Intelin prosessoreista löytynyt bugi vaatii suorituskykyyn vaikuttavan käyttöjärjestelmätason

[Kaotik]

Näyttää siltä, että AMD:tä vastaan ollaan nostamassa ryhmäkanteita Yhdysvalloissa. Juttu perustuu AMD:n lausuntoihin Spectre-haavoittuvuuteen liittyen. AMD itse sanoo näiden kanteiden olevan perusteettomia eikä se ole missään väittänyt olevansa molemmille Spectre-varianteille immuuni. Lakifirma Pomeranz kirjoittaa

"In response to the Project Zero team's announcement, a spokesperson for AMD advised investors that while its own chips were vulnerable to one variant of Spectre, there was "near zero risk" that AMD chips were vulnerable to the second Spectre variant. Then, on January 11, 2018, post-market, AMD issued a press release entitled "An Update on AMD Processor Security," acknowledging that its chips were, in fact, susceptible to both variants of the Spectre security flaw."
​

Near zero risk of exploitation ei tarkoita samaa kuin zero risk.

• AMD Targeted By Class Action Suit Over Spectre Vulnerabilities
• Advanced Micro Devices, Inc.: Rosen Law
  
• Advanced Micro Devices, Inc.

Ja AMD on pysynyt kannassaan että se on melkein mahotonta hyödyntää variant 2:sta AMD:n prossuilla ja se mikrokoodipäivitys julkaistaan vain vapaaehtoisena niille jotka eivät halua sitä teoreettistakaan riskiä kantaa

 

[jakoka]

Mikä kaikki tuohon päivityksen tulemiseen vaikuttaa? Avira käytössä ja tuo rekisteriavain on asettunut rekisteriin, mutta päivitystä ei vaan näy.

Mulla auttoi windows defenderin aktivointi ja päivittämien (Win7). Mutta mulla oli Windows update muutenkin jossain limbotilassa, eli ei ollut ladannut mitään päivityksiä vähään aikaan.

 

[selbi]

Onhan se kieltämättä huomattava jos joutuu laskemaan että tehdäkseen asian X on ennen käyttänyt esim. 8 tuntia aikaa (työpäivä) mutta jos päivitys aiheuttaa uudelleen käynnistymisiä ja buuttailuita sekä muuta epävakautta aikaa tulee kulumaan X tuntia enempi ja pahimmillaan jotain korruptoituu kun kone päättää kaatua...

Pahimmassa tapauksessa koko kone ei enää käynnistä ollenkaan (tämä taisi koskea vain windown updaten kautta saatua päivitystä ja vanhoja amd:n prossuja mutta kuitenkin)

--

Vielä palatakseni tuohon selaimen hyväksikäyttöön niin kyllä esimerkiksi jokin XSS on tällä hetkellä vakamapi ongelma kuin Spectre. XSS:n avulla injektoidaan BeEF-sivulle ja tuon avulla näytetään käyttäjälle, että "nyt tämä plugini/flash playeri pitää päivittää" sopivasti muotoiltuna teemaan sopivana. Käyttäjä lataa sopivan payloadin koneelle ja remote shell yhteys on luotu. Kaiken tämän pystyy oikeasti kouluttamantonkin apina toteuttamaan, koska työkalut ovat luokkaa "paina nappia, niin hyökkäys ajautuu automaattisesti". Tämä nyt ei suoraan liity aiheeseen mutta näin niinkuin pientä perspektiiviä tuomaan.

 

[vrman]

Niin mitä tässä nyt pitää tehdä?

- päivittää BIOS..
- ...ja sitten päivittää win 10?

En tiedä onko windowsi automaattisesti hakenut jotain päivityksiä, mutta ainakaan tosta päivitys-logeista en löydä mitään tietoturva päivytyksiä tulleen. Vai voiko ne asentaa vasta BIOS-päivityksen jälkeen?

Ja ennenkaikkea: tarviiko tätä päivitystä edes tehdä jos kone kerran hidastuu ~5% tai ehkä enemmän jos tämä aukko on kerran ollut olemassa jo 20 vuotta? Ainakin ajattelin odotella vähän aikaa jos tulee tonne BIOS:n päivitykseen vielä jotain korjauksia. Tänään tullut taas uusi versio.. nyt 1.60 asrockin sivuilla (viikko sitten tullut 1.50 oli tuo 'CPU security update').

 

[prc]

Niin mitä tässä nyt pitää tehdä?

- päivittää BIOS
- päivittää win 10

En tiedä onko windowsi automaattisesti hakenut jotain päivityksiä, mutta ainakaan tosta päivitys-logeista en löydä mitään tietoturva päivytyksiä tulleen. Vai voiko ne asentaa vasta BIOS-päivityksen jälkeen?

Ja ennenkaikkea: tarviiko tätä päivitystä edes tehdä jos kone kerran hidastuu ~5% tai ehkä enemmän jos tämä aukko on kerran ollut olemassa jo 20 vuotta? Ainakin ajattelin odotella vähän aikaa jos tulee tonne BIOS:n päivitykseen vielä jotain korjauksia. Tänään tullut taas uusi versio.. nyt 1.60 asrockin sivuilla (viikko sitten tullut 1.50 oli tuo 'CPU security update').

