Chequeando vulnerabilidades de Intel
Me han compartido por el irc un que permite ver si nos afectan las vulnerabilidades Meltdown y Spectre. Parece que con el nuevo kernel 4.14-0-3 que ya está en testing, se ha arreglado en lo que se refiere a Meltdown pero no para las 2 variantes de Spectre.
A si que vamos a ver como funciona el script.
Primero lo descargamos:
$ wget https://raw.githubusercontent.com/speed47/spectre-meltdown-checker/master/spectre-meltdown-checker.sh
Y después lo ejecutamos con (como root):
# sh spectre-meltdown-checker.sh
El script nos mostrará si el sistema es vulnerable o no. En mi caso con el kernel 4.14.0-3 vemos que estoy a salvo del Meltdown pero no de las variantes de Spectre.
Domingo, 21 Enero, 2018 - 16:29
Categoría:
- Inicie sesión o regístrese para comentar
- 618 lecturas
por el memento no la noto más lenta
Al cambiar el kernel de 4.14.0-2-amd64 para 4.14.0-3-amd64 ha dado que el Meltdown
ahora es NOT VULNERABLE... que bien.
Ahora me empiezo a preocupar con Spectre Variant 1 y 2...
Saludos
lalo
Simple ...
$ grep . /sys/devices/system/cpu/vulnerabilities/*
/sys/devices/system/cpu/vulnerabilities/meltdown:Mitigation: PTI
/sys/devices/system/cpu/vulnerabilities/spectre_v1:Vulnerable
/sys/devices/system/cpu/vulnerabilities/spectre_v2:Vulnerable: Minimal generic ASM retpoline
Parece que la gente de Debian empaquetaron el script
para los que tengan strerch van a tener que agregar el repositorio
Una vez instalado, como root
saludos...
Depende... en mi sistema, p.e., no existe vulnerabilities en esa ruta, ni en otra. Si alguien quiere saberlo, que use esa herramienta. También está más actualizada en su github que la empaquetada en debian.
No hay bar que por bien no venga....
@lalo estás igual que yo... xD
Tengo el mismo modelo de cpu, un i7 de3ª generación, portátil Asus... estamos apañaos.
No hay bar que por bien no venga....
@Panko si, a mi me encanta, ;)
me dura ya varios años...
y muy fiable.
Saludos
lalo
@ Panko, Raro que estando en Sid no exista ese directorio/archivos sysfs.
Para otro lanzamiento del kernel, supongo.
Pues si, en la última actualización en Sid ya aparece:
y con la indicación de lo que se tiene mitigado...
Y la comprobación con el script que rula por ahi, actualizado de git:
la comprobación de la cpu
y la comprobación de las vulnerabilidades
Ahora, a esperar a la que falta!
No hay bar que por bien no venga....
@Panko
¿ has sentido que ha decaido la velocidad ?
luego de la segunda corrección...
Saludos
lalo
con kerrnel 4.15.0-1
y
Si, el kernel kernel 4.15.0-1 ya está en Sid. Y lo noto bastante ágil
We were but stones. Your light made us stars
Hay algo que no me queda claro.
Si yo descargo los script los instalo en el ordenador y los ejecuto,
¿He de estar en linea para que trabaje, o se puede ejecutar offline, sin conexión?.
Porque los mios están más aislados que si fueran gubernamentales.
Creo que en Debian desde el kerrnel 4.14 ya tenes la dirección /sys/devices/system/cpu/vulnerabilities asi que en realidad ni siquiera necesitas instalar nada solo ejecutas
y te sale si tenes mitigación para estas vulnerabilidades algo asi
ahora, con el tema del script o el paquete spectre-meltdown-checker (que esta en ) no requieren conexión a Internet
Yo lo he probado con
grep . /sys/devices/system/cpu/vulnerabilities/*
e indica que mi sistema ya no es vulnerable aunque es una maquina virtual XD
parare mi hypervisor y arrancare en windows o vere si esto funciona en la consola shell de vmware
por el momento tengo que actualizar todas mis maquinas virtuales que son unas cuantas 8
Autodidacta sin remedio.
Uy!, se me había pasado este post, lo siento.
Asi si me bajo el script correspondiente y lo ejecuto, no hace falta ninguna conexión.
En cuanto tenga tiempo lo intento, a ver que sale.
De momento en las instalaciones pre-fallo, y este verano en la que le instale al via.
A ver si hay mucha diferencia.
Segun el paquete no soy vulnerable a ninguno, guays, aunque ahora me queda la mosca tras la oreja de que si pudiera tener que ver con los recientes intentos del pichi de convertirse en una freidora industrial a la mínima...
(Tampoco es que el calorcito fuera mal recibido, las cosas como son)
Está disponible oficialmente con apt install spectre-meltdown-checker. Sugiero mejor instalarlo desde ahí
# grep . /sys/devices/system/cpu/vulnerabilities/*
/sys/devices/system/cpu/vulnerabilities/l1tf:Vulnerable
/sys/devices/system/cpu/vulnerabilities/mds:Vulnerable: Clear CPU buffers attempted, no microcode; SMT vulnerable
/sys/devices/system/cpu/vulnerabilities/meltdown:Vulnerable
/sys/devices/system/cpu/vulnerabilities/spec_store_bypass:Mitigation: Speculative Store Bypass disabled via prctl and seccomp
/sys/devices/system/cpu/vulnerabilities/spectre_v1:Mitigation: __user pointer sanitization
/sys/devices/system/cpu/vulnerabilities/spectre_v2:Mitigation: Full generic retpoline, IBPB: conditional, IBRS_FW, STIBP: conditional, RSB filling
¿Y como se solucionan estas vulnerabilidades?
el tema es que siguen descubriendo más y más vulnerabilidades (en especial de los procesadores intel), así que del lado del usuario solo nos queda mantener actualizados nuestros sistemas y de ser posible instalar el kernel más moderno que se pueda, que a la fecha seria el kernel 5.xx
OFF TOPIC -------
para aquellos y aquellas valientes que no quieran ver ralentizados sus procesadores con los parches de seguridad solo tienen que editar /etc/default/grub y poner:
* para aplicar los cambios update-grub
fuente: