Исследователи безопасности, выявившие уязвимости в системе спекулятивного выполнения команд современных процессоров, открыли доступ к рабочим протипам (https://bugs.chromium.org/p/project-zero/issues/detail?id=1272) эксплоитов (https://github.com/IAIK/meltdown/), созданным для демонстрации возможности совершения атак Meltdown и Spectre (https://www.opennet.ru/opennews/art.shtml?num=47856). В том числе открыт код библиотеки libkdump (https://github.com/IAIK/meltdown/tree/master/libkdump), которая использовалась в демонстрациях возможности перехвата (https://github.com/IAIK/Meltdown/tree/master/videos/spy.mp4) ввода паролей, обхода KASLR, доступа (https://bugs.chromium.org/p/project-zero/issues/detail?id=1272) к памяти хост-системы из гостевой системы KVM и определения (https://github.com/IAIK/Meltdown/tree/master/videos/memdump.mp4) содержимого произвольных областей физической памяти (physical_reader (https://github.com/IAIK/meltdown/blob/master/physical_reader.c) и memdump (https://github.com/IAIK/meltdown/blob/master/memdump.c)). Наилучшие результаты работы эксплоитов отмечаются на процессорах с поддержкой Intel TSX (Intel Core i7-5xxx, i7-6xxx или i7-7xxx). Ранее доступ к репозиторию (https://github.com/IAIK/meltdown/) на GitHub был ограничен (https://news.ycombinator.com/item?id=16107578).
Кроме того, накопилась большая подбора заметок с оценкой изменения производительности систем, после применения к ядру Linux патчей KPTI (https://www.opennet.ru/opennews/art.shtml?num=47864) и retpoline]] для блокирования атак Meltdown и Spectre. Общий вывод (https://groups.google.com/forum/m/#!topic/mechanical-sympath...) указывает на то, что накладные расходы вполне терпимы на системах, поддерживающих PCID (Processor-Context ID). На системах без поддержки PCID замедление работы существенно и необходимо отдельно оценивать, что важнее провал производительности, который может составлять до 30%, или риск эксплуатации уязвимости Meltdown (например, атака маловероятна на однопользовательских системах и рабочих станциях с обновлёнными версиями браузеров).
PCID поддерживается в большинстве моделей процессоров, выпускаемых с 2010 года (проверить можно по наличию флага "pcid" в /proc/cpuinfo).
В гостевых системах KVM и VMWare, а также в половине окружений AWS, PCID не доступен. Кроме того, поддержка PCID появилась только в ядре Linux 4.14, поэтому снижение накладных расходов будет заметно только на системах с ядром 4.14+ или в дистрибутивах, перенёсших поддержку PCID в более старых ядрах. Для систем x86 исправления включены (http://kroah.com/log/blog/2018/01/06/meltdown-status/) в обновление 4.15-rc7 и 4.14.12 (рекомендовано подождать 4.14.13 с дополнительными правками) и также подготовлены для веток 4.9 и 4.4. Исправления для ARM64 включены в состав вариантов ядра для платформы Android
3.18, (https://android.googlesource.com/kernel/common/+/android-3.18)
4.4 (https://android.googlesource.com/kernel/common/+/android-4.4) и
4.9 (https://android.googlesource.com/kernel/common/+/android-4.9), но в основном ядре появятся только в выпуске 4.16.
Некоторые другие события, связанные с уязвимостями Meltdown и Spectre:
- Компания Intel вчера выпустила (https://downloadcenter.intel.com/download/27431/Linux-Proces...) обновление микрокода для большого числа актуальных и устаревших моделей процессоров. Обновление доступно в виде пакетов для Red Hat Enterprise Linux, SUSE Linux Enterprise Server, CentOS, Fedora, Ubuntu, Debian и Chrome OS, позволяющих обновить микрокод без обновления BIOS. Обновление микрокода не отменяет необходимости применения патчей к ядру Linux;- Компания Intel также опубликовала (https://newsroom.intel.com/news/intel-offers-security-issue-.../) результаты собственной оценки влияния исправлений на производительность. В тестах SYSmark 2014 SE на системах с 8 поколением CPU Intel Core наблюдается снижение производительности на 2-14% (в среднем 6%);
- По информации (https://access.redhat.com/articles/3307751) от компании Red Hat использование патчей для устранения уязвимостей в Red Hat Enterprise Linux 7 приводит к замедлению выполнения задач на 1-20%:
- Наибольшее проседание производительности (8-20%) наблюдается в работе OLTP БД, случайном доступе к прокэшированной памяти, при активном буферизированном вводе/выводе, при большой интенсивности переключения контекста между ядром и пользовательским уровнем (выполнение системных вызовов). Большие потери наблюдаются в тестах tpc, sysbench, pgbench, netperf (до 256 байт) и fio (случайный доступ к памяти NvME).
- Падение производительности на 3-7% отмечается при выполнении аналитических запросов в СУБД, в системах поддержки принятия решений (DSS) и в Java VM, в моменты интенсивного обмена информацией по сети или при обращениях к диску.- Снижение производительности на 2-5% наблюдается в решениях HPC (High Performance Computing) при большой вычислительной нагрузке на CPU, если большинство работ выполняется в пространстве пользователя с применением привязки к ядрам CPU или использованием numa-control (например, тесты Linpack NxN и SPECcpu2006);
- Минимальное влияние на производительность (менее 2%) проявляется в системах, в которых применяются методы прямого доступа к ресурсам в обход функций ядра и различные техники offload-ускорения. Например, тесты DPDK (VsPERF 64 байт) и OpenOnload (STAC-N).
- Доступно обновление ядра c устранением уязвиомости Meltdown для Ubuntu 12.04 (https://usn.ubuntu.com/usn/usn-3525-1/) (ядро 3.2), 14.04 (https://usn.ubuntu.com/usn/usn-3524-1/) (ядро 3.13), 16.04 (https://usn.ubuntu.com/usn/usn-3522-1/) (4.4) и 17.10 (https://usn.ubuntu.com/usn/usn-3523-1/) (4.13).
