Canonical tar bort Meltdown-patch i kernel 4.13 för ARM64

2018-02-22, 12:23 #1

Medlem

Reg: Oct 2013

Inlägg: 383

"linux (4.13.0-36.40) artful; urgency=medium

* linux: 4.13.0-36.40 -proposed tracker (LP: #1750010)

* Rebuild without "CVE-2017-5754 ARM64 KPTI fixes" patch set

-- Khalid Elmously <khalid.elmously@canonical.com> Fri, 16 Feb 2018 12:49:24 -0500"

Fråga: Varför ska man ta bort den?

Citera

2018-02-22, 12:47 #2

Avstängd

Reg: Feb 2018

Inlägg: 3

Ökad prestanda? Är du dum i huvudet eller?

https://www.wired.com/story/meltdown...hes-take-toll/

Citera

2018-02-22, 18:07 #3

Medlem

Reg: Jul 2008

Inlägg: 4 120

4.13 är långt ifrån senaste, 4.14 och 4.15 har varit ute ett tag så att säga, dessutom tror jag din information du skriver här kommer från Canonical, och dom använder ju sina egen patchade kernels, så vad dom gör är ju knappast representativt för Linux i allmänhet. Men nej, patchar för spectre och meltdown finns givetvis med i 4.14 lts och 4.15 som finns på kernel.org.

Citera

2018-02-22, 19:40 #4

Medlem

Reg: Oct 2013

Inlägg: 383

Citat:

Ursprungligen postat av Sleepyoh22

4.13 är långt ifrån senaste, 4.14 och 4.15 har varit ute ett tag så att säga, dessutom tror jag din information du skriver här kommer från Canonical, och dom använder ju sina egen patchade kernels, så vad dom gör är ju knappast representativt för Linux i allmänhet. Men nej, patchar för spectre och meltdown finns givetvis med i 4.14 lts och 4.15 som finns på kernel.org.

Ok, men varför är det bara 4.13 som kommer upp i Linux-uppdateraren? I varje fall i Mint.
Finns det patchar för spectre i 4.14 och 4.15?
Har du testat dem? Slöar de ner datorn mycket?

Citera

2018-02-22, 20:19 #5

Medlem

Reg: Jul 2008

Inlägg: 4 120

Citat:

Ursprungligen postat av Vladulven

Ok, men varför är det bara 4.13 som kommer upp i Linux-uppdateraren? I varje fall i Mint.
Finns det patchar för spectre i 4.14 och 4.15?
Har du testat dem? Slöar de ner datorn mycket?

Ja, jag har använt båda två, den senaste släppta stabila är 4.15 och den jag använder, jag märker ingen som helst skillnad i någonting jag gör, varken på min Amd plattform eller min Intel dator, men jag har inte kört några benchmarks innan eller efter heller så. Som hemanvändare behöver man nog inte bry sig särskilt, tror få kommer märka någon skillnad.

Varför Mint inte tillhandahåller nyare kernel's än 4.13 kan jag inte svara på, det är ju upp till dom att publicera en nyare kernel i deras förråd om du ska få den via deras uppdaterare. Varje distribution gör saker olika, Mint gör som dom vill liksom. Debian, Ubuntu, Suse, Fedora gör olika saker och patchar på olika vis.

Patchar för spectre finns givetvis med, men om jag förstår saken rätt så är det "löst, men inte helt löst".

Du kan troligtvis kompilera från kernel.org om du orkar sätta dig in i det, men rekommenderar att bara vänta tills Mint publicerar en nyare utgåva om det är den distrubition du gillar :=)

Citera

2018-02-23, 08:16 #6

Moderator

Reg: Sep 2010

Inlägg: 3 764

Rubrik ändrad.
Utgående rubrik: Senaste Linuxkärnan tar bort Meltdown-patchen
Ny rubrik: Canonical tar bort Meltdown-patch i kernel 4.13 för ARM64

/Moderator

Citera

2018-02-23, 11:33 #7

Medlem

Reg: Oct 2013

Inlägg: 383

Jag hittade ett uppgraderingsprogram för Ubuntu (och Mint), och som även installerar kärnan. Finns här för de som är intresserade.
Jag installerade den senaste (4.15.5), men tyvärr löste det inte problemet med spectre.
Kanske inte så mycket att oroa sig för ännu?

Citera

2018-02-26, 22:15 #8

Medlem

Reg: Apr 2007

Inlägg: 4 660

Citat:

Ursprungligen postat av Vladulven

Jag hittade ett uppgraderingsprogram för Ubuntu (och Mint), och som även installerar kärnan. Finns här för de som är intresserade.
Jag installerade den senaste (4.15.5), men tyvärr löste det inte problemet med spectre.
Kanske inte så mycket att oroa sig för ännu?

