LINUX.ORG.RU

Включена ли у вас программная защита от Meltdown, Spectre и т. п.?

 ,


3

1

Чтобы увидеть, используется ли программная защита (mitigations), можно выполнить:

find /sys/devices/system/cpu/vulnerabilities/* | while read i; do echo -n "$i: " | cut -z -d"/" -f7; cat "$i" ; done
Выхлоп со включенными mitigations:
itlb_multihit: KVM: Mitigation: Split huge pages
l1tf: Mitigation: PTE Inversion; VMX: conditional cache flushes, SMT disabled
mds: Vulnerable: Clear CPU buffers attempted, no microcode; SMT disabled
meltdown: Mitigation: PTI
spec_store_bypass: Mitigation: Speculative Store Bypass disabled via prctl and seccomp
spectre_v1: Mitigation: usercopy/swapgs barriers and __user pointer sanitization
spectre_v2: Mitigation: Full generic retpoline, IBPB: conditional, IBRS_FW, STIBP: disabled, RSB filling
tsx_async_abort: Not affected

и с выключенными:

itlb_multihit: KVM: Mitigation: VMX disabled
l1tf: Mitigation: PTE Inversion; VMX: vulnerable
mds: Vulnerable; SMT vulnerable
meltdown: Vulnerable
spec_store_bypass: Vulnerable
spectre_v1: Vulnerable: __user pointer sanitization and usercopy barriers only; no swapgs barriers
spectre_v2: Vulnerable, IBPB: disabled, STIBP: disabled
srbds: Not affected
tsx_async_abort: Not affected

Для отключения программной защиты нужно добавить параметр загрузки ядра mitigations=off

  1. Не знаю222 (47%)

    ********************************************************************************************************************************************************************************************************************************************************************************************************************************

  2. Нет, так как не считаю данные уязвимости достаточно опасными130 (27%)

    *******************************************************************************************************************************************************************************************

  3. Да, уменьшения производительности не замечаю74 (16%)

    **********************************************************************************************************

  4. Моя система не подвержена таким уязвимостям32 (7%)

    **********************************************

  5. Да, уменьшение производительности замечаю, но считаю эти уязвимости достаточно опасными18 (4%)

    *************************

  6. Нет, так как производительности было недостаточно, но опасаюсь за сохранность данных16 (3%)

    ***********************

Всего голосов: 492, всего проголосовавших: 474

>>> Проголосовать

★★★★★

Проверено: hobbit ()

Что за ответ такой «не знаю»? Если отвечающий ничо не делал для ответа, значит он и не отвечает на вопрос. Пусть отвечают только заинтересованные

xt1zer ()
Ответ на: комментарий от xt1zer

Ну и пусть отвечают те кто не знают. Хотя бы узнаем процент интересующихся людей. Если не знают - значит юзают дефолт и не задают себе такой вопрос

r0ck3r ★★★★★ ()
$ cat /sys/devices/system/cpu/vulnerabilities/*
Not affected
Not affected
Not affected
Not affected
Mitigation: Speculative Store Bypass disabled via prctl and seccomp
Mitigation: usercopy/swapgs barriers and __user pointer sanitization
Mitigation: Full AMD retpoline, IBPB: conditional, IBRS_FW, STIBP: always-on, RSB filling
Not affected
Not affected
Black_Shadow ★★★★★ ()
Ответ на: комментарий от Black_Shadow

обновил код в топике, чтобы было видно что именно включено, а что не подвержено. Но у тебя Mitigations включены и проц, по-видимому, AMD

r0ck3r ★★★★★ ()
Ответ на: комментарий от r0ck3r
$ find /sys/devices/system/cpu/vulnerabilities/* | while read i; do echo -n "$i: " | cut -z -d"/" -f7; cat "$i" ; done
itlb_multihit: Not affected
l1tf: Not affected
mds: Not affected
meltdown: Not affected
spec_store_bypass: Mitigation: Speculative Store Bypass disabled via prctl and seccomp
spectre_v1: Mitigation: usercopy/swapgs barriers and __user pointer sanitization
spectre_v2: Mitigation: Full AMD retpoline, IBPB: conditional, IBRS_FW, STIBP: always-on, RSB filling
srbds: Not affected
tsx_async_abort: Not affected
Black_Shadow ★★★★★ ()
Ответ на: комментарий от mittorn

да, можно. Можно и ls -1. Думаю, еще массу вариантов найти можно

r0ck3r ★★★★★ ()

Нет, так как не считаю данные уязвимости достаточно опасными

itlb_multihit: Not affected
l1tf: Not affected
mds: Not affected
meltdown: Not affected
spec_store_bypass: Vulnerable
spectre_v1: Vulnerable: __user pointer sanitization and usercopy barriers only; no swapgs barriers
spectre_v2: Vulnerable, IBPB: disabled, STIBP: disabled
srbds: Not affected
tsx_async_abort: Not affected

Стоп, а что значит надпись в spectre_v1? То есть оно не полностью выключено? Как тогда выключить полностью?

