intel-microcode: coming updates for meltdown/spectre

Firewall, Server, Monitoring e tutto quello che riguarda la sicurezza della nostra Linux Box

intel-microcode: coming updates for meltdown/spectre

Messaggioda Aki » 05/01/2018, 8:06

Alcuni aggiornamenti parziali ed iniziali del microcodice Intel sono stati caricati nei repository di Debian Testing e Unstable per gli exploit "meltdown" e "spectre". Vedere https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=886367
Aki
Global Moderator
Global Moderator
 
Messaggi: 7693
Iscritto il: 27/12/2007, 16:59

Re intel-microcode: coming updates for meltdown/spectre

Messaggioda dring » 08/01/2018, 22:39

feed your head
linuxuser # 2011188
Avatar utente
dring
Hero Member
Hero Member
 
Messaggi: 975
Iscritto il: 27/12/2010, 9:54
Località: Brescia

Re: intel-microcode: coming updates for meltdown/spectre

Messaggioda Aki » 20/01/2018, 23:33

Ho installato gli aggiornamenti del microcodice Intel su un computer con Debian Jessie a mia disposizione con i seguenti comandi:
Codice: Seleziona tutto
wget http://ftp.us.debian.org/debian/pool/non-free/i/intel-microcode/intel-microcode_3.20180108.1_amd64.deb
wget http://ftp.us.debian.org/debian/pool/contrib/i/iucode-tool/iucode-tool_2.2-1_amd64.deb
dpkg -i iucode-tool/iucode-tool_2.2-1_amd64.deb intel-microcode_3.20180108.1_amd64.deb

Ho, quindi, riavviato la macchina, ma dai log risulta:
Codice: Seleziona tutto
$ dmesg | grep micro
[    0.000000] CPU0 microcode updated early to revision 0x60f, date = 2010-09-29
[    0.008000] CPU1 microcode updated early to revision 0x60f, date = 2010-09-29
[    1.003209] microcode: CPU0 sig=0x10676, pf=0x80, revision=0x60f
[    1.003399] microcode: CPU1 sig=0x10676, pf=0x80, revision=0x60f
[    1.003732] microcode: Microcode Update Driver: v2.00 <tigran@aivazian.fsnet.co.uk>, Peter Oruba

Questo, se non erro, significa che la CPU Intel di questo computer (sig=0x10676, corrispondente a "Intel(R) Core(TM)2 Duo CPU P8400 @ 2.26GHz") ha già il microcodice successivo a quello fornito con l'ultimo aggiornamento (del 2010) di Intel che, quindi, non avrebbe considerato questo microprocessore nell'ambito degli aggiornamenti del microcodice rilasciati per le vulnerabilità spectre/meldown. La cosa strana è che Intel dichiara elenca la CPU P8400 tra quelle a cui si applica l'aggiornamento del microcodice all'indirizzo https://downloadcenter.intel.com/download/27431/Linux-Processor-Microcode-Data-File . A vostro avviso, sto sbagliando qualcosa ?

Scaricando dal sito intel il file del microcodice (chiamato "microcode-20180108.tgz"), scompattando il file ed usando il comando iucode_tool come indicato nel file https://sources.debian.org/src/iucode-tool/2.2-1/README/, risulta:
Codice: Seleziona tutto
# iucode_tool -L microcode.dat | grep 10676
  001/089: sig 0x00010676, pf_mask 0x01, 2010-09-29, rev 0x060f, size 4096
  001/091: sig 0x00010676, pf_mask 0x80, 2010-09-29, rev 0x060f, size 4096
  001/099: sig 0x00010676, pf_mask 0x10, 2010-09-29, rev 0x060f, size 4096
  001/151: sig 0x00010676, pf_mask 0x40, 2010-09-29, rev 0x060f, size 4096
  001/153: sig 0x00010676, pf_mask 0x04, 2010-09-29, rev 0x060f, size 4096

Questo significa che Intel non ha effettivamente rilasciato un aggiornamento del microcodice per la CPU "Intel(R) Core(TM)2 Duo CPU P8400 @ 2.26GHz".