На системах без поддержки PCID падение производительности довольно ощутимо: падение (https://www.phoronix.com/scan.php?page=news_item&px=KPTI-Ret...) производительности до 4 раз в тесте Flexible IO Tester (на CPU с поддержкой PCID - 9%), 18-23% в тесте FS-Mark, 16-22% в тесте Compile Bench, 22-27% в тесте NGINX Benchmark и 26-32% в тесте Apache Benchmark;- Проект Debian GNU/Linux выпустил (https://www.decadent.org.uk/ben/blog/meltdown-and-spectre-in...) обновление 64-разрядных сборок ядра (3.2, 3.16, 3.9 и 4.14) с патчами KPTI для wheezy, jessie, jessie-backports, stretch и unstable/sid. Для 32-разрядных систем, а также для веток stretch-backports, testing/buster и experimental обновления пока недоступны (https://security-tracker.debian.org/tracker/CVE-2017-5754). Патчи для блокирования Spectre находятся в процессе рассмотрения, из приложений
Spectre пока устранён в Firefox в Debian unstable, обновление Chromium пока не добавлено;- Для SUSE/openSUSE выпущено (https://lists.opensuse.org/opensuse-security-announce/2018-0...) обновление ядра с патчами для противостояния Meltdown и Spectre;
- Разработчики OpenBSD (http://undeadly.org/cgi?action=article;sid=20180106082238) и FreeBSD (https://lists.freebsd.org/pipermail/freebsd-security/2018-Ja...) готовят патчи для своих систем. Theo de Raadt, основатель OpenBSD, высказал (https://www.itwire.com/security/81338-handling-of-cpu-bug-di...) возмущение практикой упреждающего информирования о проблемах только самых крупных компаний, что ставит остальные в ранг проектов второго сорта. Для DragonFly BSD (https://www.dragonflydigest.com/2018/01/08/20690.html) опубликован (http://gitweb.dragonflybsd.org/dragonfly.git/commit/8ed06571...) начальный вариант патча, который приводит к снижению производительности на 5-12% на процессорах серии Skylake и 12-53% на CPU Haswell;
- IBM выпустил (https://www.ibm.com/blogs/psirt/potential-impact-processors-.../) обновление микрокода для устранения уязвимости Meltdown в процессорах POWER7+ и POWER8. Также опубликованы специфичные для CPU POWER патчи для устранения проблемы в дистрибутивах Linux (RHEL, SUSE, ...URL: https://news.ycombinator.com/item?id=16107578
Новость: http://www.opennet.ru/opennews/art.shtml?num=47880
А на Windows уже прилетел патч?
На мой гаминг ящик с хасфейлом на десяточке ещё нет. Тем более, майки поломали этим патчем AMD, возможно, они его будут переделывать.
Опять нужен бубен.
$ taskset 0x1 ./kaslr
[!] Program requires root privileges (or read access to /proc/<pid>/pagemap)!$ su
# id
uid=0(root) gid=0(root) groups=0(root)
# taskset 0x1 ./kaslr
[!] Program requires root privileges (or read access to /proc/<pid>/pagemap)!
Эксплоиты специально выпускают сломанными, чтобы скрипт-киддис не баловались.
Там до эксплойта, как до Китая пешком.
Вчера прилетел (традиционно - второй вторник месяца). Для Windows 10 можно было ещё несколько дней назад скачать и накатить руками.VMWare тоже запатчила свои продукты.
Главное в это верить и не сомневаться никогда.
Прилетел и всё сломал, потому быстро улетел обратно.
Вроде что-то летит, т к все тормозит и глючит =)
Интересно, ХР на коре дуба не затронута проблемой?
Затронута. И патча не будет, скорее всего.
А как же tablet & kiosk?
Они идут лесом
Там очень весело. Ещё и конфликт с антивирусниками https://doublepulsar.com/important-information-about-microso...
Патч на вантуз прилетел на все версии вантуз 10 примерно через 2 дня как раскрыли уязвимости, их нельзя не устанавливать (если только отключить обновления целиком политикой) и нельзя удалять после установки.Тот товарищ с хасвелом просто не знает куда смотреть. Microsoft не выпускала специально минимальные апдейты, там емнип идет все в одном и заплатки на браузеры и все то что потенциально может эксплуатироваться в уязвимости.
А на линуксах что, обновили ядро, обновили канцпеляторы, а потенциально дырявый софт кто будет пересобирать с изменениями на патченых канцпеляторах?
> Патч на вантуз прилетел на все версии вантуз 10 примерно через 2 дня как раскрыли уязвимости, их нельзя не устанавливать (если только отключить обновления целиком политикой) и нельзя удалять после установки.Надо главное верить. Пусть плацебо, но вы об этом не узнаете. Если верить - можно спать спокойно. Да, можно проснуться бомжном завтра, но это будет завтра. А сегодня спать спокойно и верить!
> Тот товарищ с хасвелом просто не знает куда смотреть. Microsoft не выпускала специально минимальные апдейты, там емнип идет все в одном и заплатки на браузеры и все то что потенциально может эксплуатироваться в уязвимости.
Microsoft сама не знает что там в апдейсах. Пользователи тем более не знают. Но вы можете верить в иное и спать спокойно.
> А на линуксах что, обновили ядро, обновили канцпеляторы, а потенциально дырявый софт кто будет пересобирать с изменениями на патченых канцпеляторах?
Я себе могу собрать ядро и софт. Могу проверить патч компилятора и достоверно установить как обстоят дела. А в windows потенциально дыравый фотошоп с дырявыми компиляторами кто будет пересобирать? Заодно подскажи как мне убедиться что результат сборки не дырявый, собран нужным компилятором без бекдоров и закладок. Снова надо верить, да?
> Могу проверить патч компилятора и достоверно установить как обстоят дела.Помнится несколько эксплойтов в ядре не могли N лет найти куча человек, а ты вы вот просто так возьмёте и проверите и всё сразу станет ясно? Ну-ну.
Кто бы искал этот эксплойт.
> Кто бы искал этот эксплойт.А он есть
> А на линуксах что, обновили ядро, обновили канцпеляторы, а потенциально дырявый софт
> кто будет пересобирать с изменениями на патченых канцпеляторах?Гентушники и прочие, кто на source-based сидят, очевидно.
Идиоты, зачем они всё рассказалаи? Могли бы стать миллиардерами.
Пожизненно заключенными они тоже могли стать по законодательству США.
По "законодательству США" их бы просто шлёпнули по-тихому. Другие миллиардеры в США бабло не хотят терять.
> Идиоты, зачем они всё рассказалаи? Могли бы стать миллиардерами.Так кто-то и стал, наверное. А кого-то за это убили.
Ну и жесть же началась.
На AMD никакой жести, KPTI не нужен, соответственно основное падение производительности идёт мимо.
> На AMD никакой жести, KPTI не нужен, соответственно основное падение производительности
> идёт мимо.Там обновление микрокода нужно. KPTI - это от Meltdown, которому AMD не подвержен. Обновление микрокода - это от Spectre. Так как Spectre менее опасен (не так просто эксплуатируется), можно ждать обновление микрокода спокойно.
Патч retpoline на AMD всё равно требуется, но он проще в реализации и имеет меньший эффект. После обновления микрокода.
>Так как Spectre менее опасенНе знаю, но, мне почему-то кажется, что подглядывание за куки и csfr токеном может реально стать опасным. :)
И главное, оно не лечится. Патчи и микрокод лечат только вариант с подглядыванием в другой ring. И то не саму проблему, а только известный вариант ее экплуатации.
