Alan Cox hat einen Link aus AMDs Blog geteilt:https://www.amd.com/en/corporate/speculative-execution
Variante Eins:Begrenzungsprüfung umgehenBehoben durch Software-/Betriebssystem-Updates, die von Systemanbietern und Herstellern zur Verfügung gestellt werden. Vernachlässigbare Auswirkung auf die Leistung erwartet.
Variante Zwei:Branch-Target-InjektionUnterschiede in der AMD-Architektur bedeuten, dass das Risiko einer Ausnutzung dieser Variante nahezu null ist. Eine Schwachstelle für Variante 2 wurde bisher nicht auf AMD-Prozessoren nachgewiesen.
Variante Drei:Rogue Data Cache LoadKeine AMD-Schwachstelle aufgrund von Unterschieden in der AMD-Architektur.
Es wäre jedoch gut, wenn diese Aussagen von AMD von einem Dritten bestätigt würden.
Die „Mitigation“ auf betroffenen Systemen würde einen neuen Kernel und einen Neustart erfordern, aber auf vielen Distributionen gibt es noch keine veröffentlichten Pakete mit den Fixes:
- https://www.cyberciti.biz/faq/patch-meltdown-cpu-vulnerability-cve-2017-5754-linux/
Debian:
- https://security-tracker.debian.org/tracker/CVE-2017-5715
- https://security-tracker.debian.org/tracker/CVE-2017-5753
- https://security-tracker.debian.org/tracker/CVE-2017-5754
Andere Informationsquellen, die ich gefunden habe:
- https://lists.bufferbloat.net/pipermail/cerowrt-devel/2018-January/011108.html
- https://www.reddit.com/r/Amd/comments/7o2i91/technical_analysis_of_spectre_meltdown/
27. Januar 2018 Intel Microcode beschädigt einige Systeme
Das Intel Microcode Update 2018-01-08 zur Behebung spekulativer Sicherheitslücken bei der Ausführungsverzweigung hat einige Systeme beschädigt. Dies betraf viele Ubuntu-Systeme vom 8. bis 21. Januar. Am 22. Januar 2018 hat Ubuntu ein Update veröffentlicht, das älteren Microcode vom 07.07.2017 zurücksetzt.
Wenn Sie zwischen dem 08.01.2018 und dem 22.01.2018 Probleme mit Updates hatten, Ubuntu neu installiert und Updates deaktiviert haben, sollten Sie die automatischen Ubuntu-Updates erneut versuchen.
16. Januar 2018 Update Spectre in 4.14.14 und 4.9.77
Wenn Sie wie ich bereits die Kernel-Versionen 4.14.13 oder 4.9.76 ausführen, ist es ein Kinderspiel, 4.14.14 zu installieren und 4.9.77 wenn sie in ein paar Tagen herauskommen, um die Spectre-Sicherheitslücke zu mildern. Der Name dieses Fixes ist Retpoline und hat nicht die zuvor spekulierte schwerwiegende Leistungseinbuße:
Greg Kroah-Hartman hat die neuesten Patches für die Point-Releases Linux 4.9 und 4.14 verschickt, die jetzt die Retpoline-Unterstützung beinhalten.
Dieses X86_FEATURE_RETPOLINE ist für alle AMD/Intel-CPUs aktiviert. Für volle Unterstützung müssen Sie den Kernel auch mit einem neueren GCC-Compiler erstellen, der -mindirect-branch=thunk-extern-Unterstützung enthält. Die GCC-Änderungen landeten gestern in GCC 8.0 und werden derzeit möglicherweise auf GCC 7.3 zurückportiert.
Wer die Retpoline-Unterstützung deaktivieren möchte, kann die gepatchten Kernel mit noretpoline booten .
Ohne auf Details von JavaScript einzugehen, erfahren Sie hier, wie Sie das Meltdown-Hole (und ab dem 10. Januar 2018 den Spectre-Schutz) sofort vermeiden können
Aktualisierung vom 12. Januar 2018
Anfänglicher Schutz vor Spectre ist da und wird in den kommenden Wochen und Monaten verbessert.
