KAISER - błąd w układach Intela, ARM i AMD podatny na ataki Meltdown i Spectre
#81

[Aby zobaczyć linki, zarejestruj się tutaj]


Cytat:We have now identified the root cause for Broadwell and Haswell platforms, and made good progress in developing a solution to address it.
(...)
We recommend that (...) end users stop deployment of current versions, as they may introduce higher than expected reboots and other unpredictable system behavior.

Trochę czasu im to zajęło.
a kuku!
Odpowiedz
#82
Komedia w wykonaniu intela. Ich PR robi teraz chyba 28 godzin na dobę - te łatki mają bardzo duży wpływ na wydajność. Co z tego, że nie widać na operacjach CPU, jak dobitnie widać na I/O i np. serwery mocno dostają po tyłku? A tego już w broszurkach i materiałach informacyjnych nie ma, lub jest gdzieś daaaaleko i drobnym druczkiem. Do tego obecne poprawki najprawdopodobniej są po prostu niskiej jakości, tak uważa np. Linus Torvalds a trudno go uznać za kogoś, kto by nie wiedział co mówi:

[Aby zobaczyć linki, zarejestruj się tutaj]

Odpowiedz
#83
Dziś byłem w firmie którą mam opieką i na 10 komputerów, 3 które są najbardziej obciążone sqlem zwolniły mocno.
Gadałem z ich prawnikiem, myślą nad pozwem bo nowe sprzęty które mają niecały rok i to z górnej półki, teraz spadły z rowerka.
Odpowiedz
#84
(24.01.2018, 15:12)rogacz napisał(a):

[Aby zobaczyć linki, zarejestruj się tutaj]

Dziś byłem w firmie którą mam opieką i na 10 komputerów, 3 które są najbardziej obciążone sqlem zwolniły mocno.
Jeśli nie są wystawione na internet bezpośrednio te serwery, tylko komunikują się z innymi serwerami w sieci lokalnej firmy, są za firewallem i nie są przeznaczone do wykonywania kodu od niezaufanych osób (brak przeglądarki z Javascriptem, kont shell dla obcych, wgrywanie skryptów php, python przez obcych) to może wyłączyć działanie tych łatek?
Na razie nic nie wskazuje, by móc te luki wykorzystać do zdalnego ataku - ktoś musi uruchomić kod na serwerze, by móc je wykorzystać.
Odpowiedz
#85
@rogacz dokładnie taka sama obserwacja na serwerze z Xeonem E5 oraz MySQL (do tego PHP, całość wystawiona na świat).
Ostatnio nagle, bez żadnego powodu spadek wydajności. Myślałem, że to może kwestia "sąsiedztwa" bo to VPS na KVM, ale jednak nie, od tej strony gra gitara.
Odpowiedz
#86
@bluszcz o dziwo to nie serwery szwankują tylko desktopy które mają programy z sql. Serwer odpukać chodzi stabilnie. A co do braku aktualizacji jedyne na co mam zgodę od klienta to ich opóźnianie o maks 30 dni.
@lukasamd ogółem z tego co widzę to Intel dał ostro zadu z tym błędem. Tylko nam problemów narobił.
Odpowiedz
#87
Cytat:A co do braku aktualizacji jedyne na co mam zgodę od klienta to ich opóźnianie o maks 30 dni.
Żeby nie było - nie namawiam wszystkich ludzi do wyłączania tych łatek, a jedynie chcę uświadomić, że w specyficznych sytuacjach na serwerach czasem ich brak może nie spowodować zmniejszenia bezpieczeństwa. Główne to zależy od funkcji serwera i wynika z faktu potrzeby uruchomienia kodu przez napastnika na serwerze przed wykorzystaniem tych błędów w procesorach.
Odpowiedz
#88
Zapominasz o jednym Windows - tam sprzęty stoją tylko na windowsie, a łatka na te błędy wyszła w łatce zbiorczej.
Odpowiedz
#89
Z tego co czytałem w rejestrze Windowsa można wyłączyć działanie łatek na Spectre. Będzie zainstalowana, ale niektóre funkcje łatki nie będą działać.
Odpowiedz
#90
A nie mówisz czasem o tej blokadzie dostępności łatek dla producentów antywirusów? Wink
Odpowiedz
#91
Mówię o tym:

[Aby zobaczyć linki, zarejestruj się tutaj]

Zaczyna się od:
Cytat:#To disable the mitigations
Odpowiedz
#92
Czy te łatki zostały dodane do automatycznej aktualizacji systemu ?!
Warstwy ochrony

1)Ograniczenie/blokowanie dostępu do danych/aplikacji
2)Odizolowanie i tworzenie osobnych baz danych/aplikacji
3)Kopia zapasowa systemu/ważnych danych.
4)Wykrywanie i kasowanie wirusów/złośliwych aplikacji.
Odpowiedz
#93
Kolejne łatki, bo jak się okazuje mimo wcześniejszych wykryto udane ataki na te luki

[Aby zobaczyć linki, zarejestruj się tutaj]

"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpowiedz
#94
(02.03.2018, 11:46)ichito napisał(a):

[Aby zobaczyć linki, zarejestruj się tutaj]