поэтому для amd сборок нет обновлении
Пока ещё не началась. Массовых взломов же нет
Соревнование умов: у кого патч с меньшим падением производительности
Как собрать ядро для Ubuntu 17 без этих патчей?
Пользуюсь активно СУБД, виртуальными машинами, контейнерами и подобным на ноутбуке для разработки.
Можно его просто отключить
Печалька в том, что через годик-другой выйдут новые процессоры без аппаратных уязвимостей, а тормозящие патчи отстанутся.
KPTI включается не тупо для всего x86, есть исключения. Например, весь AMD: https://lkml.org/lkml/2018/1/3/821 А ещё ранние Интелы до 1995 года (ядро же поддерживает i486 минимум).Так что не паникуем. Когда выйдут новые процессоры, их добавят в "белый список".
> .. белый списоккостыли кругом ..
Вдруг откуда-то вспомнилось: если бы строители строили свои дома как программисты пишут свои программы, то первый прилетевший голубь разрушил бы всю цивилизацию.
> костыли кругом ..Предложи вариант лучше. Вот есть ядро 4.14, которое вроде как LTS и будет использоваться ещё несколько лет. В этом или следующем году выйдет новое поколение процессоров. Как ядро сможет узнать, уязвимы они или нет? Гадать по дате выпуска? Так ведь никто не мешает Интелу выпустить старую микроархитектуру без исправлений в новой упаковке (как было, например, в случае с Haswell Refresh).
> Вдруг откуда-то вспомнилось: если бы строители строили свои дома как программисты пишут свои программы, то первый прилетевший голубь разрушил бы всю цивилизацию.
Когда-то видел комментарий строителя по поводу этой цитаты. Если в двух словах, современное строительство не сильно лучше современного программирования :)
> Предложи вариант лучше. Вот есть ядро 4.14, которое вроде как LTS и будет использоваться ещё несколько лет. В этом или следующем году выйдет новое поколение процессоров. Как ядро сможет узнать, уязвимы они или нет? Гадать по дате выпуска? Так ведь никто не мешает Интелу выпустить старую микроархитектуру без исправлений в новой упаковке (как было, например, в случае с Haswell Refresh).Опишу концепцию на базе своего примера со своим софтом: мой самописный софт работает в рантайме и использует библиотеку которая содержит баг до определенной версии. Я на старте вызываю функцию с параметрами которая приводит к багу. Можно было бы связаться на версию, но тогда надо копать в историю, а мне не хочется отрезать возможность работы моей утилиты в старом окружении, например на старой фряхе на работе.
> Когда-то видел комментарий строителя по поводу этой цитаты. Если в двух словах, современное строительство не сильно лучше современного программирования :)Да мы знаем что раньше была трава зеленее, но придет AI и вытеснит нелепого человека.
> Опишу концепцию на базе своего примера со своим софтом: мой самописный софт
> работает в рантайме и использует библиотеку которая содержит баг до определенной
> версии. Я на старте вызываю функцию с параметрами которая приводит к
> багу. Можно было бы связаться на версию, но тогда надо копать
> в историю, а мне не хочется отрезать возможность работы моей утилиты
> в старом окружении, например на старой фряхе на работе.Предлагаете внедрить эксплоит прямо в ядро, чтобы он пытался атаковать систему? Сурово. Но есть две проблемки:
- Флаг X86_BUG_CPU_MELTDOWN выставляется в самом начале процесса загрузки. На данном этапе очень сложно организовать адекватное моделирование атаки.
- Очень часто встречаются ситуации, когда конкретную уязвимость закрыли, но стоит чуточку изменить способ атаки, и система опять становится уязвимой.Вариант с историей тоже не прокатывает, потому что сейчас нет информации, когда и в каких моделях Интел исправит уязвимость на аппаратном уровне. Информации нет, а баг исправлять надо.
Не хочу показаться грубым, но критиковать разработчиков ядра, не понимая, как оно всё работает - не очень красивый поступок.
> Предлагаете внедрить эксплоит прямо в ядро, чтобы он пытался атаковать систему? Сурово. Но есть две проблемки: ...Тогда уж не проблемки, а проблемы. Так вот, любые полноценные решения являются сложными. На то оно и полноценные. Да, я против костылей.
> Не хочу показаться грубым, но критиковать разработчиков ядра, не понимая, как оно всё работает - не очень красивый поступок.
Я не критикую разработчиков ядра, а критикую конкретный метод. Не надо подменять понятия. Я критикую этот костыль чтобы людям не показалось что этот костыль является полноценным и правильным решением и на этом все законилось. Да, это может быть вынужденной и временной мерой чтобы "на переправе коней не менять", но надо сделать нормально.
>> Предлагаете внедрить эксплоит прямо в ядро, чтобы он пытался атаковать систему? Сурово. Но есть две проблемки: ...
> Тогда уж не проблемки, а проблемы. Так вот, любые полноценные решения являются
> сложными. На то оно и полноценные. Да, я против костылей.
>> Не хочу показаться грубым, но критиковать разработчиков ядра, не понимая, как оно всё работает - не очень красивый поступок.
> Я не критикую разработчиков ядра, а критикую конкретный метод. Не надо подменять
> понятия. Я критикую этот костыль чтобы людям не показалось что этот
> костыль является полноценным и правильным решением и на этом все законилось.
> Да, это может быть вынужденной и временной мерой чтобы "на переправе
> коней не менять", но надо сделать нормально.Напишите нормальный патч пожалуйста.
> Напишите нормальный патч пожалуйста.Спасибо за доверие, но нет.
А атомы без внеочередного выполнения кода? На них же эти уязвимости невозможны
> А атомы без внеочередного выполнения кода? На них же эти уязвимости невозможныhttps://git.kernel.org/pub/scm/linux/kernel/git/torvalds/lin...
Кроме AMD исключений не видно. Интел уже давно забил на эти древние модели Атомов, а остальные, видимо, просто не хотят трогать.
Ядро уже давно не поддерживает i486
> Ядро уже давно не поддерживает i486Пока Вас не обвинили в угоне машины времени: нет, в 2017 ещё умело.
Не скажу за всех, но ядро Ubuntu не включает PTI, если используется процессор от AMD. Вполне могут и для будущих процессоров добавить исключения.
К выходу новых цпу их уберут.
В линуксе можно отключить при загрузке системы
Подскажите юзкейс
что? подсказать юзкейс для отключения патчей для тормозов? серьезно?
Ну а самое главное в носоти не упомянули, ну как так-то? В Альт исправвили уже?
> Ну а самое главное в носовти не упомянули, ну как так-то?
> В Альт исправвили уже?Ну так и добавили бы, раз так переживаете -- да (4.9.75+/4.14.12).
Сами написали или спёрли?
спёрли исходники ядра линуск и сканпелировали их? вы из атсра линукса пишете?
"Чё там у х^WАльта?"