Linux-Kernel 4.14.13, 4.9.76 LTS und 4.4.111 LTS
Aus diesem Softpedia-Artikel:
Die Linux-Kernel 4.14.13, 4.9.76 LTS und 4.4.111 LTS stehen jetzt zum Download auf kernel.org zur Verfügung und enthalten weitere Korrekturen gegen die Spectre-Sicherheitslücke sowie einige Regressionen von Linux 4.14.12, 4.9.75 LTS , und 4.4.110 LTS-Kernel wurden letzte Woche veröffentlicht, da einige kleinere Probleme gemeldet haben.
Diese Probleme scheinen jetzt behoben zu sein, daher ist es sicher, Ihre Linux-basierten Betriebssysteme auf die heute veröffentlichten neuen Kernel-Versionen zu aktualisieren, die weitere x86-Updates, einige PA-RISC-, s390- und PowerPC(PPC)-Korrekturen, verschiedene Verbesserungen an Treibern ( Intel i915, crypto,IOMMU, MTD) und die üblichen mm- und Core-Kernel-Änderungen.
Viele Benutzer hatten am 4. Januar 2018 und am 10. Januar 2018 Probleme mit Ubuntu LTS-Updates. Ich habe 4.14.13 verwendet seit ein paar Tagen ohne Probleme jedoch YMMV .
Aktualisierung vom 7. Januar 2018
Greg Kroah-Hartman hat gestern ein Status-Update zu den Sicherheitslücken im Meltdown- und Spectre-Linux-Kernel geschrieben. Manche nennen ihn neben Linus den zweitmächtigsten Mann der Linux-Welt. Der Artikel behandelt stabile Kernel (siehe unten) und LTS-Kernel, die die Mehrheit der Ubuntu-Benutzer hat.
Linux-Kernel 4.14.11, 4.9.74, 4.4.109, 3.16.52 und 3.2.97 Patch Meltdown Flaw
Aus diesem Artikel:
Benutzer werden aufgefordert, ihre Systeme umgehend zu aktualisieren
4. Januar 2018 01:42 GMT · Von Marius Nestor
Die Linux-Kernel-Betreuer Greg Kroah-Hartman und Ben Hutchings haben neue Versionen der Linux-Kernel-Serien 4.14, 4.9, 4.4, 3.16, 3.18 und 3.12 LTS (Long Term Support) veröffentlicht, die offenbar eine der beiden kritischen Sicherheitslücken beheben, die die meisten modernen betreffen Prozessoren.
Die Linux-Kernel 4.14.11, 4.9.74, 4.4.109, 3.16.52, 3.18.91 und 3.2.97 können jetzt von der Website kernel.org heruntergeladen werden, und Benutzer werden dringend gebeten, ihre GNU/Linux-Distributionen zu aktualisieren auf diese neuen Versionen, wenn sie sofort eine dieser Kernel-Serien ausführen. Warum aktualisieren? Weil sie offenbar eine kritische Schwachstelle namens Meltdown patchen.
Wie bereits berichtet, sind Meltdown und Spectre zwei Exploits, die fast alle Geräte mit modernen Prozessoren (CPUs) betreffen, die in den letzten 25 Jahren veröffentlicht wurden. Ja, das bedeutet fast alle Mobiltelefone und PCs. Meltdown kann von einem nicht privilegierten Angreifer ausgenutzt werden, um in böswilliger Absicht vertrauliche Informationen abzurufen, die im Kernel-Speicher gespeichert sind.
Patch für Spectre-Schwachstelle noch in Arbeit
Während Meltdown eine ernsthafte Schwachstelle ist, die Ihre geheimen Daten, einschließlich Passwörter und Verschlüsselungsschlüssel, preisgeben kann, ist Spectre noch schlimmer und nicht einfach zu beheben. Sicherheitsforscher sagen, dass es uns noch eine ganze Weile verfolgen wird. Spectre nutzt bekanntermaßen die spekulative Ausführungstechnik, die von modernen CPUs verwendet wird, um die Leistung zu optimieren.
