Endeavouros - komunikat kernela o zagrożeniu wycieku danych

Powitać. No bujam się wciąż na tych gałęziach i skaczę z drzewa na drzewo niczym małpa. Tylko, że małpy generalnie, są inteligentne… :smiley: Przeglądając ostatnio dziennik, znalazłem wyróżniony kolorem żółtym, wiersz: MDS CPU bug present and SMT on, data leak possible. Wiem czego dotyczy i wyłączenie HT w bios, likwiduje tę dziurę, ale zasadniczo rzecz rozbija się o to, że w Manjaro i w Mabox, tudzież Debianie,Ubuntu, ten komunikat nie występował. Czy zatem jest to kwestia odpowiednich łatek zaimplementowanych w Kernel, czy może jednak ślepy byłem i wcześniej tego nie wyłapałem? A może po prostu trzeba by, zainstalować starszy kernel z linii lts?

Aby się pozbyć tego wpisu w logu musisz dodać do Grubego taką treść

GRUB_CMDLINE_LINUX_DEFAULT="mds=full,nosmt"

I oczywiście przeładować

sudo update-grub

“Pozbyć się” poprzez załatanie, czy tylko co by oka nie drażniło?

Miałem ten komunikat w logu jeszcze na jajku 5.17, a teraz na 5.18 on zniknął.

Do tej pory miałem 5.18, teraz zmieniłem na 5.15 LTS, ale to nic nie dało. Ogólnie kompletnie nie odczuwam różnicy pomiędzy HT i większa ilością wątków, a jego brakiem, no ale jak coś może działać, to powinno. Możliwe, że kernel 5.4, którego dotychczas używałem w Mabox, posiada odpowiednie łatki.

Już nie pamiętam czy ten komunikat pojawiał się u mnie gdy miałem kompa z procesorem i3-2100. Bo obecnie mam kompa z i5-4590, i mnie się wydaje że ten błąd wynika z tego że np. i3-2100 ma 2 rdzenie i 4 wątki, natomiast i5-4590 ma 4 rdzenie i 4 wątki. Tak więc chyba o to chodzi.

No ja mam i7 tyle że pierwszej generacji. 4 rdzenie, osiem wątków z HT. Poza tym to nie błąd @robson75 , a podatność. Jak się chronić przed usterką Meltdown i Spectre? nie specjalnie lubię takie serwisy, ale nie stać mnie dziś na bardziej wyrafinowane źródła :smiley:

Owszem jest taka podatność, ale z tego co mi wiadomo nie dotyczy ona procesorów sprzed 6 generacji Intela.

https://www.kernel.org/doc/html/latest/admin-guide/hw-vuln/mds.html

EDIT: Dodam jeszcze, że podstawowe informacje o tym jakie podatności ma wasz procesor pokaże lscpu, a bardziej obszerny raport da spectre-meltdown-checker

1 polubienie

Cytat z tego pseudo źródła, aczkolwiek potwierdzony: “Pierwszą podatnością – Meltdown – objęte są wszystkie procesory Intela wyprodukowane po 1995 roku”.

Meltdown to nie to samo co MDS.

No MDS przetłumaczyłem sobie jako skrót związany meltdown :rofl: zaraz posprawdzam tym narzędziem bo widzę, że w aur jest.

W Manjaro jest w repozytoriach i jest domyślnie zainstalowane.

No tu nie ma, jak wielu innych rzeczy, ale już na pokładzie. Ino umieć jeszcze trzeba to obsłużyć :smiley:

Po prostu spectre-meltdown-checker, chyba że masz jakieś wymagania to odsyłam do --help

Jest ok. Sklerotyk zapomniał o makepkg :smiley: takie mam wyniki:

CPU vulnerability to the speculative execution attack variants
  * Affected by CVE-2017-5753 (Spectre Variant 1, bounds check bypass):  YES 
  * Affected by CVE-2017-5715 (Spectre Variant 2, branch target injection):  YES 
  * Affected by CVE-2017-5754 (Variant 3, Meltdown, rogue data cache load):  YES 

I się dowiedziałem przy okazji, że muszę zrobić update mikrokodu cpu.
@robson75 grzecznie odszczekuję :smiley: po włączeniu HT, takie wyniki:

CVE-2017-5753 aka 'Spectre Variant 1, bounds check bypass'
* Mitigated according to the /sys interface:  YES  (Mitigation: usercopy/swapgs barriers and __user pointer sanitization)
* Kernel has array_index_mask_nospec:  YES  (1 occurrence(s) found of x86 64 bits array_index_mask_nospec())
* Kernel has the Red Hat/Ubuntu patch:  NO 
* Kernel has mask_nospec64 (arm64):  NO 
* Kernel has array_index_nospec (arm64):  NO 
> STATUS:  NOT VULNERABLE  (Mitigation: usercopy/swapgs barriers and __user pointer sanitization)

CVE-2017-5715 aka 'Spectre Variant 2, branch target injection'
* Mitigated according to the /sys interface:  YES  (Mitigation: Retpolines, IBPB: conditional, IBRS_FW, STIBP: conditional, RSB filling)
* Mitigation 1
  * Kernel is compiled with IBRS support:  YES 
    * IBRS enabled and active:  YES  (for firmware code only)
  * Kernel is compiled with IBPB support:  YES 
    * IBPB enabled and active:  YES 
* Mitigation 2
  * Kernel has branch predictor hardening (arm):  NO 
  * Kernel compiled with retpoline option:  YES 
    * Kernel compiled with a retpoline-aware compiler:  YES  (kernel reports full retpoline compilation)
> STATUS:  NOT VULNERABLE  (Full retpoline + IBPB are mitigating the vulnerability)

CVE-2017-5754 aka 'Variant 3, Meltdown, rogue data cache load'
* Mitigated according to the /sys interface:  YES  (Mitigation: PTI)
* Kernel supports Page Table Isolation (PTI):  YES 
  * PTI enabled and active:  YES 
  * Reduced performance impact of PTI:  YES  (CPU supports PCID, performance impact of PTI will be reduced)
* Running as a Xen PV DomU:  NO 
> STATUS:  NOT VULNERABLE  (Mitigation: PTI)

Tak więc raz, że pomyliłem jedno z drugim, dwa wiem tyle co zjem, a że byle co jem to… :smiley:
Edyta: i muszę dodać, że tytułowy błąd, nie jest pokazywany przez journalctl w Mabox. Podejrzewam że w Manjaro podobnie, bo jak pisałem, nie zauważyłem tego nigdy w tych systemach.