А в убунту на ядре 4.13 есть/будет поддержка acid?
Pcid
Добавили вместе с исправлением, читай чеёнджлог
> Компания Intel вчера выпустила обновление микрокода для большого числа актуальных и устаревших моделей процессоров.Это очень важный шаг! Если бы новость писал я, я бы это место поставил на самый верх. В предыдущей новости писали, что Intel и AMD собирались выступить с совместным докладом 9 января, но информация "утекла" в сеть уже 3 января.
> Обновление доступно в виде пакетов для Red Hat Enterprise Linux, SUSE Linux Enterprise Server, CentOS, Fedora, Ubuntu, Debian и Chrome OS, позволяющих обновить микрокод без обновления BIOS. Обновление микрокода не отменяет необходимости применения патчей к ядру Linux;
Кстати о SLES. У меня 11-я версия. Пришло обновлённое ядро: https://kernel.opensuse.org/cgit/kernel/commit/?h=SLE11-SP4&... В /proc/cpuinfo появилась новая возможность процессора: kaiser. Если загрузиться с pti=off, она исчезает.
Но при этом в dmesg ничего про изоляцию тредов нет, и cpu_insecure в /proc/cpuinfo не появляется (если загрузиться с pti=off). Когда я погуглил "как убедиться, что KPTI включен?", нашёл именно советы смотреть dmesg и "cat /proc/cpuinfo". Значит ли это, что в ядро 3.0 бэкпортировали только первый и самый основной патч? Который написали ещё в декабре, а в ядре 4.14.11 KPTI ещё доделывали.
P.S. Пользуясь случаем, порекламирую своё репо для openSUSE: https://build.opensuse.org/project/show/home:linux4humans:pf... LTS-ядро Linux с патчем Коливаса. KPTI уже есть.
> собирались выступить с совместным докладом 9 января, но информация "утекла" в сеть уже 3 января.Пол года не прошло. Хотя нет, прошло.
Наверно очень тщательно готовились. Так бы и готовились до сих пор, если бы не утекла инфа.
> Это очень важный шаг!или прыжок на месте.
> Если бы новость писал я, я бы это место поставил на самый верх.
а я бы ее вообще исключил. Что оно делает на опеннете?
Что исправили и нахрена, если "необходимости применения патчей не отменяет" - спросите у интела с амдой. Какова потеря производительности от этого чудо-исправления - никто, похоже, померять не догадался.Ну разьве что всем желающим четкий повод насторожиться на тему этих апдейтов, датированных позднее 3го января.
> В /proc/cpuinfo появилась новая возможность процессора: kaiser.Это чтоб хацкеры знали, пропускали попытки и приступали к перебору следующих вариантов? :)
> основатель OpenBSD, высказал возмущение практикой упреждающего информирования о проблемах только самых крупных компаний, что ставит остальные в ранг проектов второго сортаАга-ага, чтобы опять всё растрепали раньше времени, исправив быстрее всех. См. уязвимость KRACK и wpa_supplicant.
Действительно, тяжело патчи выкатывать вовремя для блобов, если опенсорсники делают то же самое лучше и быстрее
> Ага-ага, чтобы опять всё растрепали раньше времени, исправив быстрее всех. См. уязвимость
> KRACK и wpa_supplicant.Кроме опенка есть еще фря. Там никто не трепался, но
https://lists.freebsd.org/pipermail/freebsd-security/2018-Ja...
> The FreeBSD Security Team was notified of the issue in late December
> and received a briefing under NDA with the original embargo date of
> January 9th. Since we received relatively late notice of the issue, our
> ability to provide fixes is delayed.Т.е. и NDA подписать заставили и сообщили к концу декабря. Нормально, че.
> Ага-ага, чтобы опять всё растрепали раньше времени, исправив быстрее всех.Ну а вышло так же с линуксом. И на исправления в нём таки обратили внимание, в отличие от исправления KRACK в опёнке. Без толку пытаться замолчать такие вещи.
и тут мельдоний (Meltdown)
Мельтдоний
> и тут мельдонийДа-да, вчера тоже пришли к тому же выводу: мельдоний и русские хакеры.
ну если вспомнить что семейство intel P5/P6 делали русские хакеры…а доделывали в Хайве :)))))
> ну если вспомнить что семейство intel P5/P6 делали русские хакеры…...таки оставлю и здесь:
https://zaitcev.livejournal.com/241876.html
https://zaitcev.livejournal.com/242238.html
:-)
Так и запишем: Россия — родина не только слонов, но и VLIW.
Серьезно? Я думал о 403 Forbidden речь.
Что и куда надо прописать на свежих ядрах что бы отключить эти патчи? они мне на домашнем пк не нужны
pti=off (или nopti) в параметры запуска.
плохой совет, вернее ваши проблемы, особенно с интернет-банком
Человек спросил - человек получил ответ. К тому же, Firefox, к примеру, уже внес исправления для противодействия этим уязвимостям, а значит им спокойно можно пользоваться и с выключенным KPTI.
> Человек спросил - человек получил ответ. К тому же, Firefox, к примеру,
> уже внес исправления для противодействия этим уязвимостям, а значит им спокойно
> можно пользоваться и с выключенным KPTI.на машину можно зайти без firefox и получить цифровую подпись с USB-брелока банка
nospec забыл. У кого, конечно, есть эта фича.
На Ubuntu 17.10 после обновления не собирается драйвер Nvidia. Заинтересованным лучше обождать.
обновитесь до nvidia-384 (см.новость) в нём 384.111, который собирается и работает.
Понятно, спасибо. У меня слетел 387.22.
<ирония>
Ну, тогда "обстаритесь" до работающей версии.
</ирония>
> Понятно, спасибо. У меня слетел 387.22.Фанаты проприетари клялись что с нвидиагадостью все просто работает. А оказывается не так уж просто.
387 как бы бета. со всеми вытекающими
> Theo de Raadt, основатель OpenBSD, высказал возмущение практикой упреждающего информирования о проблемах только самых крупных компаний, что ставит остальные в ранг проектов второго сорта.А это не он ли недавно опубликовал инфу об очередной уязвимости раньше времени, прежде чем ее исправили в других ОС? Помнится, исследователи безопасности тогда зареклись ему в будущем что-либо сообщать.
Да, см. уязвимость KRACK и wpa_supplicant.
Ведь так тяжело в коммерческих дистрах, за которые денег немерянно платят, вовремя написать патчи. Тысячи индусов не успевают. Напоминает бородатый анекдот:
Выходит на китайскую границу русский богатырь и кричит:
— Эй, сто тыщ китайцев, айда за сопку драться.
Китайцы собрались и пошли. Через пару дней из-за сопки выходит русский богатырь и кричит:
— Эй, сто тыщ китайцев, айда за сопку драться.
Китайцы собрались.
