Chequeando vulnerabilidades de Intel exDebian
  1. Inicio
  2. Chequeando vulnerabilidades de Intel

Chequeando vulnerabilidades de Intel

Me han compartido por el irc un que permite ver si nos afectan las vulnerabilidades Meltdown y Spectre. Parece que con el nuevo kernel 4.14-0-3 que ya está en testing, se ha arreglado en lo que se refiere a Meltdown  pero no para las 2 variantes de Spectre.

A si que vamos a ver como funciona el script.

Primero lo descargamos:

$ wget https://raw.githubusercontent.com/speed47/spectre-meltdown-checker/master/spectre-meltdown-checker.sh

Y después lo ejecutamos con (como root):

# sh spectre-meltdown-checker.sh

El script nos mostrará si el sistema es vulnerable o no. En mi caso con el kernel 4.14.0-3 vemos que estoy a salvo del Meltdown pero no de las variantes de Spectre.

moonwatcher
Imagen de moonwatcher
Domingo, 21 Enero, 2018 - 16:29
Categoría: 
Otros dispositivos de hardware
Etiqueta: 
script, intel, Meltdown, Spectre
Lun, 22/01/2018 - 09:49
rockyiii
Imagen de rockyiii
Desconectado/a
administrator
se unió: 11/01/16 
uname -a
Linux R2D2 4.14.0-3-amd64 #1 SMP Debian 4.14.13-1 (2018-01-14) x86_64 GNU/Linux

por el memento no la noto más lenta

CVE-2017-5754 [rogue data cache load] aka 'Meltdown' aka 'Variant 3'
* Kernel supports Page Table Isolation (PTI):  YES 
* PTI enabled and active:  YES 
* Checking if we're running under Xen PV (64 bits): dmesg: fallo al leer el «buffer» del núcleo: Operación no permitida
 UNKNOWN  (dmesg truncated, please reboot and relaunch this script)
> STATUS:  NOT VULNERABLE  (PTI mitigates the vulnerability)

 

Lun, 22/01/2018 - 12:39
lalo
Imagen de lalo
Desconectado/a
colaborador
se unió: 22/02/16

Al cambiar el kernel de 4.14.0-2-amd64 para 4.14.0-3-amd64 ha dado que el Meltdown

ahora es  NOT VULNERABLE... que bien.

Ahora me empiezo a preocupar con Spectre Variant 1 y 2... sad

Saludos

lalo

Lun, 22/01/2018 - 20:40
Berbellon
Imagen de Berbellon
Desconectado/a
colaborador
se unió: 04/05/16

Simple ...

$ grep . /sys/devices/system/cpu/vulnerabilities/*
/sys/devices/system/cpu/vulnerabilities/meltdown:Mitigation: PTI
/sys/devices/system/cpu/vulnerabilities/spectre_v1:Vulnerable
/sys/devices/system/cpu/vulnerabilities/spectre_v2:Vulnerable: Minimal generic ASM retpoline

Jue, 25/01/2018 - 10:43
rockyiii
Imagen de rockyiii
Desconectado/a
administrator
se unió: 11/01/16

Parece que la gente de Debian empaquetaron el script

para los que tengan strerch van a tener que agregar el repositorio

deb http://ftp.de.debian.org/debian stretch-backports main

Una vez instalado, como root

su
spectre-meltdown-checker

saludos...

Vie, 26/01/2018 - 17:32 (Responder a #4)
Panko
Imagen de Panko
Desconectado/a
moderador
se unió: 18/02/16

Depende... en mi sistema, p.e., no existe vulnerabilities en esa ruta, ni en otra. Si alguien quiere saberlo, que use esa herramienta. También está más actualizada en su github que la empaquetada en debian.

  No hay bar que por bien no venga....
Vie, 26/01/2018 - 17:35 (Responder a #5)
Panko
Imagen de Panko
Desconectado/a
moderador
se unió: 18/02/16

@lalo estás igual que yo... xD

Tengo el mismo modelo de cpu, un i7 de3ª generación, portátil Asus... estamos apañaos.

  No hay bar que por bien no venga....
Sáb, 27/01/2018 - 10:46 (Responder a #6)
lalo
Imagen de lalo
Desconectado/a
colaborador
se unió: 22/02/16

@Panko si, a mi me encanta, ;)

me dura ya varios años...

y muy fiable.