Mäsän sivuilta voit ladata manuaalisesti, kunhan katsot että mahdollinen virusturvasi toimii tuon kanssa, jossain oli se AV lista. ( https://support.microsoft.com/en-us...your-windows-devices-against-spectre-meltdown )

^ Tuo pätsää meltdownin, bios pätsi sitten toisen Spectre variantin, toiselle Spectre variantillle ei ole korjausta ennekuin joskus vuosien saatossa tulee CPU arkkitehtuuri jossa se on korjattu.

Jos huolesi on pelikäyttö, niin ei hidastu kun 0-1% noin niinkuin yleisesti. Weppiselailussa yms peruskotikäytössä et huomaa eroa. Ongelma on konesalit ja palvelun tarjoajat, joiden täytyy jostain keksiä hitosti lisää kapasiteettia.

Se että aukko on ollut 20v ei merkitse mitään, nyt se on tiedossa ja nyt sitä hyödyntäen aletaan hyökätä kunnolla. Ennen ei ole ollut yleisessä tiedossa, joten ei ole osattu hyökättään.

Ehkä jotkut vakoilu/turvallisuusviranomaiset ovat voineet tietää, mutta niitä nyt ei tavan tallaajan puucee kiinnosta ja niille olisi erittäin haitallista käyttää moista hyökkäystä yleisesti, koska sillon haavoittuvuuden paljastumisen riski kasvaa.

 

[vrman]

Lisäys, kiitos @prc :

ajoin tuon GRC:n ohjelman ja sanoo, että Meltdown:n osalta on suojattu, Spectren ei. Eli ilmeisesti windowsi on jotain päivityksiä ladannut.

Pitää asentaa tuo BIOS:n patchikin sitten lähipäivinä.

 

[yyri]

Itsellä ilmeisesti windows update jotenkin solmussa, diagnostiikka sanoo että

"Havaittiin mahdollinen windows update tietokantavirhe - tunnistettu" sekä "Korjaa windows update -osat -ei suoritettu"

Ajoin sfc scannowin ja DISM.exen microsoftin ohjeiden mukaan eikä nuokaan mitään löytänyt... Mikähän tässä nyt mättää. Pitänee työntää nämä tuonne windows 10 ketjuun niin ei sotkeennu tämä enempää.

 

[kuluttaja]

BBS-viestiketju jäi alkuksi puuttumaan, tässä vielä kommentit uutisen puolelta:

Ja kuinkas vanhoja prossuja tämä bugi mahtaa koskea? ”Intelin prosessorit” kattaa aika laajan skaalan tietotekniikan historiaa.
On kyllä kätevä tapa taas myydä uutta tuotetta 50% suorituskykyhyppyä mainostaen. Melko pitkällä tähtäimellä Intel suunnitellut tätä myynnin edistämistä kun aika vanhojakin vehkeitä koskee, kivasti saa näitä vanhempiakin ajelevia painostettua ostamaan uutta nopeaa (kallista)…

Joka paikassa löydän vaan tekstin ”past decade”, mutta tarkkaa ajankohtaa en löydä. Melkein voisi sanoa että kaikkia, kun luulisi vanhemman Intelin omistavien olevan häviävän pieni käyttäjäkunta.

Jossakin c2d alkaen luokkaa 2006 , eli käytännössä kaikkia

Ilmeisesti tosi pahasta viasta kyse ku intelin pomo meni myymää kaikki ylimääräset osakkeet enne julkistamista.

Ja tämähän ei sitten vaikuta ollenkaan epäilyttävältä sisäpiiritiedon väärinkäytöltä.

Jossain sanottiin, että edellinen Intelin suoritin, jossa ei varmasti ole k.o. bugia on alkuperäinen Pentium.

Tais nousta mun Pentiumeiden arvo tai sitten ei

Mitä tässä nyt vaikeaa? Itsellä kahvi alusta, emolevyn uusin bios päivitys korjasi laitepuolen haavoittuvuuden mikäli testiä uskominen, eli vihreää OK testissä.

 

[kuluttaja]

Mitä tässä nyt vaikeaa? Itsellä kahvi alusta, emolevyn uusin bios päivitys korjasi laitepuolen haavoittuvuuden mikäli testiä uskominen, eli vihreää OK testissä. Vai eikö löydy päivitystä vanhempiin emo/CPU:hin?

 

[kuluttaja]

Lisäys, kiitos @prc :

ajoin tuon GRC:n ohjelman ja sanoo, että Meltdown:n osalta on suojattu, Spectren ei. Eli ilmeisesti windowsi on jotain päivityksiä ladannut.

Pitää asentaa tuo BIOS:n patchikin sitten lähipäivinä.

Itsellä teki saman kunnes ajoin uuden bios päivityksen.

