LINUX.ORG.RU

Команда SUSE выпустила обновление безопасности Meltdown & Spectre

 , ,


1

2

Обновление затронуло как openSUSE Leap, так и Tumbleweed. Были выпущены ядра с базовой защитой против Meltdown и Spectre. Для Tumbleweed это ядро версии 4.14.13

Что сделано на данный момент:

  • Атака Meltdown полностью нивелирована при помощи Kernel Page Table Isolation (KPTI).

  • Атака Spectre Variant 1 была нивелирована заплатами, добавленными в код ядра. Однако не исключено, что где-то ещё остаются лазейки и разработчики SUSE готовы добавлять новые патчи в будущем.

  • Обновления Qemu для усложнения реализации Spectre Variant 2

  • Обновления Firefox, Chromium и Webkit2Gtk3, которые исключают атаку через Javascript для Meltdown и Spectre.

  • Spectre Variant 2 нивелирован лишь частично, так как для полной защиты требуется обновление микрокода CPU.

Несмотря на то, что было выпущено обновление для некоторых чипсетов Intel и AMD Ryzen, обновление микрокода Intel позже проявило себя как нестабильное и его решили откатить.

Как только Intel выпустит более стабильную версию микрокода для своих процессоров, будет выпущено соответствующее обновление.

Для openSUSE Tumbleweed пакет «ucode-intel» откатии до версии, в которой не было возможности Spectre атаки.

Для openSUSE Leap также откатили обновленные пакеты «ucode-intel», их необходимо понизить вручную, если вы столкнулись с такими проблемами, как ошибки MCE.

Это можно сделать, набрав в консоли:

– openSUSE Leap 42.2: zypper in -f ucode-intel-20170707-7.6.1
– openSUSE Leap 42.3: zypper in -f ucode-intel-20170707-10.1

>>> Подробности

★★★★★

Проверено: Aceler ()
Последнее исправление: Aceler (всего исправлений: 1)
Ответ на: комментарий от sluggard

Mint 17, четыре года без обновления ядра и пр ерунды. Пациент жив, не хватало, чтобы недоселерон ещe больше просел от криворуких патчей.

anonymous
()
Ответ на: комментарий от bernd

это снижает производительность

Да нет. Скорее познаешь неровность. То что прежде летало, не факт, что будет именно летать, но и не факт, что будет как прежде тормозить. То что было тормознутым, станет работать чуть быстрее, но и не факт, что будет именно быстро, и не факт, что вообще будет быстро. А может, именно для тебя ничего не изменится.

Смекаешь?

anonymous
()
Ответ на: комментарий от anonymous

То что было тормознутым, станет работать чуть быстрее, но и не факт

из-за чего может произойти убыстрение?

user_id_68054 ★★★★★
()

Пацаны, лень разбираться, подскажите че сканпелять в генте, чтоб закрыть всю эту муйню.

anonymous
()

какие же убогие бинарные дистры если обновление ядра с прошивками целое событие.

deity ★★★★
()
Ответ на: комментарий от mx__

Извините а причем тут SUSE ?

При том, что в конкрентной новости речь идёт про неё. Улавливаешь? Более того, указаны даже конкретные версии ядер и пакетов, специфичные для этой ветки дистров. Так что не гори.

Vier_E ★★★
()
Ответ на: комментарий от sluggard

так убунтойды говорят, мол сюзя мертва.
Хотя на самом деле живет и процветает, я кстати на нее с убунты и пришел с года 2009 наверное. Лучше пока ничего не видел, а перепробовал очень много, у меня под это дело выделен 1 ссд и 1 ХДД, проверяю каждый релиз разных дистров. На сегодняшний день opensuse устраивает больше всех.
И полюс, примерно где то в апреле этого года произойдет слияние пакетной базы SLE и openSUSE, с выходом SLE 15 и openSUSE 15.

Dead_Mozay
()
Ответ на: комментарий от anonymous

плацебо это пустышка и вера, что оно поможет. к этому патчу отношения это слово не имеет. я монтирую на компе видео, звук и т.д. мне не нужны патчи, которые тормозят мой комп. я за него денег заплатил чтоб он работал быстро и какой-то олень ментейнер теперь будет его замедлять. патч должен быть опциональным. захочет юзер - поставит.

bernd ★★★★★
()

Одно непонятно, почему собственно говоря, патчи должны быть в ядре, а не в фирмвари процессора?

AVL2 ★★★★★
()
Ответ на: комментарий от AVL2

Одно непонятно, почему собственно говоря, патчи должны быть в ядре, а не в фирмвари процессора?

Ты хочешь чтобы патч был в составе kernel-firware? Типа как блоб что-ли, и зачем это надо?

anonymous
()
Ответ на: комментарий от anonymous

она самая, теперь openSUSE от SLE будет отличаться только отсутствием платной поддержки

Dead_Mozay
()
Ответ на: комментарий от bernd

мне не нужны патчи, которые тормозят мой комп. я за него денег заплатил чтоб он работал быстро и какой-то олень ментейнер теперь будет его замедлять.

Замедления ты не почувствуешь. Ибо оно в количественном измерении, именно для тебя, составит пренебрежительно малую величину. Слово «плацебо» именно в этом смысле упоминалось. Ширше надо мыслить друг мой.

патч должен быть опциональным. захочет юзер - поставит.