 

Saludos

lalo

Sáb, 27/01/2018 - 18:35
Berbellon
Imagen de Berbellon
Desconectado/a
colaborador
se unió: 04/05/16

@ Panko, Raro que estando en Sid no exista ese directorio/archivos sysfs.

 sysfs/cpu: Add vulnerability folder
    
    commit 87590ce6e373d1a5401f6539f0c59ef92dd924a9 upstream.
    
    As the meltdown/spectre problem affects several CPU architectures, it makes
    sense to have common way to express whether a system is affected by a
    particular vulnerability or not. If affected the way to express the
    mitigation should be common as well.
    
    Create /sys/devices/system/cpu/vulnerabilities folder and files for
    meltdown, spectre_v1 and spectre_v2.
    
    Allow architectures to override the show function.

Para otro lanzamiento del kernel, supongo.

Vie, 16/02/2018 - 22:36
Panko
Imagen de Panko
Desconectado/a
moderador
se unió: 18/02/16

Pues si, en la última actualización en Sid ya aparece:

~$ grep . /sys/devices/system/cpu/vulnerabilities/*
/sys/devices/system/cpu/vulnerabilities/meltdown:Mitigation: PTI
/sys/devices/system/cpu/vulnerabilities/spectre_v1:Vulnerable
/sys/devices/system/cpu/vulnerabilities/spectre_v2:Mitigation: Full generic retpoline

y con  la indicación de lo que se tiene mitigado...

Y la comprobación con el script que rula por ahi, actualizado de git:

la comprobación de la cpu

 

y la comprobación de las vulnerabilidades

 

Ahora, a esperar a la que falta!

  No hay bar que por bien no venga....
Lun, 19/02/2018 - 21:30 (Responder a #9)
lalo
Imagen de lalo
Desconectado/a
colaborador
se unió: 22/02/16

@Panko 

¿ has sentido que ha decaido la velocidad ? enlightened

luego de la segunda corrección...

 

Saludos

lalo

Mar, 20/02/2018 - 13:19
rockyiii
Imagen de rockyiii
Desconectado/a
administrator
se unió: 11/01/16

con kerrnel 4.15.0-1 laugh 

spectre-meltdown-checker
Spectre and Meltdown mitigation detection tool v0.34

Checking for vulnerabilities on current system
Kernel is Linux 4.15.0-1-amd64 #1 SMP Debian 4.15.4-1 (2018-02-18) x86_64
CPU is Intel(R) Core(TM) i5-3450 CPU @ 3.10GHz

Hardware check
* Hardware support (CPU microcode) for mitigation techniques
  * Indirect Branch Restricted Speculation (IBRS)
    * SPEC_CTRL MSR is available:  NO 
    * CPU indicates IBRS capability:  NO 
  * Indirect Branch Prediction Barrier (IBPB)
    * PRED_CMD MSR is available:  NO 
    * CPU indicates IBPB capability:  NO 
  * Single Thread Indirect Branch Predictors (STIBP)
    * SPEC_CTRL MSR is available:  NO 
    * CPU indicates STIBP capability:  NO 
  * Enhanced IBRS (IBRS_ALL)
    * CPU indicates ARCH_CAPABILITIES MSR availability:  NO 
    * ARCH_CAPABILITIES MSR advertises IBRS_ALL capability:  NO 
  * CPU explicitly indicates not being vulnerable to Meltdown (RDCL_NO):  NO 
  * CPU microcode is known to cause stability problems:  NO  (model 58 stepping 9 ucode 0x10)
* CPU vulnerability to the three speculative execution attacks variants
  * Vulnerable to Variant 1:  YES 
  * Vulnerable to Variant 2:  YES 
  * Vulnerable to Variant 3:  YES 

CVE-2017-5753 [bounds check bypass] aka 'Spectre Variant 1'
* Mitigated according to the /sys interface:  YES  (kernel confirms that the mitigation is active)
* Kernel has array_index_mask_nospec:  YES  (1 occurence(s) found of 64 bits array_index_mask_nospec())
> STATUS:  NOT VULNERABLE  (Mitigation: __user pointer sanitization)