Al contrario, le CPU per cui è stata rilasciato l'aggiornamento al 2018 del microcodice sembrerebbero essere solo:
Codice: Seleziona tutto
# iucode_tool -L microcode.dat | grep 2018
  001/157: sig 0x000806e9, pf_mask 0xc0, 2018-01-04, rev 0x0080, size 98304
  001/158: sig 0x000806ea, pf_mask 0xc0, 2018-01-04, rev 0x0080, size 98304
  001/159: sig 0x000906e9, pf_mask 0x2a, 2018-01-04, rev 0x0080, size 98304
  001/160: sig 0x000906ea, pf_mask 0x22, 2018-01-04, rev 0x0080, size 97280
  001/161: sig 0x000906eb, pf_mask 0x02, 2018-01-04, rev 0x0080, size 98304

Volendo estendere agli aggiornamenti da novembre 2017 (la riferita comunicazione riservata della vulnerabilità ai produttori di CPU dovrebbe risalire a giugno 2017) gli aggiornamenti delle CPU potrebbero essere:
Codice: Seleziona tutto
# iucode_tool -L microcode.dat | sort -k 6 | grep "201[78]-[01][12]"
  001/140: sig 0x000406e3, pf_mask 0xc0, 2017-11-16, rev 0x00c2, size 99328
  001/146: sig 0x000506e3, pf_mask 0x36, 2017-11-16, rev 0x00c2, size 99328
  001/145: sig 0x000306f4, pf_mask 0x80, 2017-11-17, rev 0x0010, size 17408
  001/144: sig 0x00040671, pf_mask 0x22, 2017-11-17, rev 0x001b, size 13312
  001/141: sig 0x000306d4, pf_mask 0xc0, 2017-11-17, rev 0x0028, size 18432
  001/148: sig 0x000306f2, pf_mask 0x6f, 2017-11-17, rev 0x003b, size 33792
  001/143: sig 0x00040661, pf_mask 0x32, 2017-11-20, rev 0x0018, size 25600
  001/142: sig 0x00040651, pf_mask 0x72, 2017-11-20, rev 0x0021, size 22528
  001/147: sig 0x000306c3, pf_mask 0x32, 2017-11-20, rev 0x0023, size 23552
  001/126: sig 0x000306e4, pf_mask 0xed, 2017-12-01, rev 0x042a, size 15360
  001/162: sig 0x00050654, pf_mask 0xb7, 2017-12-08, rev 0x200003c, size 27648
  001/154: sig 0x00050662, pf_mask 0x10, 2017-12-16, rev 0x0014, size 31744
  001/155: sig 0x00050663, pf_mask 0x10, 2017-12-16, rev 0x7000011, size 22528
  001/163: sig 0x000706a1, pf_mask 0x01, 2017-12-26, rev 0x0022, size 73728
  001/160: sig 0x000906ea, pf_mask 0x22, 2018-01-04, rev 0x0080, size 97280
  001/157: sig 0x000806e9, pf_mask 0xc0, 2018-01-04, rev 0x0080, size 98304
  001/158: sig 0x000806ea, pf_mask 0xc0, 2018-01-04, rev 0x0080, size 98304
  001/159: sig 0x000906e9, pf_mask 0x2a, 2018-01-04, rev 0x0080, size 98304
  001/161: sig 0x000906eb, pf_mask 0x02, 2018-01-04, rev 0x0080, size 98304
Aki
Global Moderator
Global Moderator
 
Messaggi: 7693
Iscritto il: 27/12/2007, 16:59

Re: intel-microcode: coming updates for meltdown/spectre

Messaggioda Underpass » 21/01/2018, 13:21

Ho fatto gli stessi tuoi passi e ho un risultato analogo (anche io ho un processore Intel Core 2 Duo 8400, ma a 3 GHz).