DMITRY ()

В опросе есть вариант

Моя система не подвержена таким уязвимостям

Вот из-за этого пункта я всё же добавил мультивыбор, я вполне себе представляю вариант, когда у одного человека несколько подопечных компов с разными ситуациями. Те, для кого мультивыбор неактуален, просто проголосуют за один вариант.

hobbit ★★★★★ ()
Последнее исправление: hobbit (всего исправлений: 1)

Всё включено(наверное, всё по-умолчанию, ничего не менял), уменьшения производительности не замечаю

PS C:\WINDOWS\system32> Get-SpeculationControlSettings
For more information about the output below, please refer to https://support.microsoft.com/help/4074629

Speculation control settings for CVE-2017-5715 [branch target injection]
AMD CPU detected: mitigations for branch target injection on AMD CPUs have additional registry settings for this mitigation, please refer to FAQ #15 at https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/ADV180002

Hardware support for branch target injection mitigation is present: True
Windows OS support for branch target injection mitigation is present: True
Windows OS support for branch target injection mitigation is enabled: True

Speculation control settings for CVE-2017-5754 [rogue data cache load]

Hardware requires kernel VA shadowing: False

Speculation control settings for CVE-2018-3639 [speculative store bypass]

Hardware is vulnerable to speculative store bypass: True
Hardware support for speculative store bypass disable is present: True
Windows OS support for speculative store bypass disable is present: True
Windows OS support for speculative store bypass disable is enabled system-wide: False

Speculation control settings for CVE-2018-3620 [L1 terminal fault]

Hardware is vulnerable to L1 terminal fault: False

Speculation control settings for MDS [microarchitectural data sampling]

Windows OS support for MDS mitigation is present: True
Hardware is vulnerable to MDS: False


BTIHardwarePresent                  : True
BTIWindowsSupportPresent            : True
BTIWindowsSupportEnabled            : True
BTIDisabledBySystemPolicy           : False
BTIDisabledByNoHardwareSupport      : False
BTIKernelRetpolineEnabled           : True
BTIKernelImportOptimizationEnabled  : True
KVAShadowRequired                   : False
KVAShadowWindowsSupportPresent      : True
KVAShadowWindowsSupportEnabled      : False
KVAShadowPcidEnabled                : False
SSBDWindowsSupportPresent           : True
SSBDHardwareVulnerable              : True
SSBDHardwarePresent                 : True
SSBDWindowsSupportEnabledSystemWide : False
L1TFHardwareVulnerable              : False
L1TFWindowsSupportPresent           : True
L1TFWindowsSupportEnabled           : False
L1TFInvalidPteBit                   : 0
L1DFlushSupported                   : False
MDSWindowsSupportPresent            : True
MDSHardwareVulnerable               : False
MDSWindowsSupportEnabled            : False

fsb4000 ★★★★★ ()
Последнее исправление: fsb4000 (всего исправлений: 2)

На десктопе отключаю, вроде и большого смысла нет в отключении, но как-то захотелось

One ★★★★★ ()
Ответ на: комментарий от One

Я тоже стал отключать, так как начал замечать падение производительности дисковых операций с RAID 1, отключил mitigations и система ожила

r0ck3r ★★★★★ ()
Ответ на: комментарий от hobbit

Хорошо.