Bis auch der Spectre-Fehler gepatcht ist, wird dringend empfohlen, dass Sie zumindest Ihre GNU/Linux-Distributionen auf eine der neu veröffentlichten Linux-Kernel-Versionen aktualisieren. Durchsuchen Sie also die Software-Repositories Ihrer bevorzugten Distribution nach dem neuen Kernel-Update und installieren Sie es so schnell wie möglich. Warten Sie nicht, bis es zu spät ist, tun Sie es jetzt!
Ich habe Kernel 4.14.10 seit einer Woche verwendet, daher war das Herunterladen und Booten von Ubuntu Mainline Kernel Version 4.14.11 kein allzu großes Problem für mich.
Benutzer von Ubuntu 16.04 fühlen sich möglicherweise wohler mit den Kernel-Versionen 4.4.109 oder 4.9.74, die zur gleichen Zeit wie 4.14.11 veröffentlicht wurden.
Wenn Ihre regelmäßigen Updates nicht die gewünschte Kernel-Version installieren, können Sie dies manuell tun, indem Sie dieser Ask Ubuntu-Antwort folgen:https://askubuntu.com/questions/879888/how-do-i-update-kernel-to-the-latest -Mainline-Version/879920#879920
4.14.12 - Was für einen Unterschied ein Tag macht
Weniger als 24 Stunden nach meiner ersten Antwort wurde ein Patch veröffentlicht, um die Kernel-Version 4.14.11 zu reparieren, die sie möglicherweise überstürzt herausgebracht haben. Ein Upgrade auf 4.14.12 wird allen Benutzern von 4.14.11 empfohlen. Greg-KH sagt:
Ich kündige die Veröffentlichung des Kernels 4.14.12 an.
Alle Benutzer der Kernel-Serie 4.14 müssen aktualisieren.
Es sind immer noch ein paar kleinere Probleme mit dieser Version bekannt, auf die Leute gestoßen sind. Hoffentlich werden sie dieses Wochenende behoben, da die Patches nicht in Linus' Baum gelandet sind.
Bitte testen Sie vorerst wie immer Ihre In-Umgebung.
Wenn man sich dieses Update ansieht, wurden nicht sehr viele Zeilen des Quellcodes geändert.
Dieser Fehler kann aus der Ferne ausgenutzt werden, indem Sie eine JavaScript-Website besuchen.
In der Tat. Daher besteht eine sinnvolle Gegenmaßnahme darin, JavaScript in Ihren Webbrowsern zu deaktivieren oder Webbrowser zu verwenden, die JavaScript nicht unterstützen.
Die meisten Browser, die JavaScript unterstützen, haben eine Einstellung, um es zu deaktivieren. Wenn Sie alternativ eine Whitelist mit Websites oder Domains führen möchten, für die JavaScript zugelassen werden soll, stehen verschiedene Add-Ons zur Verfügung, die Sie unterstützen können, z. B. uBlock Origin und NoScript.
Hinweis:Es versteht sich von selbst, dass das Deaktivieren/Einschränken von JavaScript nicht Ihre nur Aufgabe sein sollte Milderung. Sie sollten außerdem alle relevanten Kernel-Fixes und andere Sicherheitsupdates überprüfen (und wahrscheinlich anwenden), sobald sie geschrieben, getestet und veröffentlicht wurden. Verwenden Sie bei von Debian abgeleiteten Distributionen Befehle wie sudo apt update , sudo apt list-upgradable , und sudo apt upgrade .
Aktualisierung: Nehmen Sie nicht mein Wort dafür. Alan Cox sagt ähnlich:
Worum Sie sich groß kümmern müssen ist Javascript, da der Exploit von Javascript auf Webseiten entfernt verwendet werden kann, um Daten aus Ihrem Systemspeicher zu stehlen. ... Denken Sie an Dinge wie Adblocker und Erweiterungen wie Noscript, die eine Menge Müll von vornherein verhindern können. Tun Sie das so schnell wie möglich. Wenn Betriebssystem-Updates erscheinen, wenden Sie sie an. (Quelle )