Kolejne łatki, bo jak się okazuje mimo wcześniejszych wykryto udane ataki na te luki

[Aby zobaczyć linki, zarejestruj się tutaj]

Skąd info o tych udanych atakach? Bo w artykule nie ma o tym słowa.
Wcześniejszy załatany microcode od Intela łatający Spectre v2 miał błędy i powodował niestabilność systemu, dlatego został wycofany i teraz dostarczany jest nowy załatany i nie powodujący problemów ze stabilnością. Sam Microsoft pomaga dystrybuować go przez swoje usługi, co jest ciekawe. Ciekawe czy do Windowsa dodano obsługę ładowania microcodu do CPU podczas wczesnego etapu bootowania, tak jak to od wielu lat umie zrobić jądro Linux.
Odpowiedz
#95
(02.03.2018, 12:12)bluszcz napisał(a):

[Aby zobaczyć linki, zarejestruj się tutaj]

(02.03.2018, 11:46)ichito napisał(a):

[Aby zobaczyć linki, zarejestruj się tutaj]

Kolejne łatki, bo jak się okazuje mimo wcześniejszych wykryto udane ataki na te luki

[Aby zobaczyć linki, zarejestruj się tutaj]

Skąd info o tych udanych atakach? Bo w artykule nie ma o tym słowa.
Wcześniejszy załatany microcode od Intela łatający Spectre v2 miał błędy i powodował niestabilność systemu, dlatego został wycofany i teraz dostarczany jest nowy załatany i nie powodujący problemów ze stabilnością. Sam Microsoft pomaga dystrybuować go przez swoje usługi, co jest ciekawe. Ciekawe czy do Windowsa dodano obsługę ładowania microcodu do CPU podczas wczesnego etapu bootowania, tak jak to od wielu lat umie zrobić jądro Linux.
OK...tu są źródła

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpowiedz
#96
(02.03.2018, 12:34)ichito napisał(a):

[Aby zobaczyć linki, zarejestruj się tutaj]

OK...tu są źródła

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]


Z tych trzech linków w zasadzie tylko pierwszy mówi o zmodyfikowanych atakach, które być może będą w stanie ominąć sprzętowe załagodzenia problemów na wcześniejsze warianty, ale w oryginalnej pracy w abstract'cie i wnioskach nie znalazłem potwierdzenia sukcesu wykonania tych ataków na zaktualizowanych systemach i microcode'ach.
Drugi link to po prostu exploity na niezałatane systemy.
Trzeci mówi to co napisałem - patche na Spectre v2 w formie microcode Intela są wydane ponownie, pomimo że poprzednie łatały Spectre v2, gdyż poprzednie wprowadzały problemy ze stabilnością OSów.
Odpowiedz
#97
Ok... pewnie masz rację.
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpowiedz
#98
Czy te łatki coś dają i mają sens jeżeli producent mojej płyty nie wypuszcza i nie zamierza wypuścić aktualizacji biosu do niej?
Odpowiedz
#99
bluszcz ma rację - podlinkowane arty mówią o możliwościach ataku, a nie o 'udanych atakach' - poza tym, takie stwierdzenie sugeruje, że mamy do czynienia z wykorzystaniem luk do ataków na prawdziwe ataki wykrywane 'w prawdziwym życiu', a nie w laboratorium. O złapaniu jakiegoś szkodnika wykorzystującego Meltdown lub Spectre na gorącym uczynku jeszcze nie słyszałem.
Człowiek, któremu zazdroszczą najlepszych pomysłów na sygnatury...
Odpowiedz
(03.03.2018, 17:21)wredniak napisał(a):

[Aby zobaczyć linki, zarejestruj się tutaj]

Czy te łatki coś dają i mają sens jeżeli producent mojej płyty nie wypuszcza i nie zamierza wypuścić aktualizacji biosu do niej?
Na Meltdown i Spectre v1 nie potrzeba aktualizacji BIOSu, UEFI lub microcodu (w zasadzie BIOS, UEFI się aktualizuje, gdyż mają zaktualizowany microcode). Wystarczą aktualizacje systemu operacyjnego.
Jeśli chodzi o Spectre v2 to trzeba mieć aktualizację microcodu, ale Microsoft najwyraźniej dostrzegł powagę zagrożenia i słabość branży (brak aktualizacji UEFI nawet dla wielu stosunkowo nowych PCtów) i postanowił pomóc rozprowadzić w formie aktualizacji KB4090007. Na razie tylko dla Skylake. Windows ładuje microcode do CPU z dysku podczas bootowania. Po każdym wyłączeniu, restarcie (i chyba nawet uśpieniu) microcode się ulatnia z CPU i system ładuje go na nowo do CPU.
TL;TR
Tak, dają.

Osobne pytanie jest takie - czy będziemy chcieli pogodzić się ze spowolnieniem związanym z łagodzeniem błędu Spectre v2. Dużo osób pisze, że spadek wydajności jest większy niż w przypadku łatki na Meltdown, ale to bardziej subiektywne odczucia. Na szczęście da się wyłączyć łatkę przez klucze rejestru.
Odpowiedz


Skocz do:


Użytkownicy przeglądający ten wątek: 1 gości