Спасибо, что подтвердил голосование

r0ck3r ★★★★★ ()

Нет, так как не считаю данные уязвимости достаточно опасными

James_Holden ()
itlb_multihit: Not affected
l1tf: Not affected
mds: Not affected
meltdown: Not affected
spec_store_bypass: Mitigation: Speculative Store Bypass disabled via prctl and seccomp
spectre_v1: Mitigation: usercopy/swapgs barriers and __user pointer sanitization
spectre_v2: Mitigation: Full AMD retpoline, STIBP: disabled, RSB filling
srbds: Not affected
tsx_async_abort: Not affected


Проголосовал за

Моя система не подвержена таким уязвимостям

Хоть и не считаю эти уязвимости опасными

sehellion ★★★★★ ()

/sys/devices/system/cpu/vulnerabilities/: No such file or directory

filosofia ()

Программная защита выключена, насколько я понял, но у меня вроде как процессор уже не подвержен этим уязвимостям (Core i7 9700k).

najlus ★★★★★ ()
Ответ на: комментарий от najlus

Насколько я знаю, подвержен, просто mitigations на них работают более эффективно. Пруфов нет, просто где-то когда-то читал

r0ck3r ★★★★★ ()
itlb_multihit: Processor vulnerable
l1tf: Mitigation: PTE Inversion
mds: Mitigation: Clear CPU buffers; SMT disabled
meltdown: Mitigation: PTI
spec_store_bypass: Mitigation: Speculative Store Bypass disabled via prctl and seccomp
spectre_v1: Mitigation: usercopy/swapgs barriers and __user pointer sanitization
spectre_v2: Mitigation: Full generic retpoline, IBPB: conditional, IBRS_FW, STIBP: disabled, RSB filling
srbds: Not affected
tsx_async_abort: Not affected
itlb_multihit: Processor vulnerable

Почему так? Как починить?

eternal_sorrow ★★★★★ ()
itlb_multihit: Not affected
l1tf: Not affected
mds: Not affected
meltdown: Not affected
spec_store_bypass: Mitigation: Speculative Store Bypass disabled via prctl and seccomp
spectre_v1: Mitigation: usercopy/swapgs barriers and __user pointer sanitization
spectre_v2: Mitigation: Full AMD retpoline, IBPB: conditional, STIBP: disabled, RSB filling
srbds: Not affected
tsx_async_abort: Not affected

На Райзене разницы в производительности нет, а вот на Интеле i3 разница очень чувствуется, десятки процентов точно не мерял но даже банально в браузере было заменто.

svv20624 ()

отключил нафиг всё в параметрах загрузки. У меня даже в винде никогда не было вирусов, достаточно просто не ходить по подозрительным сайтам и резать жабаскрипт

Lrrr ★★ ()
itlb_multihit: Not affected
l1tf: Not affected
mds: Not affected
meltdown: Not affected
spec_store_bypass: Mitigation: Speculative Store Bypass disabled via prctl and seccomp
spectre_v1: Mitigation: usercopy/swapgs barriers and __user pointer sanitization
spectre_v2: Mitigation: Full AMD retpoline, IBPB: conditional, STIBP: disabled, RSB filling
srbds: Not affected
tsx_async_abort: Not affected

Да, у меня AMD Ryzen 5 2600 Six-Core Processor. То есть получается, для той части уязвимостей, которая актуальна для AMD, у меня все защиты включены, правильно?

hobbit ★★★★★ ()

У меня первая строка выхлопа выглядит так, как в примере с «выключено», а остальные — как в примере с «включено»…

CrX ()

Лютое решето идет в последнее время, особенно Интел

Ros ★★ ()

Что-то включено, но что конкретно не знаю и вообще не могу утверждать, что именно в данный момент оно включено. Уменьшения производительности не наблюдаю, потому что никогда специально не сравнивал.

Не уверен на счёт нужности опроса.

no-such-file ★★★★★ ()
Последнее исправление: no-such-file (всего исправлений: 1)

Здесь нет варианта «у меня не было обновления с защитой»

Ответил «не знаю», хотя точно знаю, что ядро всё ещё 4.4 без соответствующих патчей. Но зато не знаю, подвержена ли малина этим уязвимостям.

С другой стороны на ноутах патчи вроде как должны быть… Но я не задавался вопросом.

kirill_rrr ★★★★★ ()
Последнее исправление: kirill_rrr (всего исправлений: 1)
Ответ на: комментарий от najlus

Разве это не самая уязвимая из линеек? Хотя в 10 и 11 поколении всё ещё ничего с этим не сделали.

kirill_rrr ★★★★★ ()
Ответ на: комментарий от Gentooshnik

Но там же есть спекулятивное выполнение и ядра кажется уже сблокированы по 2 штуки. Наверняка подвержено, просто недотестировано.

kirill_rrr ★★★★★ ()

Intel 10-е поколение и AMD ZEN+:

$ cat /proc/cpuinfo | grep name | tail -1
model name      : Intel(R) Core(TM) i3-10105F CPU @ 3.70GHz

