Sie sind nicht angemeldet.

Lieber Besucher, herzlich willkommen bei: Ubuntu-Forum & Kubuntu-Forum | www.Ubuntu-Forum.de. Falls dies Ihr erster Besuch auf dieser Seite ist, lesen Sie sich bitte die Hilfe durch. Dort wird Ihnen die Bedienung dieser Seite näher erläutert. Darüber hinaus sollten Sie sich registrieren, um alle Funktionen dieser Seite nutzen zu können. Benutzen Sie das Registrierungsformular, um sich zu registrieren oder informieren Sie sich ausführlich über den Registrierungsvorgang. Falls Sie sich bereits zu einem früheren Zeitpunkt registriert haben, können Sie sich hier anmelden.

1

22.11.2017, 21:25

Sicherheitsprobleme in Systemen mit aktuellen Intel-Prozessoren

Weder open source, noch direkt auf Linux bezogen... Sondern auf so ziemlich alles was auf Intel CPUs läuft:

Wie Intel meldet (INTEL-SA-00086), gibt es aktuell mehrere Schwachstellen in Systemen mit folgenden Features von Intel Prozessoren:
• Intel Management Engine (ME)
• Intel Trusted Execution Engine (TXE)
• Intel Server Platform Services (SPS)
Grob gesagt sind also praktisch alle Systeme mit aktuellen Intel-Prozessoren betroffen.
Je nach genauer Schwachstelle können Angreifer durch lokalen (physischen) Zugriff oder Ausführung von unautorisierten Programmen beliebigen Code auf betroffenen Maschinen ausführen.

Weiterlesen:
http://www.cert.at/warnings/all/20171121.html
https://www.intel.com/content/www/us/en/…9/software.html
https://security-center.intel.com/adviso…anguageid=en-fr

Eine Software für Linux zum Testen des eigenen Systems gibt es hier: https://downloadcenter.intel.com/download/27150

Abhilfe kann nur der jeweilige Mainboard-Hersteller bieten; derzeit sieht es noch relativ dünn damit aus.

Beste Empfehlung: Den eigenen Rechner vor fremdem (physischen) Zugriff schützen und unbekannte Dateien/USB-Sticks, etc. mit Argwohn betrachten. Eigentlich also ganz normal gesunder Hausverstand.
mir is wurscht

Beiträge: 825

Registrierungsdatum: 08.11.2015

Derivat: unbekannt

Version: gar kein Ubuntu

Architektur: 64-Bit PC

Desktop: LXDE

Andere Betriebssysteme: Debian 9.5 "stretch" / 4.9.0-8-amd64

  • Nachricht senden

2

23.11.2017, 04:23

Linux ist wie eine Suppe! Je besser die Zutaten, desto größer der Geschmack! :)

  • »AnfängerPaule« ist männlich

Beiträge: 71

Registrierungsdatum: 16.02.2016

Derivat: Ubuntu

Architektur: 64-Bit PC

Desktop: unbekannt

Andere Betriebssysteme: Lubuntu und Windows 10 in Virtueller Box (VirtualBox graphische Benutzeroberfläche Version 5.0.14 r105127)

  • Nachricht senden

3

11.01.2018, 16:22

Das Problem betrifft ja bei weitem nicht nur Intel, sondern wohl so ziemlich alle Hersteller, allerdings in unterschiedlichen Schweregraden. Es handelt sich dabei um drei Problembereiche:
  • Variante 1: Bounds Check Bypass
  • Variante 2: Branch Target Injection
  • Variante 3: Rogua Data Cache Load
AMD sagt, dass sie von Nr. 3 gar nicht (weil andere Prozessor-Architektur), von Nr. 2 bislang nur theoretisch (noch nicht nachgewiesen), aber von Nr. 1 voll betroffen sind.
Hierbei ist aber wiederum auf den Prozessoren-Typ zu achten, denn es kann sein, dass selbst einige Intel-Typen nicht betroffen sind. Dieser Artikel benennt die modernen "Out-of-Order-Prozessoren" als betroffen.
Will also ein Nutzer wissen, ob sein Rechner betroffen ist, so ist eine Hardware-Analyse mit anschließendem Abgleich beim Hersteller zwingend.

