Компания Intel начала распространение (https://newsroom.intel.com/wp-content/uploads/sites/11/2018/...) среди OEM-производителей обновлённого варианта микрокода (https://security-center.intel.com/advisory.aspx?intelid=INTE...) с реализацией функциональности IBRS (Indirect Branch Restricted Speculation), позволяющей разрешать и запрещать спекулятивное выполнение инструкций, что можно использовать в компиляторах для противостояния (https://github.com/speed47/spectre-meltdown-checker#quick-su...) второму варианту уязвимости Spectre (CVE-2017-5715). Предложенное в начале января обновление микрокода было отозвано в связи с возникновением проблем (https://www.opennet.ru/opennews/art.shtml?num=47903) с перезагрузками на системах с CPU Broadwell и Haswell.URL: https://newsroom.intel.com/news/security-issue-update-progre.../
Новость: http://www.opennet.ru/opennews/art.shtml?num=48046
Где качать-то?
Стань OEM производителем сначала
Оем-производителем процов интел?
OEM-процом
Мне системный пакет microcode_ctl обновить.По ссылкам в новости нет ссылки на скачивание, в "главной ссылке на скачивание" - тоже. Предлагают перейти в раздел Downloads & Support, перешёл, в выпадающем списке выбрал Firmware - а там 2017 год. https://downloadcenter.intel.com/product/873/Processors
Предыдущее (ломающее) обновление отсюда: https://www.opennet.ru/opennews/art.shtml?num=47880 было скачано без каких-либо проблем.
неспешите.. апять окажется что фигню корявую выпустили вместо нормального патча.
АНБ не дает закрыть дыру
> Где качать-то?В Интернете. Серьёзно!
//
Вот тебе обрезок README.Debian из non-free https://packages.debian.org/src:intel-microcode ("3.20180108.1+really20171117.1" радует) :Downloading new microcode data from Intel:
A new version of the microcode bundle can be downloaded directly from
Intel. Try to search for "Linux Processor Microcode":https://downloadcenter.intel.com/search?keyword=Linux+Proces...
Alternatively, you can try one of these RSS feeds:
http://feeds.downloadcenter.intel.com/rss/?p=483&lang=eng
http://feeds.downloadcenter.intel.com/rss/?p=2371&lang=eng
В моём пакете (вот он: https://build.opensuse.org/package/show/home:linux4humans:sl...) тоже 20180108. Похоже что Дебианщики тоже не знают где качать :-)
Можете выдернуть из свежих биосов ASRock от 2/6/2018. Как я писал ниже, это всё тот же отозванный ранее микрокод, просто теперь Intel дала сигнал "он безопасен для скайлейков, возвращайте".https://www.asrock.com/support/index.asp?cat=BIOS
Учтите, что вся эта новость лишь про Skylake. Если у вас другое поколение, то ничего пока для вас нет.
Оно отозвано. В новости речь о новом обновлении, распространяющемся пока только среди производителей машин на x86.
к чему эта спешка, оно по ходу бета:
We also continue to release beta microcode updates for other affected products so that customers and partners have the opportunity to conduct extensive testing before we move them into production as well.
> "3.20180108.1+really20171117.1" радуетНа MXLinux MX-17 уже прилетела сборка от 23 января ("3.20180123really20171117.1+mx17")
Для тех, кто интересуется, где качать:- во-первых, это обновление только для Skylake
- во вторых, это всё тот же микрокод, который отозвали из-за проблем, проявляющихся у Haswell. Просто теперь разобрались, что на Skylake эти проблемы не проявляютсяПоэтому, если вам нужен этот микрокод, поищите тот самый отозванный.
Обо всём этом написано прямо в первых абзацах документа по ссылке.
> Просто теперь разобрались, что на Skylake эти проблемы не проявляютсяв переводе с менджерского на общечеловеческий: так и не смогли за целый месяц разобраться, что вызывало эти проблемы, а на skylake оно не проявляется, о чем было известно с самого начала - поэтому вендорам дали отмашку, все равно они на более древнем хламе уже сто лет ничего не собирают.
> Поэтому, если вам нужен этот микрокод, поищите тот самый отозванный.
в торрентах ;-) Интел его, вроде, на самом деле выпилил со своего сайта.
В моём пакете по ссылке выше всё доступно. Там в SRPM-ке - DAT-файл, из которого потом делаются отдельные файлики микрокодов. И в RPM-ке - собственно готовые файлики.Мне кажется что Intel знает, что всё перезагружается, и отправил патч в ядро, чтобы не перезагружалось. Но патч оказался "костылём" и его не приняли.
Тогда встаёт вопрос, почему не дали такую же отмашку для Kaby Lake/Coffee Lake, ведь отличий от Skylake там практически ноль.
У интеловских PR-маркетинг макак мозга как таково и нет.
Это пакет собран 20180108, а сам микрокод от 20171117
> Тогда встаёт вопрос, почему не дали такую же отмашку для Kaby Lake/Coffee Lakeэто ж десктопные/low power, кому они интересны... (то есть для них тоже скорее всего все в порядке с апдейтом, просто никто особо не чешется)
> ведь отличий от Skylake там практически ноль.
отличие - что среди них нет 28ядерных чудовищ, устанавливаемых в вендорские стойки за невменяемые деньги, у владельцев которых возникли к интелу эммм... "вопросы".
поэтому удовлетворять, в первую очередь, будут их.А вот чо там хитрые евреи надизайнили в предыдущих сериях - они гоям не поведали, или те, как обычно, просто не поняли иврита.
Все раскрученные бренды принадлежат евреям. А что в это время делают русские? Пьют водку и слушают блатняк.
> Все раскрученные бренды принадлежат евреям. А что в это время делают русские? Пьют водку и слушают блатняк.Похоже, потомок древних шумеров не догадывается что у штеуда в Хайфе находится дизайн-центр, разработавший добрую половину его процессоров
В репе арча есть микрокод 20180108.
Но я сижу на предыдущем, т.к. у меня Haswell:)
https://www.archlinux.org/packages/extra/any/intel-ucode/
>https://www.archlinux.org/packages/extra/any/intel-ucode"Flagged out-of-date on 2018-01-23".
А вот на MXLinux мне уже прилетела сборка от 23 января
>поэтому вендорам дали отмашку, все равно они на более древнем хламе уже сто лет ничего не собираютПравда у Гугля в GCP ещё в ходу несколько миллионов тазиков Broadwell и Haswell.
> Правда у Гугля в GCP ещё в ходу несколько миллионов тазиков Broadwell и Haswell.так он ими не свой же код исполняет.
Ему от того что оно станет менее производительным - сплошная выгода.
А в виртуальной машине, запущенной в VMWare, эти пакеты нужны вообще?
Нужны внутри, снаруже везде! GCC уже умеет этот флаг сборки
Зачем они внутри виртуалки? В настоящий проц грузить никто не даст (вгрузка ucode VMом в проц - огромная дыра) а виртуальному процессору оно не надо.
> позволяющей запрещать спекулятивное выполнение инструкцийНа сколько при этом упадёт производительность всеми любимого суперскалярного длинного конвеера?
А у тебя какой любимый конвеер?
http://www.brendangregg.com/blog/2018-02-09/kpti-kaiser-melt...
"Much of my testing was on Linux 4.14.11 and 4.14.12 a month ago, before we deployed in production" ,- месяц назад?