Через пару дней выходит опять русский богатырь и кричит:
— Эй, сто тыщ китайцев, айда за сопку драться.
Собрались китайцы. Вдруг из-за сопки выползает недобитый китаец и из последних сил кричит:
— Не ходите, это засада — их там двое!
Ну так пусть теушка не смотрит ни в коммерческие дистры, не пользует рассказы о дырках от коммерческих фирм, либо от людей работающих на коммерческие фирмы. Сам, всё сам. Зато полностью свободно, ни от кого не зависимо и быстро.
Ага, а коммерческие дистры и фирмы в свою очередь не юзают SSH и прочее тянутое из опёнка... и ещё вопрос кому это выйдет дороже, а кто о безопасности печётся. Более того в данном случае так и получилось, что фиг кто сказал, партизанили до победы. А когда уже все сроки прошли коммерсы такие "ой, мы тут патчи будем делать и фирмварей сделаем к процам, только ещё полгода подождите, мы не успели, т.к. дым из задницы не шёл"
Есть мнение, что OpenSSH пилится командой Тео лишь по той причине, что кому-то надо это делать. Не будет благородных рыцарей — подхватят другие (напрмер, РХ, и доверит его Поттерингу :)). Или вовсе воспользуются поводом заменить на что-то современное и менее костыльное.Мы как-то в порядке эксперимента перешли на некоторых хостах на dropbear. Ничего не сломалось, но из-за того, что некоторый софт оказался завязан на название «OpenSSH» (а не на концепцию сервиса удалённого шелла как таковую), приходилось плясать с бубном в неожиданных местах.
Так что весь цирк с OpenBSD и счетами за электричество существует ровно до тех пор, пока Тео пилит то, что пока ещё нужно людям, но никак не наоборот.
> Есть мнение, что OpenSSH пилится командой Тео лишь по той причине, что
> кому-то надо это делать. Не будет благородных рыцарей — подхватят другие
> (напрмер, РХ, и доверит его Поттерингу :)). Или вовсе воспользуются поводом
> заменить на что-то современное и менее костыльное.Интересно, что когда срaч^W cпор идет о причинах "победоносного шествия" пингвина и отставания бздей, то те же самые аргументы заменяемости с негодованием отвергаются и упор делается на лицензию, модель разработки или на лидерские и организационные качества Линуса :)
Только там было иначе.
1. Они молча все исправили у себя не дожидаясь даты релиза. И инфу об уязвимости они не публиковали.2. Исследователи безопасности обещали сообщать им информацию об уязвимостях ближе к дате релиза чем всем остальным. В случае Meltdown, Spectre им ничего не сообщили, хотя у других было полгода для написания патчей.
> ближе к дате релиза чем всем остальным. В случае Meltdown, Spectre им ничего не сообщилиСобирались сообщить 6 января. Но произошла утечка, звиняйте...
> Помнится, исследователи безопасности
> тогда зареклись ему в будущем что-либо сообщать.И в прошлом, видимо, тоже зареклись? Сопоставь даты исправления KRACK и обнаружения Meltdown.
процессоры Atom, Atom Z, Celeron J, Pentium N трудившиеся в качестве подпотолочных домашних серверков идут в утиль, чего уж говорить про ноутбуки, итак тормозные были, теперь ещё и ручник приделали, правильно что купил одноплатный ARM A53
Ты б хоть как-то в тему въехал...
1) для атомов этой уязвимости нет, так как нет спекулятивного выполнения
2) для подпотолочных серверков угрозы, считай, нет - ты ж там чужой софт не крутишь?
3) на типичных ноутбучных нагрузках пардение произвыодительности копеечное - там просто нет такого интенсивного обмена userspace-kernel, чтобы было заметно.Ну и если у тебя тормозные ноутбуки - кого ещё винить, кроме самого себя? Что купил - то и имеешь...
1. https://security-center.intel.com/advisory.aspx?intelid=INTE...
2. вы не знаете что там крутится, т.к. вы не владелец сервера, там не только торренты и почта
3. софт бывает разный, люди тоже
По первому пункту убедил - атомы после 13 года уязвимы. По второму - что бы там ни крутилось, если непонять что не запускать на сервере - не принципиально, чтобы meltdown проэксплуатировать нужно свой процесс запустить, для spectre всё ещё сложнее - он, по большому счёту, позволяет недоверенному коду читать память за пределами песочницы. На потолочном сервере недоверенный код? Ну, бывает, наверное, но редко.А софт, в том числе тот, что на буках гоняется, хоть и разный теоретически, в абсолютном большинстве один и тот же. Из распространённого уязвим по факту только браузер, так к ним заплатки уже есть вроде. Ну и тех, кто левый софт откуда попало ставит, тоже проблемы ждут - но их, скорее всего, и так давно взломали.
В общем, IMHO, для "домашних" случаев можно особо не дёргаться и сидеть на попе ровно.
> На потолочном сервере недоверенный код?Вопрос доверия к производителям софта, к дистрибутивостроителям/мейнтейнерам. Ну и "недоверенный код" может быть засунут через какую-нибудь дыру, если потолочный сервер торчит чем-либо наружу, или может приползти с клиентской домашней машины, с которой пользователь в интернеты ходит.
Вопрос доверия не зависит от названия ядра ОС, производетелей железа и прочего. Он вообще в другой плоскости лежит. «Выставлять наружу» — да просто даже включать, если уж на то пошло — компьютер это всегда какой-то риск. Приемлимостьи границы этого риска ты определяешь сам. Если у тебя можно запустить неизвестный код без твоего ведома, вне зависимости от наличия багов в CPU ты можешь огрести проблем, так как баги могут встретиться (и встречаются!) на всём пути, от железа до прокладки между стулом и клавиатурой.Но если ты просто ищешь повод объяснить жене зачем тратить деньги на обновление этой шумящей и пыльной коробки — тогда другое дело! Мы ей ничего не скажем, не боись :)
Владельцев интеля вышвырнули из тёплого уютного мирка маркетинговых лозунгов в реальный мир и что мы видим? "Всё хорошо, прекрасная маркиза, всё хорошо!"> Если у тебя можно запустить неизвестный код
Ну я код ядра линукса не читал. И даже если соберусь, то сколько времени мне понадобится чтобы понять что и как там происходит? И как мне его рассматривать? Как "неизвестный код" или как "поверю на слово линусу и 40 контрибьюторам"? (Брехня про "тысячи глаз", которые смотрят в код к реальности имеет весьма слабое отношение.)
Маркетологи будут сейчас много рассуждать о плоскостях, но удар по производительности железа и репутации интел уже произошёл и весьма ощутимый. Это ФАКТ.
Надо было ставить Linux. Некоторые заплатки ещё сделали в 3 ветке ядра, сейчас 4.
> В гостевых системах KVM и VMWare, а также в половине окружений AWS, PCID не доступен.патч шапки добавляет PCID в KVM..