Дыру в безопастности сделать опциональной? Я взоржал 😆 😆 😆

anonymous
()

Почему мини-новость, а не микро? Ведь именно такое количество пользователей этого зелёного недоразумения.

anonymous
()

Отлично! А то на днях обновлялся, но уязвимым остался

CryNet ★★★★★
()
Ответ на: комментарий от anonymous

Ты хочешь чтобы патч был в составе kernel-firware? Типа как блоб что-ли, и зачем это надо?

Так а баг где ? Вообще интересный вопрос. Может патчи это как временный вариант пока не выпустят нормальный фирмваре ?

mx__ ★★★★★
()
Ответ на: комментарий от mx__

Так а баг где ?

Он внутри кристалла, в арифметико-логическом устройстве.

Вообще интересный вопрос. Может патчи это как временный вариант пока не выпустят нормальный фирмваре ?

А может, и не временный вариант. Патч патчу рознь. А может, латают ребята из kernel.org, что не на зарплате у Intel. Потому как Линус ругал Intel за то, что они плохую заплатку сделали, и заботит их их в первую очередь имидж.

Обычно в нормальный kernel-firmware помещают голимую и проприетарную шваль периферию, типа сетевых марштрутизаторов. Спектром и мельдонием уязвлено арифметико-логическое устройство самого центрального микропроцессора. И заплатки должны быть в ветке исходных кодов самого ядра Linux.

Под названиями спектре и мельдоний подразумевается целый класс уязвимостей. и всё это надолго.

Смекаешь?

anonymous
()
Ответ на: комментарий от anonymous

Потому-что на аватарке у него «немецкий орёл»!

Лютое 4.2. На автарке у меня волшебная поня. А если у кого фантазия слегка воспалена, то это уже не ко мне вопросы.

Vier_E ★★★
()
Ответ на: комментарий от anonymous

Смекаешь?

Ага понятно. После нового фирм-вара ядро уже не может работать с новой прошивкой и требует какого то патча для своей работы.

mx__ ★★★★★
()
Ответ на: комментарий от Pyzia

Novell-один из трёх китов наряду с ред хет и каноникал, основной бизнес которых-линукс.

Такая ирония! Эх…

anonymous
()
Ответ на: комментарий от anonymous

Радость быть админом локалхоста.

anonymous
()
Ответ на: комментарий от anonymous

Компиляй KRNL32.DLL, базарю ещё захочешь.

anonymous
()
Ответ на: комментарий от mx__

Может патчи это как временный вариант пока не выпустят нормальный фирмваре ?

Meltdown не исправить микрокодом. Spectre, впрочем, тоже.

anonymous
()
Ответ на: комментарий от bernd

Ну если вы заплатили за железо с дырами, в которые слоны бегом пробегают, не зацепляясь за края, то пинать надо совсем не мейнтейнера вашего дистра, не находите? :)

dv76 ★★★★
()
Ответ на: комментарий от bernd

В какой именно момент своей жизни ты понял, что мир тебе должен?

anonymous
()
Ответ на: комментарий от anonymous

Для десктопов это снижение производительности на уровне плацебо

Купишь нормальный SSD - узнаешь, какое это «плацебо».

anonymous
()
Ответ на: комментарий от anonymous

Ты хочешь чтобы патч был в составе kernel-firware? Типа как блоб что-ли, и зачем это надо?

ну да, это же логично, что ошибки в блобе исправляются в блобе...

AVL2 ★★★★★
()
Ответ на: комментарий от anonymous

Тогда не понятно какие претензии к создателям процессоров ? Вернее претензии есть, типа проц. дырявый и все такое, но если баг не исправить микрокодом то все. Создатели проца не могут что то там делать под различные ось. Им по идее плевать что там работает поверх процев.

mx__ ★★★★★
()
Ответ на: комментарий от deity

какие же убогие бинарные дистры если обновление ядра с прошивками целое событие.

У гентушников ебилды в прошлом году были готовы что-ли? У вас такое понятие как «релиз дистрибутива» вообще есть?

anonymous
()
Ответ на: комментарий от anonymous

если тебе интересно когда обновили прошивки и добавили PTI - добро пожаловать в дерево git, там все ответы на твои ответы .

deity ★★★★
()
Ответ на: комментарий от mx__

Создатели проца не могут что то там делать под различные ось.

Они делают. Получается говно, правда.

Им по идее плевать что там работает поверх процев.

Абсолютно нет.

anonymous
()
Ответ на: комментарий от anonymous

Не понял почему ? Что разве команду писателей ядра заставляют писать ядро под эти процы ?

mx__ ★★★★★
()

Атака Spectre Variant 1 была нивелирована заплатами, добавленными в код ядра.

Spectre Variant 2 нивелирован лишь частично, так как для полной защиты требуется обновление микрокода CPU.

А как именно исправлено Spectre?

Насколько я понимаю, Meltdown позволяет процессам читать память ядра, и оно фиксится патчем ядра — ядро больше не мапится в память процесса, читать нечего, problem solved.

Но Spectre позволяет читать память своего же процесса: скрипт на веб-странице может считать пароли из памяти браузера, но не более того. И фиксится это патчем браузера. Ну или фиксом процессора. Но что там можно фиксить в ядре? Ядро ведь итак может читать всю память, что там фиксить-то?

Как вообще можно исправить подобную проблему в ядре?

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.