Correggere spectre e meltdown su nuovo computer

Firewall, Server, Monitoring e tutto quello che riguarda la sicurezza della nostra Linux Box

Correggere spectre e meltdown su nuovo computer

Messaggioda jnbian » 01/06/2018, 11:24

Ciao a tutti, vorrei chiedervi un consiglio riguardo ad un nuovo computer nel quale devono ancora essere installati i sistemi operativi, windows 7 e debian testing.
Il mio dubbio è su come procedere riguardo a spectre e meltdown, infatti nonostante abbia fatto molte ricerche e letto molti articoli sull'argomento non ho ancora capito se è possibile correggere tutti e tre i bug e come bisogna procedere per ognuno di questi.

La scheda madre è una GA-Z170M-D3H ed il bios installato è il F22a.
Come potete vedere dalla pagina del produttore https://www.gigabyte.com/Motherboard/GA-Z170M-D3H-rev-10#support-dl-bios sono stati rilasciati 2 nuovi bios per migliorare la sicurezza.
Il processore è un i5 6400 e nella pagina del produttore è stato rilasciato un microcode di recente https://downloadcenter.intel.com/download/27776/?product=88185

Io posso aggiornare il bios alla versione più recente però vorrei capire questo cosa comporta, da quello che ho capito in questo modo sarà il bios a fare eseguire al processore il microcode più recente ma questo determinerà un peggioramento delle prestazioni. Correggetemi se sbaglio.
Un'alternativa all'aggiornamento del bios è quella di fare eseguire al kernel Linux il microcode più recente, vorrei capire se per fare questo è sufficiente utilizzare il kernel già presente in debian testing o devo installare qualche altro programma.

Eventualmente ci sono motivi per preferire un modo all'altro, io aggiornerei il bios, ci sono motivi per preferire l'esecuzione del microcode tramite kernel?

L'aggiornamento del bios corregge tutti e tre i bug?

Grazie.
jnbian
Jr. Member
Jr. Member
 
Messaggi: 86
Iscritto il: 11/10/2009, 23:39

Re: Correggere spectre e meltdown su nuovo computer

Messaggioda Aki » 01/06/2018, 19:26

jnbian ha scritto:L'aggiornamento del bios corregge tutti e tre i bug?

Dovresti chiederlo al produttore della scheda madre oppure, dopo l'installazione, effettuare una verifica con i programmi a tal fine predisposti, come quelli citati in altri messaggi di questa sezione del forum.

Nel link che hai inviato, in riferimento all'ultimo aggiornamento del firmware della scheda madre, il produttore della stessa indica chiaramente che è stato messo a disposizione degli utenti per apportare un aggiornamento del microcodice della CPU. Il produttore della CPU (Intel) al link che hai indicato specifica, se può esserti utile, che (soprattutto perché presumo consideri il caso generico di sistemi operativi proprietari):
Microcode is best loaded from the BIOS.

In pratica, comunque, nel caso di Debian GNU/Linux la "resistenza" alle vulnerabilità che hai indicato in oggetto è ottenuta da una combinazione dell'aggiornamento del microcodice della CPU (fornita comunque dal produttore della CPU e, nel caso di Debian, comunque verificata ed applicata dal sistema operativo se non già rilevato come attivo sulla CPU) e dalla introduzione di modifiche a tal fine apportate al kernel del sistema operativo.

Per i sistemi operativi proprietari, non ti saprei dire, ma con buona probabilità è applicabile lo stesso ragionamento.
Aki
Global Moderator
Global Moderator
 
Messaggi: 7813
Iscritto il: 27/12/2007, 16:59

Re: Correggere spectre e meltdown su nuovo computer

Messaggioda jnbian » 02/06/2018, 19:36

Grazie per la risposta.
In pratica posso procedere con l'aggiornamento del bios.
Per quanto riguarda le modifiche al kernel invece, installando debian testing il kernel dovrebbe già avere le correzioni, se decidessi di installare la stable queste modifiche sono già presenti anche nel suo kernel?

Comunque se ho capito bene devo procedere con l'installazione di entrambe i sistemi operativi ed poi eseguire i vari programmi per rilevare i bug, cerco tra le discussioni quali sono questi programmi.

Grazie.
jnbian
Jr. Member
Jr. Member
 
Messaggi: 86
Iscritto il: 11/10/2009, 23:39

Re: Correggere spectre e meltdown su nuovo computer

Messaggioda Aki » 03/06/2018, 9:47

jnbian ha scritto:Per quanto riguarda le modifiche al kernel invece, installando debian testing il kernel dovrebbe già avere le correzioni, se decidessi di installare la stable queste modifiche sono già presenti anche nel suo kernel?



jnbian ha scritto:vari programmi per rilevare i bug, cerco tra le discussioni quali sono questi programmi.

I programmi servono a verificare se il sistema operativo risulta essere potenzialmente vulnerabile. Per Debian Testing c'è uno specifico pacchetto chiamato spectre-meltdown-checker. Per i sistemi operativi proprietari, non è oggetto di approfondimento di questo forum, ma anche la Microsoft, ad esempio, ha sviluppato programmi analoghi: una ricerca con google potrà fornirti maggiori elementi.

Quando possibile, per cortesia, aggiorna la discussione rispetto al quesito posto per Debian.
Aki
Global Moderator
Global Moderator
 
Messaggi: 7813
Iscritto il: 27/12/2007, 16:59

Re: Correggere spectre e meltdown su nuovo computer

Messaggioda Underpass » 03/06/2018, 16:59

Inserisco qui una domanda: sapete se e quando verranno portate le patch per Meltdown e Spectre anche sui kernel a 32 bit? Sinceramente vorrei evitare di piallare un sistema in piedi da più di 10 anni per questa cosa...

Grazie.
Materia: contrasta i tentativi di mutazione operati dal Tempo, resiste agli attacchi dell'Energia, costringe il Pensiero a divenire pratico.
Avatar utente
Underpass
Hero Member
Hero Member
 
Messaggi: 710
Iscritto il: 09/08/2006, 2:09

Re: Correggere spectre e meltdown su nuovo computer

Messaggioda Aki » 25/06/2018, 10:17

Underpass ha scritto:Inserisco qui una domanda: sapete se e quando verranno portate le patch per Meltdown e Spectre anche sui kernel a 32 bit?

Al momento la risposta per Debian è indicata qui: https://wiki.debian.org/DebianSecurity/SpectreMeltdown#A32-bit_PC_.28i386.29 ed, in particolare:
The recommended mitigation for Meltdown for i386 users is to enable amd64 as an additional architecture (see Multiarch/HOWTO) and install a 64-bit kernel. Work is in progress to backport the meltdown patches to i386 to the kernel.
Aki
Global Moderator
Global Moderator
 
Messaggi: 7813
Iscritto il: 27/12/2007, 16:59


Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 1 ospite

cron