 

[kuluttaja]

Lisäys, kiitos @prc :

ajoin tuon GRC:n ohjelman ja sanoo, että Meltdown:n osalta on suojattu, Spectren ei. Eli ilmeisesti windowsi on jotain päivityksiä ladannut.

Pitää asentaa tuo BIOS:n patchikin sitten lähipäivinä.

Itsellä teki saman kunnes ajoin uuden bios päivityksen.

Eli jos löytyy uudehko bios päivitys, laita se. Itsellä hidastui hieman kovalevyt/SSD:t, mutta pieni ero.

 

[Taneli-]

@kuluttaja uusi käyttäjä juuri tänään rekisteröitynyt jolla 4 viestiä ja kaikki peräjälkeen tässä ketjussa. Tuota, yhteen viestiin voi lainata useampia käyttäjiä ja sitä viestiä voi myös editoida.

Tervetuloa kuitenkin uutena käyttäjänä foorumille keskustelemaan sinulle selvästi tärkeästä asiasta.

Ettei viestin sisältö olisi pahasti offtopiccia niin:
Itsellä ei AMD prosessorin käyttäjänä (1700X, 8-ydintä/16-säiettä) ole onneksi ihan kaikkia ongelmia mitä tässäkin ketjussa päivitellään ja hyvä että osa emolevyjen valmistajista on alkanut auttamaan Inteliä tuoden päivityksiä ongelmiin mitkä varsinkin vanhemmilla prosessoreilla voivat jäädä miiten helposti paikkaamatta. Toivotaan parasta siis ja saa nähdä koska Intel saa uudet prosessorit ulos missä tätä bugia ei alunperinkään ole olemassa.

 

[Hannibal]

Niin mitä tässä nyt pitää tehdä?

- päivittää BIOS..
- ...ja sitten päivittää win 10?

En tiedä onko windowsi automaattisesti hakenut jotain päivityksiä, mutta ainakaan tosta päivitys-logeista en löydä mitään tietoturva päivytyksiä tulleen. Vai voiko ne asentaa vasta BIOS-päivityksen jälkeen?

Ja ennenkaikkea: tarviiko tätä päivitystä edes tehdä jos kone kerran hidastuu ~5% tai ehkä enemmän jos tämä aukko on kerran ollut olemassa jo 20 vuotta? Ainakin ajattelin odotella vähän aikaa jos tulee tonne BIOS:n päivitykseen vielä jotain korjauksia. Tänään tullut taas uusi versio.. nyt 1.60 asrockin sivuilla (viikko sitten tullut 1.50 oli tuo 'CPU security update').

Esimerkkinä... Viimeiset 20 vuotta asuntosi avain on ollut ulko-oven maton alla piilossa.
Nyt sitten kaikki tietävät, että avain on siellä, kun tieto on julkaistu kaikissa mahdollisissa medioissa.
Eli on sillä merkitystä. AIkaisemmin kukaan vain ei tiennyt siitä mitään.

 

[DiamondTear]

Ne pahat ohjelmat pääsee sille koneelle nimeomaan hyödyntämällä tällaisia exploitteja eli jos niitä ei paikkaa niin se paha ohjelma pystyy pääsemään mutta jos ne paikkaa niin se pahaohjelma ei pysty pääsemään.

Mutta sen pahan ohjelmanhan pitää olla jo koneella, kun exploitissa on kyse kerran siitä, että "Systems with microprocessors utilizing speculative execution and indirect branch prediction may allow unauthorized disclosure of information to an attacker with local user access via a side-channel analysis." - Eli tiedon lukemisesta.

 

[kuluttaja]

Ketjussa puhuttiin myös suorituskyvyn putoamisesta. Omassa 8700k alustassa 1080Ti en huomannut mitään eroa aikaisempaan, vaikka sekä Win että rautapuolen haavoittuvuus paikattu. Pientä luku/kirjoitusnopeuden alenemaa, jos ei mene mittausvirheen piikkiin. Ajoin Cinebenchiä, 3Dmark Firestrikea, sekä Aida64 muistikaistatestejä. Aida64:ssa jopa hieman nousi muistikaista-arvot, mutta sekin mittavirhemarginaalin sisällä.

 

[spede]

Ei kyllä yhden jätkän anekdoottinen "ei mitään eroa aikaisempaan" paljoa paina, kun ihan mitattua tilastotietoa löytyy mm. tästä ketjusta tuosta suorituskyvyn putoamisesta.

 

[kuluttaja]

Ei kyllä yhden jätkän anekdoottinen "ei mitään eroa aikaisempaan" paljoa paina, kun ihan mitattua tilastotietoa löytyy mm. tästä ketjusta tuosta suorituskyvyn putoamisesta.

No näin omalla alustalla. Mittasin nimenomaan samoilla testeillä ennen ja jälkeen. Ei sitä tarvitse uskoa. Tämä vaan kommenttina. Sen taki ihmettelinkin miksei omassa tullut tiputusta kun odotin sitä. En tiedä vaikuttaako ylikellotus kuinka paljon asiaan. 6 ydintä 4.8 GHz synkattuna.

Tuloksia 3DMark

ennen

https://www.3dmark.com/fs/14156426


jälkeen, tänään ajettu,


https://www.3dmark.com/fs/14735859


huomioitavaa tänään CPU 4.6 GHz ja ennen 4.8 GHz.

 

[Jho]

No näin omalla alustalla. Mittasin nimenomaan samoilla testeillä ennen ja jälkeen. Ei sitä tarvitse uskoa. Tämä vaan kommenttina. Sen taki ihmettelinkin miksei omassa tullut tiputusta kun odotin sitä. En tiedä vaikuttaako ylikellotus kuinka paljon asiaan. 6 ydintä 4.8 GHz synkattuna.

Tuloksia 3DMark

ennen

https://www.3dmark.com/fs/14156426


jälkeen, tänään ajettu,


https://www.3dmark.com/fs/14735859


huomioitavaa tänään CPU 4.6 GHz ja ennen 4.8 GHz.

Joo-o. Eri OC prossussa kuten jo mainittu + näyttiksen ajurikin päivittynyt testien välissä. Mikäköhän järki tässä nyt oli

 

[kuluttaja]

Joo-o. Eri OC prossussa kuten jo mainittu + näyttiksen ajurikin päivittynyt testien välissä. Mikäköhän järki tässä nyt oli

Lähinnä se ettei kyse ole ainakaan omalla koneella kuin max 1-3 % muutoksesta. Sillä ei ole merkitystä. Jossain oli testattu 10-15 % eroavaisuutta suorituskyvyssä. Tiedoksi ettei GTX 1080Ti kortilla koskaan ole suurempaa vaikutusta ajurilla tuloksiin, jokaisella mittauksella ohjain voi turbota hieman erilailla (3DMark ei näytä aina oikein sitä), joten pitää ajella 10 ajoa että näkee keskiarvon siitäkin. Kuitenkin 10 % olisi jo 2300 p mikä näkyy selkeästi.

EDIT: Cinebenchillä erot todella vähäisiä ennen/jälkeen.
EDIT1: uusissa mittauksissa käytetty viikko sitten julkaistua Asuksen uusinta emarin biosia.

 

[herccu]

Vanhemmillahan taitaa muuten olla vielä pakettikone Nehalemilla ja seiskalla käyttökoneena. Turha varmaan odottaa päivityksiä mistään suunnasta. Noh, jospa tähän uskolliseen 2500k-sotaratsuun tulisi pätsiä, niin voisi hyvillä mielin loppusijoittaa sinne ja pistää vähän tuoreempaa alle taas vaihteeksi

 

[Ademeion]

Monet käyttäjät ovat arvuutelleet parhaillaan vellovan päivitysrumban keskellä onko se oma tietokone nyt vihdoin paikattu...

Toisin sanoen monet käyttäjät ovat laittaneet muut arvailemaan koneensa paikkaustilannetta? "Arvuuttaminen" tarkoittaa sitä, että esitetään arvoitus (tai senkaltainen kysymys) jollekulle toiselle. Tarkoitus on varmaankin ollut sanoa, että "monet käyttäjät ovat arvailleet...".

 

[Kaotik]

Toisin sanoen monet käyttäjät ovat laittaneet muut arvailemaan koneensa paikkaustilannetta? "Arvuuttaminen" tarkoittaa sitä, että esitetään arvoitus (tai senkaltainen kysymys) jollekulle toiselle. Tarkoitus on varmaankin ollut sanoa, että "monet käyttäjät ovat arvailleet...".

Emme kirjoita puhdasta kirjakieltä, vaan kieltä käytetään hieman vapaammin. Lisäksi: ​

Lähetä palautetta / raportoi kirjoitusvirheestä

 

[DEMON IN AIR]

^
^


Asus Strix B250F bios päivitetty ja wintoosa paikattu. Ei havaittavaa haittavaikutusta. Pelit ja porno pyärii...

 

[Zesmaster2]

Mulla auttoi windows defenderin aktivointi ja päivittämien (Win7). Mutta mulla oli Windows update muutenkin jossain limbotilassa, eli ei ollut ladannut mitään päivityksiä vähään aikaan.

Vinkin takia päätin poistaa avastin ja ottaa windows defenderin käyttöön. Jo alkoi päivitys löytymään. Sinäänsä huvittavaa, että meltdown päivitys oli jo reilun viikon asennettuna, mutta tänään tuli creators update, minkä jälkeen testi näytti koneen olevan taas haavoittuva eikä windows enää löytänytkään tammikuun tietoturva korjausta...

 

[user9999]

Omaan Gigabyte GA-H270N-WIFI on näköjään julkaistu F8b bios (Update CPU Microcode). Tuo kone on nyt siinä käytössä mihin se tarkoitettu eli pfSense laitteena.
Odoteltava vielä, että pfSense (FreeBSD) saa jotain korjattua.
An update on Meltdown and Spectre

Päivitin biossin Gigabyte GA-H270N-WIFI emoon ja testasin winkkarilla.

