригодилось.

Стоит стандартное ядро арча. Не знаю, включены ли в нем или нет.

Проголосовал за включены все.

Вот так показывает чекер на десяточке:

https://imgur.com/a/HJBNlpj

Вот только все эти патчи полумеры и не дают гарантий.

Кстати, погуглил есть скрипт от самой microsoft показывающий инфу об уязвимостях:

$ Get-SpeculationControlSettings
For more information about the output below, please refer to https://support.microsoft.com/help/4074629

Speculation control settings for CVE-2017-5715 [branch target injection]
AMD CPU detected: mitigations for branch target injection on AMD CPUs have additional registry settings for this mitigation, please refer to FAQ #15 at https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/ADV180002

Hardware support for branch target injection mitigation is present: True
Windows OS support for branch target injection mitigation is present: True
Windows OS support for branch target injection mitigation is enabled: True

Speculation control settings for CVE-2017-5754 [rogue data cache load]

Hardware requires kernel VA shadowing: False

Speculation control settings for CVE-2018-3639 [speculative store bypass]

Hardware is vulnerable to speculative store bypass: True
Hardware support for speculative store bypass disable is present: True
Windows OS support for speculative store bypass disable is present: True
Windows OS support for speculative store bypass disable is enabled system-wide: False

Speculation control settings for CVE-2018-3620 [L1 terminal fault]

Hardware is vulnerable to L1 terminal fault: False

Speculation control settings for MDS [microarchitectural data sampling]

Windows OS support for MDS mitigation is present: True
Hardware is vulnerable to MDS: False


BTIHardwarePresent                  : True
BTIWindowsSupportPresent            : True
BTIWindowsSupportEnabled            : True
BTIDisabledBySystemPolicy           : False
BTIDisabledByNoHardwareSupport      : False
BTIKernelRetpolineEnabled           : True
BTIKernelImportOptimizationEnabled  : True
KVAShadowRequired                   : False
KVAShadowWindowsSupportPresent      : True
KVAShadowWindowsSupportEnabled      : False
KVAShadowPcidEnabled                : False
SSBDWindowsSupportPresent           : True
SSBDHardwareVulnerable              : True
SSBDHardwarePresent                 : True
SSBDWindowsSupportEnabledSystemWide : False
L1TFHardwareVulnerable              : False
L1TFWindowsSupportPresent           : True
L1TFWindowsSupportEnabled           : False
L1TFInvalidPteBit                   : 0
L1DFlushSupported                   : False
MDSWindowsSupportPresent            : True
MDSHardwareVulnerable               : False
MDSWindowsSupportEnabled            : False

Вчера отключил патчи на компьютере с процессором Pentium 4. Прям ощутимо стал хром быстрее работать. Даже в Pycharm-е можно работать.

А как это на windows 10 посмотреть?

Так и нам расскажи.

> grep -R vulnerable /sys/devices/system/cpu/vulnerabilities
/sys/devices/system/cpu/vulnerabilities/mds:Mitigation: Clear CPU buffers; SMT vulnerable
/sys/devices/system/cpu/vulnerabilities/l1tf:Mitigation: PTE Inversion; VMX: conditional cache flushes, SMT vulnerable

отключать SMT. ну или нет. сам решай. с микрокодом у тебя всё нормально.

Впервые такое слышу.

Спасибо, добрый человек

Что значит «отключать SMT»? В смылсе ставить патч защищающий от SMT?

Насколько я понимаю тут написано что уязвимость mds устранена путем очистки буфера CPU, но сохраняется уязвимость SMT.

Чекер дает следующие уязвимости:
CVE-2017-5715:KO
CVE-2018-3640:KO
CVE-2018-3615:KO

Сейчас в параметрах ядра ничего нет. Ядро 5.2.11, из mainline Ubuntu. Камень i7-6500U.