CVE-2017-5715 [branch target injection] aka 'Spectre Variant 2'
* Mitigated according to the /sys interface:  YES  (kernel confirms that the mitigation is active)
* Mitigation 1
  * Kernel is compiled with IBRS/IBPB support:  NO 
  * Currently enabled features
    * IBRS enabled for Kernel space:  NO 
    * IBRS enabled for User space:  NO 
    * IBPB enabled:  NO 
* Mitigation 2
  * Kernel compiled with retpoline option:  YES 
  * Kernel compiled with a retpoline-aware compiler:  YES  (kernel reports full retpoline compilation)
  * Retpoline enabled:  NO 
> STATUS:  NOT VULNERABLE  (Mitigation: Full generic retpoline)

CVE-2017-5754 [rogue data cache load] aka 'Meltdown' aka 'Variant 3'
* Mitigated according to the /sys interface:  YES  (kernel confirms that the mitigation is active)
* Kernel supports Page Table Isolation (PTI):  YES 
* PTI enabled and active:  YES 
* Running as a Xen PV DomU:  NO 
> STATUS:  NOT VULNERABLE  (Mitigation: PTI)

A false sense of security is worse than no security at all, see --disclaimer

y

grep . /sys/devices/system/cpu/vulnerabilities/*
/sys/devices/system/cpu/vulnerabilities/meltdown:Mitigation: PTI
/sys/devices/system/cpu/vulnerabilities/spectre_v1:Mitigation: __user pointer sanitization
/sys/devices/system/cpu/vulnerabilities/spectre_v2:Mitigation: Full generic retpoline

 

Mar, 20/02/2018 - 13:37
moonwatcher
Imagen de moonwatcher
Desconectado/a
moderador
se unió: 21/01/16

Si, el kernel kernel 4.15.0-1 ya está en Sid. Y lo noto bastante ágil wink

 

 

We were but stones. Your light made us stars

Jue, 22/02/2018 - 15:44
Percontator
Imagen de Percontator
Desconectado/a
colaborador
se unió: 20/03/16

 

 Hay algo que no me queda claro.

 Si yo descargo los script los instalo en el ordenador y los ejecuto,

 ¿He de estar en linea para que trabaje, o se puede ejecutar offline, sin conexión?.

 Porque los mios están más aislados que si fueran gubernamentales.

 

Jue, 22/02/2018 - 16:12 (Responder a #13)
rockyiii
Imagen de rockyiii
Desconectado/a
administrator
se unió: 11/01/16

Percontator wrote:

 

 Hay algo que no me queda claro.

 Si yo descargo los script los instalo en el ordenador y los ejecuto,

 ¿He de estar en linea para que trabaje, o se puede ejecutar offline, sin conexión?.

 Porque los mios están más aislados que si fueran gubernamentales.

 

Creo que en Debian desde el kerrnel 4.14 ya tenes la dirección /sys/devices/system/cpu/vulnerabilities asi que en realidad ni siquiera necesitas instalar nada solo ejecutas

grep . /sys/devices/system/cpu/vulnerabilities/*

y te sale si tenes mitigación para estas vulnerabilidades algo asi

grep . /sys/devices/system/cpu/vulnerabilities/*
/sys/devices/system/cpu/vulnerabilities/meltdown:Mitigation: PTI
/sys/devices/system/cpu/vulnerabilities/spectre_v1:Mitigation: __user pointer sanitization
/sys/devices/system/cpu/vulnerabilities/spectre_v2:Mitigation: Full generic retpoline

ahora, con el tema del script o el paquete spectre-meltdown-checker (que esta en ) no requieren conexión a Internet

Jue, 22/02/2018 - 18:40
tigreci
Imagen de tigreci
Desconectado/a
colaborador
se unió: 31/07/17

Yo lo he probado con

grep . /sys/devices/system/cpu/vulnerabilities/*

e indica que mi sistema ya no es vulnerable aunque es una maquina virtual XD

parare mi hypervisor y arrancare en windows  o vere si esto funciona en la consola shell de vmware

por el momento tengo que actualizar todas mis maquinas virtuales que son unas cuantas 8

 

Autodidacta sin remedio.

Mar, 27/02/2018 - 15:04
Percontator
Imagen de Percontator
Desconectado/a
colaborador
se unió: 20/03/16

 

 Uy!, se me había pasado este post, lo siento.