(1)Auch ist es nicht nur der Prozessor selbst betroffen, auch
(2)BIOS- beziehungsweise CPU-Microcode-Updates
werden benötigt. Siehe in diesem Artikel den letzten Absatz unter "Nicht nur Intel-CPUs betroffen", und hier unter der Überschrift:"Gegenmaßnahmen detailliert".
(3)Es gibt auch Updates für den Firefox-Browser oder auch den Nvidia-Grafiktreiber, wie dieser Artikel unter der der Überschrift "8. Wie kann ich mich schützen?" anführt.
(4)Weiter unten, unter "15. Sind die Sicherheitslücken aus der Ferne (remote) nutzbar?" werden auch Script-Blocker wie >NoScript< benannt.

Zur Sicherheitslücke (“speculative execution”, dt: “spekulative Ausführung”) selbst informiert der grüne Kasten in diesem Artikel .

Warum ein System-Neustart (im Gegensatz z.B. zum Standby-Modus) eine gute Abwehrmaßnahme ist, erklärt dieser Artikel unter der Überschrift: "Hauptangriffsziel Kernel"

Ich habe die Text-Passage "IO" bislang noch nicht wieder gefunden, sie liegt aber in den o.g. (Unter-)Verlinkungen. Was "IO" ist kann ich nicht sagen, ich meine es ist eine Prozess-Ausführung (Wer mag, der konkretisiere es bitte - danke). In dem Abschnitt wird berichtet, das diese IO-Vorgänge besonders bei Cloud-Rechenzentren anfallen. Diese sind also in besonderer Weise gefährdet. Damit steht es dem Nutzer an zu überlegen, ob er, insbesondere sensible, Daten (Passwörter, Bankverbindungen, know-how ...) dort lagern will, oder ob eine Einlagerung, z.B. auf externen Festplatten, sicherer ist. Dieses dürfte insbesondere für Leute mit dem angebissenen Apfel überlegenswert sein.
[Diesen Absatz habe ich nachträglich ergänzt.]

An verschiedenen Stellen wird darauf hingewiesen, dass es sich bei den Sicherheits-Updates nur um Härtung des Systems, nicht um Beseitigung der Ursache geht. Diese kann es nur von den Chip-Herstellern geben, vermutlich dann über eine neue Chip-Generation. Ob die Chip-Hersteller durch Updates für besehende Prozessoren die Sicherheitslücke schließen können, ist den Berichten nach zum aktuellen Zeitpunkt offen.
[Diesen Absatz habe ich nachträglich ergänzt.]

Übrigens: Mobile Geräte kennen sowohl diese, als auch ähnliche Probleme: siehe auch diesen und vorletzter Absatz in diesem Artikel.


An das Forum habe ich die Frage, ob jemand Lust hat mal eine Zusammenstellung von Ubuntu-Analyse-Befehlen zu erstellen?! - Wer beschäftigt sich im "Normal-Leben" schon mit diesen Feinheiten?
___________________
In eigener Sache:

Ursprünglich wollte ich nur einen dieser Artikel hier im Forum posten. Als mir durch die zahlreichen Verlinkungen die Übersicht verloren ging, habe ich mir das ganze mal versucht zu sortieren und zu strukturieren. Ich hoffe dabei im Rahmen der Foren-Regeln geblieben zu sein.
Ich hoffe niemanden verwirrt zu haben. Wenn diese Aufstellung für jemanden auch interessant ist, so freut es mich.
Und am Ende des Tunnels ist ein Licht! :)

Dieser Beitrag wurde bereits 2 mal editiert, zuletzt von »AnfängerPaule« (12.01.2018, 12:23)


4

12.01.2018, 15:05

Danke für die gute Zusammenfassung!
Das Thema nimmt mittlerweile ungeahnte Ausmaße an. Ich glaube nicht, daß der Normaluser auf Dauer damit umgehen kann. Dazu sind ja nicht nur Heim- und Bürorechner betroffen, sondern auch der Großteil der beliebten Low-Cost Service-Anbieter. Die haben bereits alle Hände voll zu tun (oder auch nicht, da trennt sich dann die Spreu vom Weizen..)
mir is wurscht