а если у меня qemu-system-x86_64 -enable-kvm -cpu host и в госте /proc/cpuinfo есть флаг "pcid" то все равно не работает pcid?
Когда ждать процессоров без этих уязвимостей?
С новыми, о которых исследователи будут ещё не в курсе, а АНБ и взломщики уже да? )
Это тебе плата за то, что ты повёлся и купил новый процессор на 5% быстрее.
> Это тебе плата за то, что ты повёлся и купил новый процессор
> на 5% быстрее.Ванга из тебя не ахти — я ноутбук покупал, а не проц менял в системнике.
Можно было купить ноутбук чуть дешевле с более старым процессором.
Более старый процессор у меня есть бесплатно в более старом ноуте. Толку? В пятилетнем ноуте тоже дырявый проц.
Зачем менял, если есть нормальный ноут? Получить десятку бесплатно и официально?
Получить 16Gb RAM, проц помощнее, ну и по мелочи — IPS экран FHD, винт пообъёмнее, клаву с подстветкой.
Если бы текущий ноут не тупил периодически, я б его и не менял. Спасибо сайто- и браузеростроителям и прочим софтописателям.
P.S. А что бесплатная десятка? Винт в первый же день был полностью отформтирован и получил Linux.
За десятку деньги то вернул?
> За десятку деньги то вернул?Не-а. Я её потыкал дом часа три из любопытства, а потом просто похоронил. Сколько там люди возвращали, тысячу? Дорога и время в больше б влетели.
Слушай, мы уже капитально оффтопим...
50 долларов. Есть линейка Developer Edition в которой Linux из коробки. Разница между версией с Windows 10 как раз 50 долларов. По железу они идентичные.
Линейка чего и у кого?
Тебе ведь лишние 3000 рублей не нужны. Линейка компьютеров у Dell.
> Тебе ведь лишние 3000 рублей не нужны. Линейка компьютеров у Dell.Спасибо, у меня уже есть Inspiron 3721 старый. Клёвый — клавиши отлетают, на дисплее дефект. На борту, кстати, была Ubuntu при покупке. Что опять же не спасает — там на борту Core i5 3337U, и привет Meltdown.
Это бюджетная серия. Что ты от нее ждал?
> Это бюджетная серия. Что ты от нее ждал?То есть, чтоб сэкономить 3000 на винде надо было купить ноут дороже на 30000, из какой-то суперсерии? )
Ты можешь отказаться от винды на любом ноуте любого производителя и вернуть деньги.
Категория "бюджетный" или какая-либо другая не является оправданием низкому качеству продукта. Капиталисты млин...
> Дорога и время в больше б влетели.Отказ происходит в магазине перед покупкой. Продавцы удаляют серийники винды и раздел с виндой.
> Отказ происходит в магазине перед покупкой. Продавцы удаляют серийники винды и раздел
> с виндой.Я же сказал — мне хотелось её поюзать. Вдруг вернулся б на Win. )
Кстати, глянул низ ноута — нет там серийника, только наклейка с голограммой Windows.
Зачем ты заплатил за винду 3к? Мог бы с сайта майков скачать триалку.
> Зачем ты заплатил за винду 3к? Мог бы с сайта майков скачать
> триалку.За изкоробочность. Ещё со всякими вендотриалками мне не хватало секса.
Скачал, записал, установил, пользуешься. Секс только на линуксе может быть.
> Секс только на линуксе может быть.Куратору своему из M$ это затирай, ага.
Какие у тебя проблемы были с установкой винды?
> Какие у тебя проблемы были с установкой винды?Ты ведь потом ещё написал «пользуешься». )
Что до установки... Я пробовал Семёрку ставить на Inspiron 3721 ради эксперимента. Мне пришлось 1,5 гига всяких дров с сайта Dell стянуть чтоб завести видеоускорение, звук, тачпад, вафлю и Fn-клавиши.
После установки на него же с нуля openSUSE не завелась только вафля и всё решилось установкой из реп ровно 1 пакета — broadcom-wl.
>> Я пробовал Семёрку
> Ясно. Теперь попробуй десятку. Там эта проблема решена. Всё поднимается из коробки.Пробовал же. Три часа пробовал, пять часов блевал. )
Кстати, там телеметрия и принудительные обновления с перезагрузками уже отключаются?
Компьютер с вин10 по прежнему не пренадлежит пользователю.
Её можно ведь опять поставить при надобности, скачав образ.
> Её можно ведь опять поставить при надобности, скачав образ.а вот "вигвам". у вас говорят версия от производителя - идите к нему. а производитель продает диск восстановления за 4о баксов примерно...
>>> Я пробовал Семёрку
>> Ясно. Теперь попробуй десятку. Там эта проблема решена. Всё поднимается из коробки.
> Пробовал же. Три часа пробовал, пять часов блевал. )
> Кстати, там телеметрия и принудительные обновления с перезагрузками уже отключаются?Дап
> ДапЯННП.
Лучше ты бы эти 3000 рублей на сусю задонатил, чем Биллу Гейцу.
> За изкоробочность. Ещё со всякими вендотриалками мне не хватало секса.Мсье пижон, платить 3 штуки за то чтобы систему попробовать. Мастера вызвать поставить все под ключ будет дешевле чем 3 штуки. Самому делать не придется вообще нихрена.
> Мсье пижон, платить 3 штуки за то чтобы систему попробовать. Мастера вызвать
> поставить все под ключ будет дешевле чем 3 штуки. Самому делать
> не придется вообще нихрена.Мсье ничего не платил. Просто купил готовую рабочую станцию. Без последовательного секса сперва с возвратом денег (даже если б его сделали — вряд ли без всяких бумажек для отчётности, а это потраченное время и нервы), а потом с чем-то ещё. Я просто не хочу подобного. Ноут обошёлся на три штуки дороже? Да пофигу.
Мсье не пижон. Мсье Sluggard.
И мне действительно надело, я на сообщения подобной тематики больше не отвечаю.
>> Дорога и время в больше б влетели.
> Отказ происходит в магазине перед покупкой. Продавцы удаляют серийники винды и раздел
> с виндой.Продавцы удивлённо смотрят на тебя и говорят, что ничего удалять не будут, потому что ноут без винды не продаётся. Удачи доказать им обратное.
Пусть говорят с производителем ноутбука. Он им всё расскажет.
> Пусть говорят с производителем ноутбука. Он им всё расскажет.А ты пока сиди в гамазине без ноута, голодный и злой или смирись и иди в другой магазин? )
P.S. Мне уже надоела эта тема, если честно.
> А ты пока сиди в гамазине без ноута, голодный и злой или
> смирись и иди в другой магазин? )Неплохо помогает пообещать знакомство с ОЗПП. Это заведомо выигрышное дело по навязыванию товара, любой юрист выиграет его на раз и тогда магазин влетит значительно сильнее.