Позапускал тесты 7z как с отключенными патчами, так и с включенными - рзницы впроизводительности не увидел.

https://www.meme-arsenal.com/memes/66617b1d7d62d9da964d6a9906fbee8b.jpg

SMT должен отключаться в BIOS’е, если я не ошибаюсь.

https://make-linux-fast-again.com

ну их нафиг, у меня хром завешивает ОС, когда я с этими беззаплатками загружаюсь))

хром завешивает ОС

Google отчаянно нуждается в твоей информации. Надо ж на чем-то нейросетки учить.

А есть примеры реального использования этих уязвимостей? Или только паника и сопли?

Были примеры эксплойтов через браузер.

никому не сдался

Обычно таких и ломают.

А где вариант «У меня АМД?» :)

Нам тоже нужно.

PS: где пункт «мне пох»?

«Не знаю»?

Я должен написать, что при установке ЛЮБОГО Linux дистра, должна появлятся галочка или меню для отключения этих патчей по выбору. На некоторых машинах (ноутбуках) эта заshitа способна уменьшить производительность на 15-20%.

Людям, которым необходимы галочки, отключать какие-либо защиты противопоказано :) Сунутся на нехороший сайт, не приняв мер, и поймают что-нибудь интересное :)

А остальные могут добавить команды ядра.

Про степень уязвимости ARM точно не помню, но они вроде как и Intel сильно пострадали

Пострадали, но далеко не все ядра.

понятия не имею

# cat /proc/cmdline

BOOT_IMAGE=/boot/vmlinuz-5.2.0-2-amd64 root=UUID=0071e4ab-d28e-426d-9009-1225ad7800e6 ro noibrs noibpb nopti nospectre_v2 nospectre_v1 l1tf=off nospec_store_bypass_disable no_stf_barrier mds=off mitigations=off quiet

выключил. чё произойти-то должно? :)

Я просил примеры __реального использования__, а не какие-то сферические кони в вакууме.

Сунутся на нехороший сайт, не приняв мер

Всем параноикам бояться!

Это не винда все таки, где 95% сидят под админом. Во-вторых, единственный способ хакнуть систему - эксплоит в браузере, а их исправляют и их не так уж и много.

хотел бы прорекламировать хорошо находимый сайт, с параметрами для отключения данных патчей

Отключения патчей? Серьёзно? Вы что-ли из той секты, который обновления венды раньше отключала, потому что «с ними работает хуже», а потом «ой венда вирусы глючит ой ой ой». Капец, 2019 год, айтишники отключают патчи.

Это не винда все таки, где 95% сидят под админом.

Это линукс, тут 95% сидят с sudo с отключенным запросом пароля, это еще круче ;-)

Обаждите, есть пароль на su, единичка «1» )

Не знаю

Так я знаю, но мне всё равно.

Нет, обычно как раз ломают мейнстримовые железки с десятками милионов пользователей, а вредоносный код распостраняется через официальный магазин приложений или штатную систему обновлений.

Это не винда все таки, где 95% сидят под админом. Во-вторых, единственный способ хакнуть систему - эксплоит в браузере, а их исправляют и их не так уж и много.

Админ не нужен. Эксплойт в браузере не нужен. Достаточно запустить нужный джаваскрипт.

Я просил примеры __реального использования__, а не какие-то сферические кони в вакууме.

Пример вполне реальный. Пиши свой сайт, вставляй туда этот код и можешь грабить караваны.

Естественно, после публикации кода он должен ловиться всеми антивирусами, поэтому будет проблемой найти достаточно неразборчивого хостера. Но миллионам вредоносных сайтов это не помеха.

На дектопе - включены, так как производительность на нём не особо важна. На ноуте - не включены, по очевидным причинам...

Ты бы хоть почитал что из себя сама уязвимость представляет. У тебя из userspace в памяти пароль рута прочитают и всё. Причем это самый базовый пример эксплоита, который публично лежит в сети.

включены выборочно ибо АМД не подверженой части атак версии