Spectre är ej enkel att utnyttja; och det finns ingen enkel lösning heller mot alla tänkbara varianter. En kan lösas om en relativt ny kernel kompileras med den senate versionen av gcc (vilket är 7.3.0 i dagsläget). Jag vet inte hur det fungerar med verktyget du hänvisar till; jag antar att det laddar ner en förkompilerad kernel som kanske inte är kompilerad med lämplig version av gcc.

Tittade du i /sys/devices/system/cpu/vulnerabilities för att undersöka huruvida problemet är löst? Har inte hållit koll de senaste veckorna, men sist jag tittade fanns ingen lösning för spectre_v1 medan spectre_v2 alltså kan lösas med rätt inställlning i kernel + gcc 7.3.0.

Citera

2018-02-27, 15:21 #9

Medlem

Reg: Oct 2013

Inlägg: 383

Citat:

Ursprungligen postat av Xploit

Tittade du i /sys/devices/system/cpu/vulnerabilities för att undersöka huruvida problemet är löst? Har inte hållit koll de senaste veckorna, men sist jag tittade fanns ingen lösning för spectre_v1 medan spectre_v2 alltså kan lösas med rätt inställlning i kernel + gcc 7.3.0.

Jag körde Spectre & Meltdown Checker:

https://github.com/speed47/spectre-meltdown-checker

X@X ~ $ sudo '/root/spectre-meltdown-checker/spectre-meltdown-checker.sh'
[sudo] lösenord för X:
Spectre and Meltdown mitigation detection tool v0.34+

Checking for vulnerabilities on current system
Kernel is Linux 4.15.5-041505-generic #201802221031 SMP Thu Feb 22 15:32:28 UTC 2018 x86_64
CPU is Intel(R) Core(TM) i5 CPU 750 @ 2.67GHz

Hardware check
* Hardware support (CPU microcode) for mitigation techniques
* Indirect Branch Restricted Speculation (IBRS)
* SPEC_CTRL MSR is available: NO
* CPU indicates IBRS capability: NO
* Indirect Branch Prediction Barrier (IBPB)
* PRED_CMD MSR is available: NO
* CPU indicates IBPB capability: NO
* Single Thread Indirect Branch Predictors (STIBP)
* SPEC_CTRL MSR is available: NO
* CPU indicates STIBP capability: NO
* Enhanced IBRS (IBRS_ALL)
* CPU indicates ARCH_CAPABILITIES MSR availability: NO
* ARCH_CAPABILITIES MSR advertises IBRS_ALL capability: NO
* CPU explicitly indicates not being vulnerable to Meltdown (RDCL_NO): NO
* CPU microcode is known to cause stability problems: NO (model 30 stepping 5 ucode 0x7)
* CPU vulnerability to the three speculative execution attacks variants
* Vulnerable to Variant 1: YES
* Vulnerable to Variant 2: YES
* Vulnerable to Variant 3: YES

CVE-2017-5753 [bounds check bypass] aka 'Spectre Variant 1'
* Mitigated according to the /sys interface: YES (kernel confirms that the mitigation is active)
* Kernel has array_index_mask_nospec: YES (1 occurence(s) found of 64 bits array_index_mask_nospec())
> STATUS: NOT VULNERABLE (Mitigation: __user pointer sanitization)

CVE-2017-5715 [branch target injection] aka 'Spectre Variant 2'
* Mitigated according to the /sys interface: YES (kernel confirms that the mitigation is active)
* Mitigation 1
* Kernel is compiled with IBRS/IBPB support: NO
* Currently enabled features
* IBRS enabled for Kernel space: NO
* IBRS enabled for User space: NO
* IBPB enabled: NO
* Mitigation 2
* Kernel compiled with retpoline option: YES
* Kernel compiled with a retpoline-aware compiler: YES (kernel reports full retpoline compilation)
* Retpoline enabled: NO
> STATUS: NOT VULNERABLE (Mitigation: Full generic retpoline - vulnerable module loaded)

CVE-2017-5754 [rogue data cache load] aka 'Meltdown' aka 'Variant 3'
* Mitigated according to the /sys interface: YES (kernel confirms that the mitigation is active)
* Kernel supports Page Table Isolation (PTI): YES
* PTI enabled and active: YES
* Running as a Xen PV DomU: NO
> STATUS: NOT VULNERABLE (Mitigation: PTI)

A false sense of security is worse than no security at all, see --disclaimer
X@X ~ $

Under uppstarten står det dock: "System may be vulnerable to Spectre V2".

Vet inte vad man ska tro?

Citera

2018-02-28, 16:14 #10

Medlem

Reg: Oct 2013

Inlägg: 383

Citat:

Ursprungligen postat av Vladulven

Under uppstarten står det dock: "System may be vulnerable to Spectre V2".

Vet inte vad man ska tro?

Efter senaste uppdateringen till 4.15.7 får jag inte längre det meddelandet.

__________________
Senast redigerad av Vladulven 2018-02-28 kl. 16:20.

Citera

Canonical tar bort Meltdown-patch i kernel 4.13 för ARM64

Stöd Flashback