> Неплохо помогает пообещать знакомство с ОЗПП. Это заведомо выигрышное дело по навязыванию товара, любой юрист выиграет его на раз и тогда магазин влетит значительно сильнее.Давай отсюда подробнее что говорить управляющему магазина чтобы прямо там же заткнулись и можно было сразу же уйти с ноутом. А то есть ноуты которые я бы купил но не покупаю из-за windows. Я тоже не один раз пробовал бодаться с магазинои и это бесполезно. Sluggard тут прав. Если только "в теории" думаете так, но на правктике ни разу не пробовали и не получили результата - даже не отвечайте.
Лол. У меня старый ноут. Думал новый взять, а оказывается - новые процессоры, тоже подвержены этому. И даже те, которые ещё только выйдут в этом году.
Забей. Это проблемы не того рода чтобы о них особо беспокоиться на ноуте.
Пусть сайты воруют пароли, кредитные карты, ключи шифрования, да?
Браузеры от этого прикрылись, снизив точность таймера
А по программам что?
> А по программам что?А что с программами?
Они так же эти дыры могут эксплуатировать.
> Они так же эти дыры могут эксплуатировать.Если речь о самих программах — они ж опенсорсные и из реп, сомнительно. Если о дырах в них, сочетание которых позволит ещё и эти уязвимости эксплуатировать — ну не знаю, насколько удачно должны звёзды сойтись и кто будет париться ради нескольких гиков с Linux на десктопе.
Снижение точности таймера снижает скорость извлечения данных.
А то, за 0.1с или за 10с будет угнан CSRF токен клиента банка роли не играет. Еслиб это время загнали за 5 лет.
> Забей. Это проблемы не того рода чтобы о них особо беспокоиться на
> ноуте.Хочется верить. И прописать спокойно в GRUB параметр nopti.
Как правильно сказано - для ноута не особо страшно. Особенно если на новых AMD взять, там два из трёх случаев не актуальны и просадки производительности нет. Ну или таки ждать год.
Ну, так бери на АМДе, они почти не подвержены.
> Когда ждать процессоров без этих уязвимостей?Неизвестно. Даже еще не выпущенные процессоры intel похоже подвержены этой проблеме.
>Theo de Raadt, основатель OpenBSD, высказал возмущение практикой упреждающего информирования о проблемах только самых крупных компаний, что ставит остальные в ранг проектов второго сорта.А чего он хотел, крыскам выпускающим до окончания эмбарго патчи на вайфай теперь всем в последний день сообщать будут))))
А что там случилось? БСДшники выпустили патч против чего-то страшного не дождавшись пока это сделают остальные, тем самым подвергнув их риску?
Или что-то более банальное?
> А что там случилось? БСДшники выпустили патч против чего-то страшного не дождавшись пока это
> сделают остальныеугу. Остальные тормоза обиделись, и забашляли вендорам, чтоб не делились.
Intel выпустила обновление микрокода для Linux, а для windows есть обновление микрокода?
Проприетарное обновление. Есть только для Windows 10.
Вот вы смеетесь, а ведь для старых систем получить новый BIOS уже не светит. Так что новый микрокод прилетит разве что только с обновлением ОС.
На Linux такой проблемы нет.
> Вот вы смеетесь, а ведь для старых систем получить новый BIOS уже
> не светит. Так что новый микрокод прилетит разве что только с обновлением ОС.Зачем для обновления микрокода обновлять ОСь?
$ svn log /usr/ports/sysutils/devcpu-data|head
r458617 | bapt | 2018-01-10 11:04:25 +0100 (Wed, 10 Jan 2018) | 5 linesUpdate Intel microcode to 20180108
# pkg upgr
Installed packages to be UPGRADED:
devcpu-data: 1.12 -> 1.13
Кстати, как оно, заплатить деньгами и данными, а потом сосать лапу? )
Обновление есть для всех поддерживаемых систем (7 ещё 2 года поддерживается). Для ручного обновления было доступно уже 5 января, само начать прилетать должно было во вторник.
Но это не отменяет нужности обновления микрокода для закрытия Spectre. Ниже вариант линканут.
Meltdown закрывается без микрокода.
Есть такой вариант заюзать на винде микрокод для линукса:
https://labs.vmware.com/flings/vmware-cpu-microcode-update-d...
> Отмечено падение производительности Python на 37%ппц, даже питон оличился
fix: отличился
Всё враньё, питон не тормозит, а где тормоза критичны, там модули на сишечке, так что тормозит на самом деле она!
Так что это выходит, теперь nodejs которая не плодит кучу форков процессов, а обрабатывает все запросы в одном станет самым быстрым скриптовым ЯП? Вот это победа будет)))
> Так что это выходит, теперь nodejs которая не плодит кучу форков процессов,
> а обрабатывает все запросы в одном станет самым быстрым скриптовым ЯП?
> Вот это победа будет)))а питон плодит?
Я не знаю как всякие легаси ЯП работают, вот и спрашиваю.
не плодит, если не плодишь
ок, не знаешь, а результаты измерения загибания нодежса у тебя есть? или ты так просто взбзднул?
А есть патч для AMD включающий уязвимость к Meltdown и повышающий производительность на 30% без KPTI ? :)
> А есть патч для AMD включающий уязвимость к Meltdown и повышающий производительность
> на 30% без KPTI ? :)Есть, называется Core i7-8809G, повышает производительность АМДы.
Cам спросил - сам ответил.
Похвалите меня.
А почему написано> Наилучшие результаты работы эксплоитов отмечаются на процессорах с поддержкой Intel TSX (Intel Core i7-5xxx, i7-6xxx или i7-7xxx).
Когда в Coffee Lake (i7-8xxx, i5-8xxx) тоже есть TSX, причем в отличие от предыдущих поколений, i7 уже не обязателен? Может автор новости пояснить, почему тут, несмотря на наличие TSX, не наблюдается лучших результатов работы?
Методичка для будущих набросов на вентилятор, пока таких не видел, так что нате, пользуйтесь ибо лицензия Creative Commons:"Налицо сговор Intel и Microsoft: патчи, обрушивающие системы на AMD - это попытка Intel извлечь профит из ситуации, подбрасывая обывателю мысль: 'да, уязвимость есть у обоих вендоров, но смотрите - Intel хотя бы продолжают работать, а AMD... - так какой процессор купить следующим? ответ очевиден!'"
> " - так какой процессор купить следующим? ответ очевиден!'"Эльбрус? Power8? Sparc?
> да, уязвимость есть у обоих вендоров,
2 8-горшковых AMD Opteron(tm) Processor 4386, ни один експлоет не сработал.