 Asi si me bajo el script correspondiente y lo ejecuto, no hace falta ninguna conexión.

 En cuanto tenga tiempo lo intento, a ver que sale.

 De momento en las instalaciones pre-fallo, y este verano en la que le instale al via.

 A ver si hay mucha diferencia.

 

Jue, 22/03/2018 - 07:18
pvaldes
Imagen de pvaldes
Desconectado/a
colaborador
se unió: 07/04/16

Segun el paquete no soy vulnerable a ninguno, guays, aunque ahora me queda la mosca tras la oreja de que si pudiera tener que ver con los recientes intentos del pichi de convertirse en una freidora industrial a la mínima...

(Tampoco es que el calorcito fuera mal recibido, las cosas como son)

Jue, 22/03/2018 - 07:46 (Responder a #17)
pvaldes
Imagen de pvaldes
Desconectado/a
colaborador
se unió: 07/04/16

Percontator wrote:

 Asi si me bajo el script correspondiente

Está disponible oficialmente con apt install spectre-meltdown-checker. Sugiero mejor instalarlo desde ahí

Lun, 03/06/2019 - 14:42
ldebian
Imagen de ldebian
Desconectado/a
se unió: 24/05/19

# grep . /sys/devices/system/cpu/vulnerabilities/*
/sys/devices/system/cpu/vulnerabilities/l1tf:Vulnerable
/sys/devices/system/cpu/vulnerabilities/mds:Vulnerable: Clear CPU buffers attempted, no microcode; SMT vulnerable
/sys/devices/system/cpu/vulnerabilities/meltdown:Vulnerable
/sys/devices/system/cpu/vulnerabilities/spec_store_bypass:Mitigation: Speculative Store Bypass disabled via prctl and seccomp
/sys/devices/system/cpu/vulnerabilities/spectre_v1:Mitigation: __user pointer sanitization
/sys/devices/system/cpu/vulnerabilities/spectre_v2:Mitigation: Full generic retpoline, IBPB: conditional, IBRS_FW, STIBP: conditional, RSB filling

 

  ¿Y como se solucionan estas vulnerabilidades?

Mar, 04/06/2019 - 12:31 (Responder a #19)
rockyiii
Imagen de rockyiii
Desconectado/a
administrator
se unió: 11/01/16

ldebian wrote:

# grep . /sys/devices/system/cpu/vulnerabilities/*
/sys/devices/system/cpu/vulnerabilities/l1tf:Vulnerable
/sys/devices/system/cpu/vulnerabilities/mds:Vulnerable: Clear CPU buffers attempted, no microcode; SMT vulnerable
/sys/devices/system/cpu/vulnerabilities/meltdown:Vulnerable
/sys/devices/system/cpu/vulnerabilities/spec_store_bypass:Mitigation: Speculative Store Bypass disabled via prctl and seccomp
/sys/devices/system/cpu/vulnerabilities/spectre_v1:Mitigation: __user pointer sanitization
/sys/devices/system/cpu/vulnerabilities/spectre_v2:Mitigation: Full generic retpoline, IBPB: conditional, IBRS_FW, STIBP: conditional, RSB filling

 

  ¿Y como se solucionan estas vulnerabilidades?

el tema es que siguen descubriendo más y más vulnerabilidades (en especial de los procesadores intel), así que del lado del usuario solo nos queda mantener actualizados nuestros sistemas y de ser posible instalar el kernel más moderno que se pueda, que a la fecha seria el kernel 5.xx


OFF TOPIC -------
para aquellos y aquellas valientes que no quieran ver ralentizados sus procesadores con los parches de seguridad solo tienen que editar /etc/default/grub y poner:

GRUB_CMDLINE_LINUX="noibrs noibpb nopti nospectre_v2 nospectre_v1 l1tf=off nospec_store_bypass_disable no_stf_barrier mds=off mitigations=off"

* para aplicar los cambios update-grub
fuente:

te puede interesar

El trabajo en Debian para dispositivos móviles continúa

El trabajo en Debian para dispositivos móviles continúa El trabajo en Debian para dispositivos móviles, es decir, teléfonos, tablets y computadoras de mano, continúa. Durante la reciente DebConf17 en Montreal, Canadá, más de 50 personas tuvieron una...