  • »geobart« ist männlich

Beiträge: 78

Registrierungsdatum: 10.05.2009

Derivat: anderes Ubuntu-Derivat

Architektur: 64-Bit PC

Desktop: Cinnamon

Andere Betriebssysteme: Mint 18.2 Cinn. + LMDE2 Cinn

  • Nachricht senden

5

12.01.2018, 23:35

Habe gerade meinen EEE 901 aktualisiert. Alle sensiblen Anwendungen werde ich darauf umlagern, die alten Atom's sind sicher und das Tempo (hab LMDE2 Mate drauf) akzeptabel. :D
Veni, vidi, wiki. :thumbup:

Beiträge: 119

Registrierungsdatum: 11.12.2010

Derivat: Kubuntu

Architektur: 32-Bit PC

Desktop: KDE4

  • Nachricht senden

6

13.01.2018, 13:59

Hallo, kann man daraus schließen, daß man mit einem mindestens 5 Jahre oder gar 10 Jahre alten Computer nicht betroffen ist?

  • »Klaus P« ist männlich

Beiträge: 4 521

Registrierungsdatum: 25.10.2009

Derivat: anderes Ubuntu-Derivat

Architektur: 64-Bit PC

Desktop: anderer Desktop

Andere Betriebssysteme: 7/10

  • Nachricht senden

7

13.01.2018, 14:34

Nein, kann man nicht daraus schließen!

L.G.
Des modernen Menschen Computer ist sein Himmelreich! :rolleyes: Der Weg zur Hölle, ist allzu kurz auf dem falschen "EFI-Pfad" ;( : Kleiner Leitfaden zur UEFI-Installation

  • »alt-medregnet« ist männlich

Beiträge: 571

Registrierungsdatum: 22.01.2015

Derivat: Ubuntu GNOME

Architektur: 32-Bit PC

Desktop: GNOME 3.0

Andere Betriebssysteme: Siduction (Debian 64 Bit), Ubuntu XFCE (64 Bit), Windows 10

  • Nachricht senden

8

13.01.2018, 18:45

Was mir für Linux fehlt, ist ein zuverlässiges Tool, das prüfen kann, ob das System überhaupt betroffen ist.
Da gibt es das Forschungstool SpecuCheck, für das der Entwickler aber seine Hand nicht ins Feuer legen will.

Zitat

onescu weist ausdrücklich darauf hin, dass es sich bei Specucheck.exe um ein „Forschungstool“ handle, welches nicht für den generellen Gebrauch geeignet sei. Für den generellen Gebrauch empfiehlt er stattdessen ein von Microsoft mittlerweile veröffentlichtes PowerShell-Tool.
https://www.pcwelt.de/a/intel-cpu-bug-gr…rechner,3449282
Ja, für Windows gibt es SpeculationControl. Für den Linux-User habe ich bisher nichts Vergleichbares gefunden. :(
Muß man also auf Verdacht Kernel und Bios updaten?! Oder sich durch Artikel zum Thema durcharbeiten, bis man etwas zur eigenen Hardware gefunden hat.

Zitat

Die Sicherheitslücken können zum Teil durch betriebssystem-spezifische Kernel-Updates behoben werden, die jedoch noch nicht für alle Betriebssysteme verfügbar sind. Darüber hinaus sind Firmware-Updates (Microcode-Updates) für betroffene Systeme erforderlich.
https://www.thomas-krenn.com/de/wiki/Sic…own_und_Spectre

die alten Atom's sind sicher
Alte Atoms bis Cedar Trail (2011). Das ist verdammt alt. https://de.wikipedia.org/wiki/Intel_Atom#Cedar_Trail
Atom Bay Trail (2013) hat schon Out-of-Order Execution.