"С 2017 года персональные компьютеры «Эльбрус-401» продаются по сниженной цене в 199 тысяч рублей", посему не только лишь все смогут обзавестись этим чудом сумрачного российского гения.Насчёт же PowerPC - это надо чтобы IBM подсуетилась настолько, чтобы в ближайшие лет 5 мало что они существенно поднимут тиражи, так еще и как-то внезапно начался массовый выпуск материнок для десктопов и ноутов.
> "С 2017 года персональные компьютеры «Эльбрус-401» продаются по сниженной цене
> в 199 тысяч рублей",Значит вам нечего терять, если возникает проблема цены. Смотри дальше порнушку на Intel/AMD
> Насчёт же PowerPC - это надо чтобы IBM
Вам попи... или проблемы решать?
> Вам попи... или проблемы решать?
> https://raptorcs.com/TALOSII/Мне прям здесь и прям щаз по адекватной цене. Ну, согласен для того же десктопа раза в полтора дороже, чем решения на i5-7. Но не за 200 000 тыщ.
> Значит вам нечего терять, если возникает проблема цены. Смотри дальше порнушку на
> Intel/AMDО, а вы уже выбросили свой системник и не имея проблем с ценой, не раздумывая приобрели Эльбрус? Пруф или ***
>> Значит вам нечего терять, если возникает проблема цены. Смотри дальше порнушку на
>> Intel/AMD
> О, а вы уже выбросили свой системник и не имея проблем с
> ценой, не раздумывая приобрели Эльбрус? Пруф или ***Жёпай читаем?
"2 8-горшковых AMD Opteron(tm) Processor 4386, ни один експлоет не сработал."
Системник обошёлся в ~5000$
pavlinux, видел твой коммент на гитхабе. У меня spectre дал результат только с> #define CACHE_HIT_THRESHOLD (130)
80 - не дает
>Жёпай читаем?
>Системник обошёлся в ~5000$Шибко умный? Всем теперь серверное железо покупать?
> Шибко умный? Всем теперь серверное железо покупать?А, собссно, чем плохо? Дома есть сундук, собранный вообще на Socket604x2 (M\B Intel SE7520AF2). работает, жрать не просит. Есть даже PCI-Ex (но видяху там особо не поюзаешь, маловато он кормит + х8 форм-фактор). На плате ни одного вздувшегося конюдка. Про более новое серверное железо - всё ещё лучше.
>"А, собссно, чем плохо?"Дорого.
Какая разница то?, купите плату с одним сокетом, дешевле будет.
Память регистровая ddr3 вообще копейки стоит.
Если покупать не новое, цена вообще отличная.
>Насчёт же PowerPC - это надо чтобы IBM подсуетилась настолькоТак они уже. И патчи выпустили и микрокод. И при этом не кричали, мол у нас тут дыра. Тихо и без шума.
Правда потом выплыл один перец из Гугла, сказав, что для PowerPC это все всплыло еще при разработки XBoxа лохматых годов. Но тогда на это просто решили забить и не рекомендовать использовать соответствующие инструкции.
Это провал: твоя говNVIDIA на элбрус не устанавливается :(
> Это провал: твоя говNVIDIA на элбрус не устанавливается :(Ну вообще-то xorg-drv-nouveau-1.0.13-alt2.e2k.rpm собрался, вот до ядерного модуля руки не дошли. И ещё вопрос про инициализацию фирмварью -- для новых радеонов чё-то там допиливали. Но в качестве карты без tty0 может и так сгодиться.
Главный вопрос — когда это будет доступно обычным юзерам, и не по 200 косарей за машину.
Пока этого нет, все рассуждения о том, что там работает, — разговоры в пользу бедных.
> Главный вопрос — когда это будет доступно обычным юзерам, и не по 200
> косарей за машину.
> Пока этого нет, все рассуждения о том, что там работает, — разговоры
> в пользу бедных.Эээ... мне не вполне удобно так говорить, но где-то тут ошибка.
PS: _пока_ похоже, что мои предварительные предположения (и соображения, из которых они были сделаны) по e2k в плане мельдония оказываются верны.
Где ошибка?
Я не говорю, что нет смысла глядеть вперёд, на перспективу, и радоваться, что что-то пилится. Я к тому, что нет смысла говорить о том, что там сейчас устанавливается и (не)работает (коммент перед твоим ведь про нвидию в настоящем времени был).
Ничего туда сейчас не устанавливается и не работает ни у кого, потому что машин этих ни у кого, кроме некоторых избранных, нет и пока не предвидится.
С патчем к ядру и pcid всё понятно. Есть фича проца, она дает такие-то фишки.
А что фиксит микрокод от интеля, если необходимость обновления ядра не отпадает?
KPTI фиксит Meltdown, а обновление микрокода - Spectre.
> KPTI фиксит Meltdown, а обновление микрокода - Spectre.Не совсем, Spectre включает две уязвимости, закрыть одну можно только микрокодом, а вторая лечится программно.
>а вторая лечится программно.Или не лечится совсем. :)
Для ее эксплуатации необходимым условием является исполнение внешнего кода (вариант сам себе написал код у себя тырящий данные мы не рассматриваем). Если системе этого не надо, то попытаться перекрыть этот канал можно. А если надо, да еще и код напрямую (или через какой0нибудь jit) это машинные коды, то можно слегка осложнить или замедлить. До каких-нибудь десятков байт в секунду. С другой стороны размер csrf токена - это они и есть.
С микрокодом или без, бегающий по сети поц на спектр продолжает работать. i5-3xxx/i7-7xxx.
Пора заказывать Эльбрусы!!
> Пора заказывать Эльбрусы!!Чтобы достичь сходной производительности даже "как после патчей", понадобятся минимум 8 по цене 50.
> Пора заказывать Эльбрусы!!Надо же столько ошибок в слове POWER9 сделать... :D
>> Пора заказывать Эльбрусы!!
> Надо же столько ошибок в слове POWER9 сделать... :DPower уже умеет выполнять x86-код?
Не получаю результат с эксплойта. Для систем на amd там нечего ловить? В коде ниче не нашел про Spectre.
https://gist.github.com/ErikAugust/724d4a969fb2c6ae1bbd7b2a9...
кто-бы еще померял, как падает производительность просто от накатывния нового микрокода. А то окажется, что надо для "потолочных серверов" держать еще и микрокод старый.
> Внимание, в обновлении ядра для Ubuntu 16.04 выявлена критическая ошибка, приводящая к невозможности загрузки.Ну капец, а я думаю, что у меня удаленная машинка перестала загружаться после обновления. Теперь до отпуска не рабочая =/
>> Внимание, в обновлении ядра для Ubuntu 16.04 выявлена критическая ошибка, приводящая к невозможности загрузки.
> Ну капец, а я думаю, что у меня удаленная машинка перестала загружаться
> после обновления. Теперь до отпуска не рабочая =/Мне в этом случае IPMI помог. Точнее HP iLO на HP ProLiant MicroServer Gen8.