Spoileri: Testi

PS C:\Windows\system32> Get-SpeculationControlSettings
Speculation control settings for CVE-2017-5715 [branch target injection]
For more information about the output below, please refer to https://support.microsoft.com/en-in/help/4074629

Hardware support for branch target injection mitigation is present: True
Windows OS support for branch target injection mitigation is present: True
Windows OS support for branch target injection mitigation is enabled: True

Speculation control settings for CVE-2017-5754 [rogue data cache load]

Hardware requires kernel VA shadowing: True
Windows OS support for kernel VA shadow is present: True
Windows OS support for kernel VA shadow is enabled: True
Windows OS support for PCID performance optimization is enabled: True [not required for security]

BTIHardwarePresent : True
BTIWindowsSupportPresent : True
BTIWindowsSupportEnabled : True
BTIDisabledBySystemPolicy : False
BTIDisabledByNoHardwareSupport : False
KVAShadowRequired : True
KVAShadowWindowsSupportPresent : True
KVAShadowWindowsSupportEnabled : True
KVAShadowPcidEnabled : True

Itsellä todennäköisesti menee ihan ok tämä haavoittuvuus hässäkkä.

KUNNOSSA
1. Macit kunnossa. Tosin huhun mukaan 10.13.3 päivitys (It offers additional fixes for the Spectre and Meltdown vulnerabilities that were discovered and publicized in early January and fixed initially in macOS High Sierra 10.13.2.)
2. Mobiililaitteet (iOS) kunnossa
3. Supermicro X7DAL-E+, Intel® 5000X (Greencreek) Chipset, 2x Intel® Xeon® Processor E5430: Ei haavoittuva eli kunnossa
4. Intel® NUC Kit NUC5i5RYH kunnossa
5. Synology DS-411-II: Ei haavoittuva
Synology-SA-18:01 Meltdown and Spectre Attacks | Synology Inc.

HAAVOITTUVAT
1. Gigabyte FA-H270N-Wifi, i7-7700T pfSense käytössä. Korjaus tulossa
An update on Meltdown and Spectre
2. Zotac ZBox IQ01, i7-4770T, Intel H87: Korjaus tulossa helmi- maaliskuussa
Spectre & Meltdown Bug | ZOTAC
3. QNAP TS-469 Pro: Korjaus tulossa
Security Advisory for Meltdown and Spectre Vulnerabilities - Technical Advisory

 

[Griffin]

5. Synology DS-411-II: Ei haavoittuva
1. Gigabyte FA-H270N-Wifi, i7-7700T pfSense käytössä. Korjaus tulossa

Mihin tarvitset noissa patchejä noihin haavoittuvuuksiin? Miten luulet, jotta joku voisi hyötyä noista aukoista? Ei noissa laitteissa pitäisi ajaa kolmannen osapuolen scriptejä tai muuta koodia, mitensattuu, kuten esim tietokoneen selaimissa.

 

[Stephen Elop]

Tässä scan pro audio testiä 8600 prossulla The impact of Meltdown and Spectre in the studio | Scan Pro Audio.
Eli ennen sai 64 samplen bufferilla samanaikaisesti 480 ääntä/raitaa erilaisilla efekteillä ja korjausten jälkeen 440. Noin 10% lasku pahimmillaan riippuen miten sen laskee, ja mielestäni sillä ainoalla kotikäyttäjälle oleellisella kuormalla.

Tää on mielestäni se pahin tapaus. Tosin jampalla on musta vähän siniset lasit, eli voi olla että haettu se pahin tehtävä, mutta testi softat ja muut laitteet valkattu siten että vaikutus ei ole niin hirveän paha mitä se voisi olla. Mahdollista tietenkin, että jotain muuta softaa käyttäen olisi tullut vieläkin pienemmät erot.

 

[miiksu]

Tässä scan pro audio testiä 8600 prossulla The impact of Meltdown and Spectre in the studio | Scan Pro Audio.
Eli ennen sai 64 samplen bufferilla samanaikaisesti 480 ääntä/raitaa erilaisilla efekteillä ja korjausten jälkeen 440. Noin 10% lasku pahimmillaan riippuen miten sen laskee, ja mielestäni sillä ainoalla kotikäyttäjälle oleellisella kuormalla.

Tää on mielestäni se pahin tapaus. Tosin jampalla on musta vähän siniset lasit, eli voi olla että haettu se pahin tehtävä, mutta testi softat ja muut laitteet valkattu siten että vaikutus ei ole niin hirveän paha mitä se voisi olla. Mahdollista tietenkin, että jotain muuta softaa käyttäen olisi tullut vieläkin pienemmät erot.

Eri asetukset kuin muissa testeissä? En löytänyt mitään vertailukelpoista tulosta muihin samantyylisiin testeihin. Näytti valikoidulta testiltä omilla asetuksilla.

