Ubuntu-Forum & Kubuntu-Forum | www.Ubuntu-Forum.de

FYI

https://www.heise.de/security/meldung/In…86-3895175.html

Das Problem betrifft ja bei weitem nicht nur Intel, sondern wohl so ziemlich alle Hersteller, allerdings in unterschiedlichen Schweregraden. Es handelt sich dabei um drei Problembereiche:

• Variante 1: Bounds Check Bypass
• Variante 2: Branch Target Injection
• Variante 3: Rogua Data Cache Load

AMD sagt, dass sie von Nr. 3 gar nicht (weil andere Prozessor-Architektur), von Nr. 2 bislang nur theoretisch (noch nicht nachgewiesen), aber von Nr. 1 voll betroffen sind.
Hierbei ist aber wiederum auf den Prozessoren-Typ zu achten, denn es kann sein, dass selbst einige Intel-Typen nicht betroffen sind. Dieser Artikel benennt die modernen "Out-of-Order-Prozessoren" als betroffen.
Will also ein Nutzer wissen, ob sein Rechner betroffen ist, so ist eine Hardware-Analyse mit anschließendem Abgleich beim Hersteller zwingend.

(1)Auch ist es nicht nur der Prozessor selbst betroffen, auch
(2)BIOS- beziehungsweise CPU-Microcode-Updates werden benötigt. Siehe in diesem Artikel den letzten Absatz unter "Nicht nur Intel-CPUs betroffen", und hier unter der Überschrift:"Gegenmaßnahmen detailliert".
(3)Es gibt auch Updates für den Firefox-Browser oder auch den Nvidia-Grafiktreiber, wie dieser Artikel unter der der Überschrift "8. Wie kann ich mich schützen?" anführt.
(4)Weiter unten, unter "15. Sind die Sicherheitslücken aus der Ferne (remote) nutzbar?" werden auch Script-Blocker wie >NoScript< benannt.

Zur Sicherheitslücke (“speculative execution”, dt: “spekulative Ausführung”) selbst informiert der grüne Kasten in diesem Artikel .

Warum ein System-Neustart (im Gegensatz z.B. zum Standby-Modus) eine gute Abwehrmaßnahme ist, erklärt dieser Artikel unter der Überschrift: "Hauptangriffsziel Kernel"

Ich habe die Text-Passage "IO" bislang noch nicht wieder gefunden, sie liegt aber in den o.g. (Unter-)Verlinkungen. Was "IO" ist kann ich nicht sagen, ich meine es ist eine Prozess-Ausführung (Wer mag, der konkretisiere es bitte - danke). In dem Abschnitt wird berichtet, das diese IO-Vorgänge besonders bei Cloud-Rechenzentren anfallen. Diese sind also in besonderer Weise gefährdet. Damit steht es dem Nutzer an zu überlegen, ob er, insbesondere sensible, Daten (Passwörter, Bankverbindungen, know-how ...) dort lagern will, oder ob eine Einlagerung, z.B. auf externen Festplatten, sicherer ist. Dieses dürfte insbesondere für Leute mit dem angebissenen Apfel überlegenswert sein.
[Diesen Absatz habe ich nachträglich ergänzt.]

An verschiedenen Stellen wird darauf hingewiesen, dass es sich bei den Sicherheits-Updates nur um Härtung des Systems, nicht um Beseitigung der Ursache geht. Diese kann es nur von den Chip-Herstellern geben, vermutlich dann über eine neue Chip-Generation. Ob die Chip-Hersteller durch Updates für besehende Prozessoren die Sicherheitslücke schließen können, ist den Berichten nach zum aktuellen Zeitpunkt offen.
[Diesen Absatz habe ich nachträglich ergänzt.]

Übrigens: Mobile Geräte kennen sowohl diese, als auch ähnliche Probleme: siehe auch diesen und vorletzter Absatz in diesem Artikel.