Zitat

Welche Systeme sind von Meltdown betroffen?
Alle Desktop-, Laptop- und Cloud-Rechner mit Intel-Prozessor sind davon betroffen. Genauer gesagt alle mit einer Out-of-Order Execution – das heißt alle ab dem Pentium Pro von 1995 bis auf die Itanium-Modelle und alle Atom-Variante vor 2013.
https://www.hardwareluxx.de/index.php/ne…gn.html?start=4

Uli

  • »Klaus P« ist männlich

Beiträge: 4 521

Registrierungsdatum: 25.10.2009

Derivat: anderes Ubuntu-Derivat

Architektur: 64-Bit PC

Desktop: anderer Desktop

Andere Betriebssysteme: 7/10

  • Nachricht senden

9

13.01.2018, 19:15

Hallo!

Kann nur raten, sich hier mal durchzuwühlen. Ist halt auch schon auf 18 Seiten angewachsen.

Gruß
Des modernen Menschen Computer ist sein Himmelreich! :rolleyes: Der Weg zur Hölle, ist allzu kurz auf dem falschen "EFI-Pfad" ;( : Kleiner Leitfaden zur UEFI-Installation

  • »alt-medregnet« ist männlich

Beiträge: 571

Registrierungsdatum: 22.01.2015

Derivat: Ubuntu GNOME

Architektur: 32-Bit PC

Desktop: GNOME 3.0

Andere Betriebssysteme: Siduction (Debian 64 Bit), Ubuntu XFCE (64 Bit), Windows 10

  • Nachricht senden

10

13.01.2018, 23:39

Kann nur raten, sich hier mal durchzuwühlen. Ist halt auch schon auf 18 Seiten angewachsen.

Hallo Klaus P!

Habe mich jetzt mühevoll dadurch gewühlt. Und... Seite 18 ... siehe da .. ein Spectre-Meltdown-Checker! :thumbup:
https://github.com/speed47/spectre-meltd…down-checker.sh
Muss ich nächste Zeit mal versuchen damit.

Ist viel Gelabber. Etliche Seiten geht es um Intel Microcodes.
Ubuntu hat neue Intel Microcodes zur Verfügung gestellt: https://usn.ubuntu.com/usn/usn-3531-1/
Da kann man gleich mal prüfen ob man den aktuellen Microcode hat:

Quellcode

1
apt policy intel-microcode

Wenn ich das richtig verstanden habe, wird dieser Microcode verwendet, wenn sich im BIOS nur ein älterer befindet. :whistling:
Natürlich muß er auch installiert sein.

Quellcode

1
software-properties-gtk

Das Datum des älteren sieht man über

Quellcode

1
dmesg | grep -i microcode


(Es war wohl der neue Microcode, der meinen Thinkpad während des Neustarts einfrieren ließ, nicht der neue Kernel?! Nach dreimaligen Kaltstarts gings dann wieder - mit dem Microcode-Update Der Microcode war es nicht. Nach Deaktivierung blieb das Problem. Die Schuld liegt wohl doch beim neuen Kernel.(?) Nach gksudo gedit /etc/default/grub und dort quiet splash durch nomodeset ersetzt. Dann noch ein sudo update-grub und es gibt erstmal keine Bootprobleme mehr. Ist aber auf Dauer keine Lösung wegen der dann fehlenden Hardwarebeschleunigung. Da das Problem dann auftritt wenn der DisplayManager aktiv wird, habe ich GDM gegen LightDM ersetzt. Hat aber nichts gebracht. Das Problem löst sich ja vielleicht mit den nächsten Kernelversionen auch in Luft auf? -).

Den neuesten Kernel habe ich (in diesem System: Ubuntu 16.04)

Quellcode

1
2
:~$ uname -rm 
4.13.0-26-generic i686
Ich bin mir im Moment nicht sicher? Brauche ich 4.14? Von dieser ganzen Leserei qualmt mein Kopf. Ich glaube, vor ner Stunde wusste ich das noch?
Es wird auch immer nur von 64Bit geredet. Diese alte (mit SSD aufgerüstete) Mühle kann aber nur 32Bit. (Nach Linus Torvalds soll man alte Hardware ausmustern :thumbdown: ).