 

[vmovapd]

Tällä viikolla tuli retpoline Linuxin 4.14- ja 4.9-kerneliin.

$ cat /sys/devices/system/cpu/vulnerabilities/meltdown
Not affected
$ cat /sys/devices/system/cpu/vulnerabilities/spectre_v1
Vulnerable
$ cat /sys/devices/system/cpu/vulnerabilities/spectre_v2
Vulnerable: Minimal AMD ASM retpoline

$ cat /sys/devices/system/cpu/vulnerabilities/meltdown
Mitigation: PTI
$ cat /sys/devices/system/cpu/vulnerabilities/spectre_v1
Vulnerable
$ cat /sys/devices/system/cpu/vulnerabilities/spectre_v2
Vulnerable: Minimal generic ASM retpoline

Spectre_v2:n kokonainen paikkaus kernelissä vaatii vielä kääntöä gcc:llä, joka tukee -mindirect-branch=thunk-extern fiitseriä.

kernelissä on jo tuki Ryzenin mikrokoodin lataukselle, mutta mikrokoodi-versio ei ole muuttunut /proc/cpuinfo:n mukaan, joten en tiedä tekeekö se /lib/firmware/amd-ucode/microcode_amd_fam17h.bin mitään.

 

[Atorox]

Tällä viikolla tuli retpoline Linuxin 4.14- ja 4.9-kerneliin.

Spectre_v2:n kokonainen paikkaus kernelissä vaatii vielä kääntöä gcc:llä, joka tukee -mindirect-branch=thunk-extern fiitseriä.

kernelissä on jo tuki Ryzenin mikrokoodin lataukselle, mutta mikrokoodi-versio ei ole muuttunut /proc/cpuinfo:n mukaan, joten en tiedä tekeekö se /lib/firmware/amd-ucode/microcode_amd_fam17h.bin mitään.

Onkos Microsoftin suunnalta kuulunut mitään retpolinen käyttöönottoon viittaavaa? Vanhemmissa koneissa (Haswellista alkaen) retpoline olisi ainakin Googlen puheiden perusteella monessa suhteessa parempi vaihtoehto, kuin nämä Intelin juosten kustut mikrokoodiräpellykset.

 

[jive]

Ensinnäkin, se suorituskykyvaikutus tulee TÄSSÄKIN vain kernel-kutsuihin.
Ei mihinkään userland-koodin ajamiseen. Ei vaikutus kotikäyttäjille hyvin pieni, ei huomattava, palvelimissa alkaa tuntua selvästi.

Riippuu kotikäyttäjästä. Minulla Dellin T3610:llä yocto build otti ennen mikrokoodipaikkausta 80min nyt kun Dell julkaisi tällekin koneelle korjauksen niin vaatimattomat 158min.

Kone siis Dell T3610, 128GB ECC, E5 1650v2 Xeon, SSD käyttis, NVMe build levy, VMware WSPro 11 hostissa, jossa 16.04.3LTS. Virtuaalikoneelle allokoitu 16GB rammia ja 8 corea. Xeon on juurikin Haswell sukupolven laite enkä yhtään ihmettele että virtualisointipuolen porukat on käärmeissään ...

Win10Pro päivitykset eivät vielä muuttaneet tilannetta mihinkään, mutta mikrokoodipäivitys sitte räjäytti pankin. Tarttee toivoa että jossakin vaiheessa tulee paikan paikko, muuten tämä kone muuttui juuri SER:ksi.

 

[Kleimo]

Olikohan jo täällä mutta Asrockin emoille tullut nyt liuta päivityksiä.

ASRock is aware that the current Intel® microcode version might be defected by security vulnerabilities, we are working closely with Intel®to fix and update new BIOS for ASRock 100/200/Z370/X299 series motherboards.New BIOS versions for ASRock 8/9/X99 series and SoC motherboards will be created after new intel microcode is available.

ASRock---New BIOS for Intel SA-00088 security update

 

[Tege]

Vähän nihkee toi Asrock kun saa kurkkia läpi mihin on ja mihin ei.

 

[IcePen]

Vähän nihkee toi Asrock kun saa kurkkia läpi mihin on ja mihin ei.

Tuota se ei varsinaisesti ole emolevyjen käyttötarkoitus

Mutta se on totta että en ole vielä tähänpäivään mennessä törmännyt emolevyvalmistajaan joka ei piilottaisi listaa BIOS päivityksen sisällöstä hirveänmonen klikkauksen taakse ja/tai typeriin nettisivun päälle aukeaviin ikkunoihin jotka ei pysty olemaan auki yhtäaikaa jonkin toisen BIOS päivityksen ikkunan kanssa niin että muutosten vertaileminen on mahdollisimman hankalaa.

