frank
Goto Top

Meltdown und Spectre: Linux Update


back-to-topMeltdown (Variante 3 des Prozessorfehlers)

Der Kernel 4.14.13 mit den Page-Table-Isolation-Code (PTI) ist nun für Fedora freigegeben worden. Er behebt die Meltdown Variante des Prozessorfehlers. Für Fedora reicht ein:
dnf upgrade
und ein Reboot um den Kernel zu aktualisieren.

Auch für Ubuntu wurden folgende Kernel mit dem Page-Table-Isolation-Code gegen Meltdown freigegeben:

  • 12.04 ESM Precise (kernel v3.2)
  • 14.04 LTS Trusty (kernel v3.13)
  • 16.04 LTS Xenial (kernel v4.4)
  • 17.10 Artful (kernel v4.13)

Für ein Update reicht hier ein:
 apt-get update && apt-get upgrade

back-to-topSpectre (Variante 1 des Prozessorfehlers)

Variante 1 kann nur durch Compiler oder den Anwendungen selbst behoben werden. Die Compiler Änderungen befinden sich noch in Arbeit.

Die Browser Firefox 57.0.4 (bereits veröffentlicht und unter Fedora oder Ubuntu verfügbar) und Chrome 64 (23 Januar 2018) haben bereits Patches gegen Variante 1 von Spectre.

Da es sich generell um eine neue Angriffsklasse handelt, sollte man die eingebauten Patches nur als eine Art Abschwächung für das Ausnutzen des Prozessorfehlers ansehen. Eine 100% Sicherheit gibt es aktuell nicht.

back-to-topSpectre (Variante 2 des Prozessorfehlers)

Laut Kernel-Entwickler Greg Kroah-Hartman (GregKH) wurden bisher noch keine Patches gegen den Spectre Angriffsvektor in die offiziellen Kernelreihen eingebracht. Es liegen wohl eine Menge Patches auf diversen Mailinglisten vor, die das Problem auch angehen, aber sie stecken alle noch mitten in der Entwicklung. So wie es aktuell aussieht wird der "Return Trampoline" (Retpoline) Patch ab Kernel 4.15 einen Teil des Problem lösen. Aber auch hier wird noch auf Compiler-Updates gewartet. Weitere Schutzmaßnahmen sollen später durch die neuen Microcode Update von Intel erfolgen.

Wer das Glück von Bios/UEFI Microcode-Updates hat (nur neue Motherboards), braucht sich unter Linux auch bei der 2 Variante von Spectre keine Gedanken machen.

back-to-topLinux prüfen

Ab Kernel 4.14.13 kann man den Status der Meltdown und Spectre Varianten mit Hilfe von /sys/device überprüfen. Hier der Test auf meinem System (Fedora 27):

Meltdown
# cat /sys/devices/system/cpu/vulnerabilities/meltdown 
Mitigation: PTI
Spectre Variante 1
# cat /sys/devices/system/cpu/vulnerabilities/spectre_v1 
Vulnerable
Spectre Variante 2
# cat /sys/devices/system/cpu/vulnerabilities/spectre_v2 
Vulnerable: Minimal generic ASM retpoline
So wie es bei mir aussieht ist im Kernel 4.14.13 der Fedora Distribution "retpoline" bereits integriert und aktiv.

Weitere Informationen:


Gruß
Frank

Content-Key: 361732

Url: https://administrator.de/contentid/361732

Printed on: May 30, 2024 at 21:05 o'clock