Der Firefox hat auch schon Version 57.0.4 mit dem Sicherheitsupdate. https://www.heise.de/security/meldung/Pr…re-3933043.html

Mehr kann man wohl im Moment nicht machen. Mehr fällt mir jedenfalls gerade nicht ein. Höchstens ein neues Bios. Aber das gibt es sicherlich nicht.

Und hoffen das die bei Goneo, meinem Hoster, auch ihre Arbeit machen.

Nachtrag zu Microcode: https://wiki.archlinux.de/title/Microcode Selbst meine alte CPU ist gelistet als kompatible: https://downloadcenter.intel.com/downloa…ocode-Data-File

Grüsse v. Uli

Dieser Beitrag wurde bereits 5 mal editiert, zuletzt von »alt-medregnet« (15.01.2018, 18:14)


Beiträge: 825

Registrierungsdatum: 08.11.2015

Derivat: unbekannt

Version: gar kein Ubuntu

Architektur: 64-Bit PC

Desktop: LXDE

Andere Betriebssysteme: Debian 9.5 "stretch" / 4.9.0-8-amd64

  • Nachricht senden

11

15.01.2018, 17:56

Zitat

sh spectre-meltdown-checker.sh
Spectre and Meltdown mitigation detection tool v0.31

Checking for vulnerabilities against running kernel Linux 3.16.0-5-686-pae #1 SMP Debian 3.16.51-3+deb8u1 (2018-01-08) i686
CPU is AMD A4-6300 APU with Radeon(tm) HD Graphics

CVE-2017-5753 [bounds check bypass] aka 'Spectre Variant 1'
* Checking count of LFENCE opcodes in kernel: NO
> STATUS: VULNERABLE (only 23 opcodes found, should be >= 70, heuristic to be improved when official patches become available)

CVE-2017-5715 [branch target injection] aka 'Spectre Variant 2'
* Mitigation 1
* Hardware (CPU microcode) support for mitigation
* The SPEC_CTRL MSR is available: NO
* The SPEC_CTRL CPUID feature bit is set: NO
* Kernel support for IBRS: NO
* IBRS enabled for Kernel space: NO
* IBRS enabled for User space: NO
* Mitigation 2
* Kernel compiled with retpoline option: NO
* Kernel compiled with a retpoline-aware compiler: NO
> STATUS: VULNERABLE (IBRS hardware + kernel support OR kernel with retpoline are needed to mitigate the vulnerability)

CVE-2017-5754 [rogue data cache load] aka 'Meltdown' aka 'Variant 3'
* Kernel supports Page Table Isolation (PTI): NO
* PTI enabled and active: NO
* Checking if we're running under Xen PV (64 bits): NO
> STATUS: NOT VULNERABLE (your CPU vendor reported your CPU model as not vulnerable)

A false sense of security is worse than no security at all, see --disclaimer


uiuiuiuiuiuuii :)


checker: https://github.com/speed47/spectre-meltdown-checker
Linux ist wie eine Suppe! Je besser die Zutaten, desto größer der Geschmack! :)

  • »alt-medregnet« ist männlich

Beiträge: 571

Registrierungsdatum: 22.01.2015

Derivat: Ubuntu GNOME

Architektur: 32-Bit PC

Desktop: GNOME 3.0

Andere Betriebssysteme: Siduction (Debian 64 Bit), Ubuntu XFCE (64 Bit), Windows 10

  • Nachricht senden

12

15.01.2018, 18:18

> STATUS: NOT VULNERABLE

STATUS: NICHT VERDAMMBAR* (Google-Übersetzung). Klingt zumindest gut. 8o

*Heißt wohl soviel wie: Brauchst das Gerät nich' wegschmeißen!

Schön bunt ist es ja:


Komisch finde ich, das Mate-Ubuntu 16.04 eine ganz andere Kernel-Version hat als das Gnome-Ubuntu 16.04? Da hilft auch kein dist-upgrade.

Uli

Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von »alt-medregnet« (15.01.2018, 19:03)