An das Forum habe ich die Frage, ob jemand Lust hat mal eine Zusammenstellung von Ubuntu-Analyse-Befehlen zu erstellen?! - Wer beschäftigt sich im "Normal-Leben" schon mit diesen Feinheiten?
___________________
In eigener Sache:

Ursprünglich wollte ich nur einen dieser Artikel hier im Forum posten. Als mir durch die zahlreichen Verlinkungen die Übersicht verloren ging, habe ich mir das ganze mal versucht zu sortieren und zu strukturieren. Ich hoffe dabei im Rahmen der Foren-Regeln geblieben zu sein.
Ich hoffe niemanden verwirrt zu haben. Wenn diese Aufstellung für jemanden auch interessant ist, so freut es mich.

Habe gerade meinen EEE 901 aktualisiert. Alle sensiblen Anwendungen werde ich darauf umlagern, die alten Atom's sind sicher und das Tempo (hab LMDE2 Mate drauf) akzeptabel.

Hallo, kann man daraus schließen, daß man mit einem mindestens 5 Jahre oder gar 10 Jahre alten Computer nicht betroffen ist?

Nein, kann man nicht daraus schließen!

L.G.

Was mir für Linux fehlt, ist ein zuverlässiges Tool, das prüfen kann, ob das System überhaupt betroffen ist.
Da gibt es das Forschungstool SpecuCheck, für das der Entwickler aber seine Hand nicht ins Feuer legen will.

Zitat

onescu weist ausdrücklich darauf hin, dass es sich bei Specucheck.exe um ein „Forschungstool“ handle, welches nicht für den generellen Gebrauch geeignet sei. Für den generellen Gebrauch empfiehlt er stattdessen ein von Microsoft mittlerweile veröffentlichtes PowerShell-Tool.

https://www.pcwelt.de/a/intel-cpu-bug-gr…rechner,3449282
Ja, für Windows gibt es SpeculationControl. Für den Linux-User habe ich bisher nichts Vergleichbares gefunden.
Muß man also auf Verdacht Kernel und Bios updaten?! Oder sich durch Artikel zum Thema durcharbeiten, bis man etwas zur eigenen Hardware gefunden hat.

Zitat

Die Sicherheitslücken können zum Teil durch betriebssystem-spezifische Kernel-Updates behoben werden, die jedoch noch nicht für alle Betriebssysteme verfügbar sind. Darüber hinaus sind Firmware-Updates (Microcode-Updates) für betroffene Systeme erforderlich.

https://www.thomas-krenn.com/de/wiki/Sic…own_und_Spectre

Zitat von »geobart«

die alten Atom's sind sicher

Alte Atoms bis Cedar Trail (2011). Das ist verdammt alt. https://de.wikipedia.org/wiki/Intel_Atom#Cedar_Trail
Atom Bay Trail (2013) hat schon Out-of-Order Execution.

Zitat

Welche Systeme sind von Meltdown betroffen?
Alle Desktop-, Laptop- und Cloud-Rechner mit Intel-Prozessor sind davon betroffen. Genauer gesagt alle mit einer Out-of-Order Execution – das heißt alle ab dem Pentium Pro von 1995 bis auf die Itanium-Modelle und alle Atom-Variante vor 2013.

https://www.hardwareluxx.de/index.php/ne…gn.html?start=4

Uli

Hallo!

Kann nur raten, sich hier mal durchzuwühlen. Ist halt auch schon auf 18 Seiten angewachsen.

Gruß

Zitat von »Klaus P«

Kann nur raten, sich hier mal durchzuwühlen. Ist halt auch schon auf 18 Seiten angewachsen.

Hallo Klaus P!

Habe mich jetzt mühevoll dadurch gewühlt. Und... Seite 18 ... siehe da .. ein Spectre-Meltdown-Checker!
https://github.com/speed47/spectre-meltd…down-checker.sh
Muss ich nächste Zeit mal versuchen damit.

Ist viel Gelabber. Etliche Seiten geht es um Intel Microcodes.
Ubuntu hat neue Intel Microcodes zur Verfügung gestellt: https://usn.ubuntu.com/usn/usn-3531-1/
Da kann man gleich mal prüfen ob man den aktuellen Microcode hat:
Wenn ich das richtig verstanden habe, wird dieser Microcode verwendet, wenn sich im BIOS nur ein älterer befindet.
Natürlich muß er auch installiert sein.
Das Datum des älteren sieht man über