$ find /sys/devices/system/cpu/vulnerabilities/* | while read i; do echo -n "$i: " | cut -z -d"/" -f7; cat "$i" ; done
itlb_multihit: KVM: Mitigation: VMX disabled
l1tf: Not affected
mds: Not affected
meltdown: Not affected
spec_store_bypass: Mitigation: Speculative Store Bypass disabled via prctl and seccomp
spectre_v1: Mitigation: usercopy/swapgs barriers and __user pointer sanitization
spectre_v2: Mitigation: Enhanced IBRS, IBPB: conditional, RSB filling
srbds: Not affected
tsx_async_abort: Not affected
$ cat /proc/cpuinfo  | grep name | tail -1
model name      : AMD Ryzen 5 3550H with Radeon Vega Mobile Gfx

$ find /sys/devices/system/cpu/vulnerabilities/* | while read i; do echo -n "$i: " | cut -z -d"/" -f7; cat "$i" ; done
itlb_multihit: Not affected
l1tf: Not affected
mds: Not affected
meltdown: Not affected
spec_store_bypass: Mitigation: Speculative Store Bypass disabled via prctl and seccomp
spectre_v1: Mitigation: usercopy/swapgs barriers and __user pointer sanitization
spectre_v2: Mitigation: Full AMD retpoline, IBPB: conditional, STIBP: disabled, RSB filling
srbds: Not affected
tsx_async_abort: Not affected
Aber ★★★★ ()

Я тебя сейчас удивлю, но у меня Not affected «во все поля», кроме одной позиции, но там стоит disabled, то бишь, отключено.

А теперь та-даааам! mitigations=off

Такие дела.

Gonzo ★★★★★ ()

На десктопе пофиг. На серваке, скорее всего, включил бы защиту. Как-то так.

Gonzo ★★★★★ ()

Проголосовал «не знаю», потом заскучал и прочитал чё надо сделать чтобы узнать. У меня всё хорошо, большинство пунктов «Not affected», 3 (spectre) с защитой. Уменьшения производительности, как вы изволили выразиться, не замечаю.

dimgel ★★★★ ()

Какие уязвимости когда ходишь на пару рабочих сетевых ресурсов, на лор и опеннет?

netmaniac ()

нет варианта не поддерживает VMX.

xmikex ★★★★ ()

...

find /sys/devices/system/cpu/vulnerabilities/* | while read i; do echo -n "$i: " | cut -z -d"/" -f7; cat "$i" ; done 

понятней так:

cd /sys/devices/system/cpu/vulnerabilities; grep -F "" *

включено или not affected

firkax ()
Последнее исправление: firkax (всего исправлений: 2)

везде как по умолчанию в ядре
5.10.х
4.14.х

микрокод обновляется.
Производительность падает на 10-15% примерно, но к тормозам, если они стали постоянными тоже можно привыкнуть, и да AMD тут несколько поприятнее

Sylvia ★★★★★ ()
Ответ на: комментарий от hobbit

самопальной «lperfindex», написанной для мунина (изначально совсем с другой целью), с тех пор как началась вся котовасия с дырами в процессоре график упал примерно на столько. Разумеется это не может считаться серьезным бенчмарком,
да и исходники я куда-то уже потеряла за несколько лет

Но наверное 10-15% и есть, хотя мне тоже интересно было бы померить на реальной системе сейчас, возможно что-то изменилось за столько времени.

С другой стороны сейчас каких только утечек нет, можно по анализу выдачи вебсервером страниц читать БД MySQL/MariaDB со скоростью аж целых полтора байта в час (!)

Sylvia ★★★★★ ()

Да, уменьшения производительности не замечаю

Не замечаю, потому что не сравнивал.

Bagrov ★★★★★ ()

Хипстеры с новыми (моложе 10 лет) процами

upcFrost ★★★★★ ()
Ответ на: комментарий от rupert

AMD Ryzen 5 5600X 6-Core Processor

itlb_multihit: Not affected
l1tf: Not affected
mds: Not affected
meltdown: Not affected
spec_store_bypass: Vulnerable
spectre_v1: Vulnerable: __user pointer sanitization and usercopy barriers only; no swapgs barriers
spectre_v2: Vulnerable, IBPB: disabled, STIBP: disabled
srbds: Not affected
tsx_async_abort: Not affected

Вроде все работает.

Skullnet ★★★ ()
Последнее исправление: Skullnet (всего исправлений: 1)
Закрыто добавление комментариев для недавно зарегистрированных пользователей (со score < 50)