 

[Cirrus]

No mutta elkääpä hätäilkö, jos tämä pitää paikkansa niin näyttää siltä ettei tää touhu jää Spectreen ja Meltdowniin:

Skyfall and Solace

Kuten täälläkin spekuloitu:

 

[TenderBeef]

RedHat reverts patches to mitigate Spectre Variant 2 - gHacks Tech News

RedHat previously released patches to mitigate this issue, however, in a rather controversial move, has decided to roll back these changes after complaints about systems failing to boot with the new patches, and instead is now recommending that, "subscribers contact their CPU OEM vendor to download the latest microcode/firmware for their processor."

 

[Asmola]

Korjausta koskeva video julkaistu YouTubessa;

Jatkossa voisit mainita suoraan viestissä mikäli kyseessä on oman videon mainostus. Mutta koska se informatiivinen aiheeseen liittyen niin antaa nyt olla.

 

[IcePen]

No mutta elkääpä hätäilkö, jos tämä pitää paikkansa niin näyttää siltä ettei tää touhu jää Spectreen ja Meltdowniin:

Skyfall and Solace

Kuten täälläkin spekuloitu:

Klikkkasin itseni tuolle "Skyfall and Solace" sivulle koneella jossa on vain Microsoftin oma "virustorjunta" onko syytä olettaan että tuon sivun kautta olisi jotain eitoivottua onnistunut pääsemään koneellenin.

 

[Threadripper]

Klikkkasin itseni tuolle "Skyfall and Solace" sivulle koneella jossa on vain Microsoftin oma "virustorjunta" onko syytä olettaan että tuon sivun kautta olisi jotain eitoivottua onnistunut pääsemään koneellenin.

Eiköhän koneellesi tarttunut vähintään yksi crypto ransomware, joten toivo omistavasi hyvät varmuuskopiot.

Vitsi vitsinä, itse en huomannut tuolta tulevan kuraa koneelle. Taitaa olla lähinnä vitsitarkoituksessa tehty sivusto joka ei kauaa tule olemaan netissä.

 

[selbi]

Klikkkasin itseni tuolle "Skyfall and Solace" sivulle koneella jossa on vain Microsoftin oma "virustorjunta" onko syytä olettaan että tuon sivun kautta olisi jotain eitoivottua onnistunut pääsemään koneellenin.

Ei sieltä mitään ole tullut ellet erikseen sieltä jotain ladannut

 

[Puurokulho]

Onkohan tätä ollu jo täällä jossain? Linus Torvalds antaa taas melkosen täyslaidallisen Intelin suuntaan:

Linux-Kernel Archive: Re: [RFC 09/10] x86/enter: Create macros to restrict/unrestrict Indirect Branch Speculation

 

[mRkukov]

Onkohan tätä ollu jo täällä jossain? Linus Torvalds antaa taas melkosen täyslaidallisen Intelin suuntaan:

Linux-Kernel Archive: Re: [RFC 09/10] x86/enter: Create macros to restrict/unrestrict Indirect Branch Speculation

Suomalaisguru ei anna armoa Intelille: ”Täyttä ja absoluuttista roskaa” samaa uutisoitu suomeksi.

 

[mRkukov]

Intel mokasi – Pyytää välttämään tuoreita tietoturvapäivityksiä

Ja lista prossuista joille ei kannata biosia päivittää:
https://newsroom.intel.com/wp-content/uploads/sites/11/2018/01/microcode-update-guidance.pdf

Monen Ivyn ja Sandyn kohdalla "Intel did not post a variant #2 mitigation MCU for this product"

 

[Kallekettu]

Anteeksi tyhmyyteni, mitä teen nyt?

Päivitin juuri BIOS:n (VIII RANGER / i5 6600k) 3703 versioon. Tein ilmeisesti typerästi, mitä voin tehdä tilanteen korjaamiseksi? Muok: prossu siis listalla joille ei BIOS-päivitystä suositella...

Taitoni/tietoni ovat hyvin rajalliset koodauamielessä, joten en todellakaan ymmärrä kaikkea mitä langassa on puhuttu.

Sori jos menee OT:ksi...

 

[Griffin]

En ymmärrä, mikä ihme vimma porukalla on asennella tunnetusti ongelmia aiheuttavaa päivitystä kaikille laitteille, kun ei ole edes vielä tiedossa reikää hyödynnettävän. Ja vaikka olisikin, niin ongelma ei ole edes sitä vakavinta laatua, eikä tapahdu täysin itsestään, vaan vaatii käytönnössä koodin suorittamista.

Ei noihin bioksiin nyt kannata ainankaan kuukauteen koskea. Sitten katsoo, onko saatavissa ja jos on, niin onko vielä ollut ongelmia vai onko korjauksen korjaus tullut ja onnistunut. Jos ei, niin taas siirto kuukaudella eteenpäin.
----------------------
Nyt koitat ensin, onko tuolla bioksella oikeasti, tapauksessasi ongelmia. Valmistaja korvaa raudan, jos se kärähtää.

 

[prc]

Anteeksi tyhmyyteni, mitä teen nyt?

Päivitin juuri BIOS:n (VIII RANGER / i5 6600k) 3703 versioon. Tein ilmeisesti typerästi, mitä voin tehdä tilanteen korjaamiseksi? Muok: prossu siis listalla joille ei BIOS-päivitystä suositella...