(Es war wohl der neue Microcode, der meinen Thinkpad während des Neustarts einfrieren ließ, nicht der neue Kernel?! Nach dreimaligen Kaltstarts gings dann wieder - mit dem Microcode-Update Der Microcode war es nicht. Nach Deaktivierung blieb das Problem. Die Schuld liegt wohl doch beim neuen Kernel.(?) Nach gksudo gedit /etc/default/grub und dort quiet splash durch nomodeset ersetzt. Dann noch ein sudo update-grub und es gibt erstmal keine Bootprobleme mehr. Ist aber auf Dauer keine Lösung wegen der dann fehlenden Hardwarebeschleunigung. Da das Problem dann auftritt wenn der DisplayManager aktiv wird, habe ich GDM gegen LightDM ersetzt. Hat aber nichts gebracht. Das Problem löst sich ja vielleicht mit den nächsten Kernelversionen auch in Luft auf? -).

Den neuesten Kernel habe ich (in diesem System: Ubuntu 16.04) Ich bin mir im Moment nicht sicher? Brauche ich 4.14? Von dieser ganzen Leserei qualmt mein Kopf. Ich glaube, vor ner Stunde wusste ich das noch?
Es wird auch immer nur von 64Bit geredet. Diese alte (mit SSD aufgerüstete) Mühle kann aber nur 32Bit. (Nach Linus Torvalds soll man alte Hardware ausmustern ).

Der Firefox hat auch schon Version 57.0.4 mit dem Sicherheitsupdate. https://www.heise.de/security/meldung/Pr…re-3933043.html

Mehr kann man wohl im Moment nicht machen. Mehr fällt mir jedenfalls gerade nicht ein. Höchstens ein neues Bios. Aber das gibt es sicherlich nicht.

Und hoffen das die bei Goneo, meinem Hoster, auch ihre Arbeit machen.

Nachtrag zu Microcode: https://wiki.archlinux.de/title/Microcode Selbst meine alte CPU ist gelistet als kompatible: https://downloadcenter.intel.com/downloa…ocode-Data-File

Grüsse v. Uli

Zitat

sh spectre-meltdown-checker.sh
Spectre and Meltdown mitigation detection tool v0.31

Checking for vulnerabilities against running kernel Linux 3.16.0-5-686-pae #1 SMP Debian 3.16.51-3+deb8u1 (2018-01-0 i686
CPU is AMD A4-6300 APU with Radeon(tm) HD Graphics

CVE-2017-5753 [bounds check bypass] aka 'Spectre Variant 1'
* Checking count of LFENCE opcodes in kernel: NO
> STATUS: VULNERABLE (only 23 opcodes found, should be >= 70, heuristic to be improved when official patches become available)

CVE-2017-5715 [branch target injection] aka 'Spectre Variant 2'
* Mitigation 1
* Hardware (CPU microcode) support for mitigation
* The SPEC_CTRL MSR is available: NO
* The SPEC_CTRL CPUID feature bit is set: NO
* Kernel support for IBRS: NO
* IBRS enabled for Kernel space: NO
* IBRS enabled for User space: NO
* Mitigation 2
* Kernel compiled with retpoline option: NO
* Kernel compiled with a retpoline-aware compiler: NO
> STATUS: VULNERABLE (IBRS hardware + kernel support OR kernel with retpoline are needed to mitigate the vulnerability)

CVE-2017-5754 [rogue data cache load] aka 'Meltdown' aka 'Variant 3'
* Kernel supports Page Table Isolation (PTI): NO
* PTI enabled and active: NO
* Checking if we're running under Xen PV (64 bits): NO
> STATUS: NOT VULNERABLE (your CPU vendor reported your CPU model as not vulnerable)

A false sense of security is worse than no security at all, see --disclaimer

uiuiuiuiuiuuii


checker: https://github.com/speed47/spectre-meltdown-checker

Zitat von »Horsemanchip«

> STATUS: NOT VULNERABLE

STATUS: NICHT VERDAMMBAR* (Google-Übersetzung). Klingt zumindest gut.

*Heißt wohl soviel wie: Brauchst das Gerät nich' wegschmeißen!

Schön bunt ist es ja:


Komisch finde ich, das Mate-Ubuntu 16.04 eine ganz andere Kernel-Version hat als das Gnome-Ubuntu 16.04? Da hilft auch kein dist-upgrade.

Uli