Secondo me la situazione è comunque transitoria. Anche sul fronte Microsoft continuano a uscire patch alle patch, credo che ne sapremo più nelle prossime settimane.
Materia: contrasta i tentativi di mutazione operati dal Tempo, resiste agli attacchi dell'Energia, costringe il Pensiero a divenire pratico.
Avatar utente
Underpass
Hero Member
Hero Member
 
Messaggi: 700
Iscritto il: 09/08/2006, 2:09

Re: intel-microcode: coming updates for meltdown/spectre

Messaggioda Aki » 21/01/2018, 19:37

Grazie per il riscontro. I processori Intel che risultano hanno ricevuto aggiornamento del firmware come mitigazione della vulnerabilità "spectre" sono:
Codice: Seleziona tutto
IVT C0          (06-3e-04:ed) 428->42a
SKL-U/Y D0      (06-4e-03:c0) ba->c2
BDW-U/Y E/F     (06-3d-04:c0) 25->28
HSW-ULT Cx/Dx   (06-45-01:72) 20->21
Crystalwell Cx  (06-46-01:32) 17->18
BDW-H E/G       (06-47-01:22) 17->1b
HSX-EX E0       (06-3f-04:80) 0f->10
SKL-H/S R0      (06-5e-03:36) ba->c2
HSW Cx/Dx       (06-3c-03:32) 22->23
HSX C0          (06-3f-02:6f) 3a->3b
BDX-DE V0/V1    (06-56-02:10) 0f->14
BDX-DE V2       (06-56-03:10) 700000d->7000011
KBL-U/Y H0      (06-8e-09:c0) 62->80
KBL Y0 / CFL D0 (06-8e-0a:c0) 70->80
KBL-H/S B0      (06-9e-09:2a) 5e->80
CFL U0          (06-9e-0a:22) 70->80
CFL B0          (06-9e-0b:02) 72->80
SKX H0          (06-55-04:b7) 2000035->200003c
GLK B0          (06-7a-01:01) 1e->22
Aki
Global Moderator
Global Moderator
 
Messaggi: 7693
Iscritto il: 27/12/2007, 16:59

Re: intel-microcode: coming updates for meltdown/spectre

Messaggioda Underpass » 23/01/2018, 9:38

Ciao Aki e ciao a tutti,

L'ho trovato oggi e non mi pare tanto offtopic...

http://www.ilpost.it/2018/01/23/spectre ... l-riavvii/
Materia: contrasta i tentativi di mutazione operati dal Tempo, resiste agli attacchi dell'Energia, costringe il Pensiero a divenire pratico.
Avatar utente
Underpass
Hero Member
Hero Member
 
Messaggi: 700
Iscritto il: 09/08/2006, 2:09

Re: intel-microcode: coming updates for meltdown/spectre

Messaggioda Spoon » 23/01/2018, 15:17

Credo che il problema descritto nell'articolo corrisponda a questo bug del pacchetto intel-microcode
https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=886998
che riguarda la versione datata 8 gennaio. Per fortuna apt-listbugs avvisa durante l'aggiornamento.

Il bug è segnato come risolto ma come si può intuire dalla versione del pacchetto non hanno fatto altro che regredirlo a quella precedente, come suggerito da Intel. Il tutto confermato dalla descrizione dell'aggiornamento:
https://tracker.debian.org/news/926705
Spoon
wiki member
wiki member
 
Messaggi: 325
Iscritto il: 23/11/2013, 14:37

Re: intel-microcode: coming updates for meltdown/spectre

Messaggioda Aki » 10/02/2018, 10:18

Allego le ultime news di Intel in merito agli aggiornamenti attualmente in essere del microcodice per le vulnerabilità, con indicazione per le CPU, presumo vulnerabili, per le quali esiste o non esiste un aggiornamento del firmware come mitigazione. Da quanto leggo, non esistono possibilità di mitigazione a livello di kernel delle vulnerabilità tipo "spectre", tranne che una generica possibilità per una delle due varianti, le cui patch comunque ancora non sono - da quanto mi sembra - nel kernel Debian. In questo momento, effettivamente, la scelta d’acquisto per CPU Intel, per questo aspetto, deve essere molto mirata.
Allegati
microcode-update-guidance.pdf.tar.gz
(414.37 KiB) Scaricato 25 volte
Aki
Global Moderator
Global Moderator
 
Messaggi: 7693
Iscritto il: 27/12/2007, 16:59


Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 1 ospite