Taitoni/tietoni ovat hyvin rajalliset koodauamielessä, joten en todellakaan ymmärrä kaikkea mitä langassa on puhuttu.

Sori jos menee OT:ksi...

Jos ongelmia ei esiinny koneen vakauden yms suhteen, en tekisi mitään. Jos onglemia esiintyy.. kone boottailee / kaatuilee miten sattuu vaikka ennen ei tehnyt, leiskauttaisin vanhemman BIOS:n takaisin.. toivoen että se myös vääntää sinne vanhemman CPU mikrokoodin.. ja sitten eikun odotellaan uutta pätsiä ja toivotaan parempaa onnea.

 

[Kallekettu]

Jos ongelmia ei esiinny koneen vakauden yms suhteen, en tekisi mitään. Jos onglemia esiintyy.. kone boottailee / kaatuilee miten sattuu vaikka ennen ei tehnyt, leiskauttaisin vanhemman BIOS:n takaisin.. toivoen että se myös vääntää sinne vanhemman CPU mikrokoodin.. ja sitten eikun odotellaan uutta pätsiä ja toivotaan parempaa onnea.

Kiitos. Ei ainakaan vielä oo mitään kummallisuuksia tehnyt...

 

[escalibur]

Patched Laptops: Testing Meltdown & Spectre Patches on Ultraportable-Class Hardware

 

[Kaotik]

Intel uskoo löytäneensä syyn satunnaisiin uudelleenkäynnistymisiin Spectre- ja Meltdown-päivitysten jälkeen - io-tech.fi

Alkuvuoden polttavimmat puheenaiheet tietoturvan saralla ovat olleet Meltdown- ja Spectre-haavoittuvuudet, niiden korjaukset ja niistä aiheutuneet komplikaatiot. Etenkin Intelillä on ollut ongelmia päivitystensä kanssa, sillä ne ovat aiheuttaneet paitsi suorituskykyhävikkiä, myös uusia suoraan käyttäjille näkyviä ongelmia.

Kotikäyttäjien kannalta Intelin päivitysten vaikutus suorituskykyyn on käytännössä olematon tai lähes olematon. Päivitysten myötä syntyneet satunnaiset uudelleenkäynnistymiset ovat kuitenkin ongelma, joka näkyy helposti kotikäyttäjänkin arjessa. Intelin mukaan ongelman piti alun perin koskea vain Haswell- ja Broadwell-arkkitehtuureja, mutta sittemmin yhtiö on päivittänyt lausuntoaan koskemaan kaikkia Core-arkkitehtuureita Sandy Bridgestä lähtien.

Intelin tuoreimman lausunnon mukaan yhtiön insinöörit uskovat nyt löytäneensä perimmäisen syyn Haswell- ja Broadwell-arkkitehtuurien uudelleenkäynnistymisongelmaan ja edistyneensä jo huomattavasti sen korjaamisessa. Yhtiö ei kuitenkaan kerro, onko myös muiden Core-arkkitehtuureiden uudelleenkäynnistysongelmat kiinni samasta seikasta tai miten niiden korjaus edistyy.

Lopullista korjausta odotellessa Intel suosittelee, että OEM-valmistajat ja muut yhtiön tuotteita käyttävät palveluntarjoajat lopettavat nykyisten päivitysten jakelun ehkäistäkseen uudelleenkäynnistysongelman leviämistä. Lisäksi Intel toivoo kumppaniensa keskittyvän Haswell- ja Broadwell-prosessoreiden tulevan päivityksen esiversioiden testaamiseen, jotta lopullinen versio saataisiin jakoon mahdollisimman nopeasti.

Lisäksi Intel pyrkii tarjoamaan käyttäjille, joille järjestelmän vakaus on ensisijainen seikka, mahdollisuutta palata käyttämään edellistä versiota prosessorin mikrokoodista siihen saakka, kunnes lopullinen ja ongelmaton mikrokoodiversio on valmis. Mikäli edellinen mikrokoodiversio tuodaan saataville, se tulee asentaa BIOS-päivityksen muodossa. Edelliseen mikrokoodiversioon paluu ei vaikuta Spectren ensimmäisen variantin tai Meltdownin korjauksiin, mutta poistaa suojauksen Spectren kakkosvariantilta.

 

[IcePen]

Linux puolella näyttäis olevan rutinaa että nuo meltdown päivitykset softalla (käyttiksenkautta) ei toimi vaan on valohoitoa niin että ainoa oikeasti toimiva Meltdown päivitys olisi firmware päivitys.


PS Sitten oma kysymys kun mulla on viimeaikoina (päivitysten jälkeen) ollut sellaista ongelmaa että tiedonkulku nettiinpäin ja netistäpäin lakkaa vaikka kaikki on muka kunnossa niin oliko joku näistä viimeaikaisistä päivityksistä sellainen joka voisi aiheuttaa tämänkaltaisia ongelmia Windows 10 koneessa.