neprihlásený Nedeľa, 23. septembra 2018, dnes má meniny Zdenka   DonaskaKvetov.sk - donáška kvetov v SR a zahraničí Pošli kvety
V Intel CPU je možno vážna hardvérová chyba, Linux a Windows sa musia výrazne zmeniť

Značky: CPUIntelbezpečnosťkauza Meltdown a Spectre

DSL.sk, 3.1.2018


V procesoroch spoločnosti Intel sa možno nachádza veľmi vážna chyba, ktorá má vážne bezpečnostné následky a vyžaduje výrazný zásah do operačných systémov.

Zatiaľ na to poukazujú veľmi nepatrné ale pomerne presvedčivé indície, na ktoré v pondelok upozornil Python Sweetness.

Hlavnou indíciou sú vážne zásahy uskutočnené do linuxového jadra v podobe zmien označených KPTI, Kernel Page-Table Isolation, respektíve KAISER.

V moderných procesoroch má každý proces svoj virtuálny pamäťový priestor, pričom programy a inštrukcie používajú virtuálne pamäťové adresy a tieto sú mapované na fyzické pamäťové adresy. Toto mapovanie je zabezpečené tabuľkami, ktoré sú manažované operačným systémom a následne využívané priamo CPU.

Doteraz malo linuxové jadro pre proces jedno mapovanie obsahujúce aj dáta užívateľského procesu aj dáta jadra bez ohľadu na to, či proces práve spúšťal kód samotného procesu alebo jadro vykonávalo systémové volania v rámci tohto procesu. Prístup užívateľského kódu k dátam jadra bol zabránený pomocou oprávnení k jednotlivým častiam pamäte.

S aplikovaním KPTI Linux používa pre proces dve tabuľky mapovania pamäte, medzi ktorými prepína podľa toho či je spúšťaný užívateľský kód alebo jadro. Tabuľka pre užívateľský kód nemá vôbec mapované adresy jadra a tento po novom tak nemôže k tejto pamäti ani teoreticky pristupovať.

Na KPTI sa pracuje už dlhšie a táto zmena bola pôvodne reakciou na útok, ktorý umožňuje prekonať KASLR, umiestňovanie častí jadra na náhodné adresy, a zistiť adresy jednotlivých častí jadra. Táto zmena ale znamená veľký zásah a kvôli prepínaniu tabuliek a vyprázdňovaniu cache pamätí môže mať výrazný negatívny dopad na výkon, nezdá sa tak že by bola aplikovaná len kvôli prekonaniu ochrany KASLR. Tá donedávna nebola v jadre ani vôbec prítomná.

Navyše zmeny boli aspoň podľa LWN.net teraz zapracované do jadra narýchlo a nesú znak urgentnej bezpečnostnej aktualizácie, pričom v open source kóde zatiaľ evidentne pre neprezradenie príčiny zmien chýbajú komentáre. Ak by bolo dôvodom len prekonanie KASLR, tento dôvod je samozrejme dávno známy.

Navyše rovnakú architektonickú zmenu v mapovaní virtuálnej pamäte mal v novembri uskutočniť aj Microsoft v jeho jadre Windows NT.

Že sú príčinou problémy s CPU potvrdzuje komentár AMD, podľa ktorej jej procesory túto zmenu nepotrebujú a Linux môže bežať na AMD procesoroch ako doteraz. AMD naznačuje aj konkrétny technický detailný dôvod potreby tejto zmeny, nie je ale jasné či hovorí ale len o pôvodných útokoch prekonávajúcich len KASLR alebo o vážnejších útokoch.

Ak sa ako príčina zmien potvrdí chyba v Intel CPU, z aplikovania zmien KPTI a doterajších informácií nie je možné jednoznačne určiť o presne akú chybu ide. KPTI totiž môže riešiť dôsledky respektíve znemožniť viaceré predstaviteľné chyby a útoky. Vzhľadom na signály sa dá ale predpokladať, že ide o závažnú chybu ako napríklad prístup k pamäťovým štruktúram jadra z neprivilegovaného procesu alebo dokonca zápis do pamäti jadra.

Podľa všetkého bude oznámenie tejto evidentne bezpečnostnej chyby uskutočnené zajtra 4. januára, pričom podľa indícií sa týka aj virtualizovaných prostredí. O jej opravovaní sú totiž informované aj veľké služby poskytujúce virtuálne servery a viaceré majú realizovať reštart svojich strojov. Keďže zmena s vážnym dopadom sa zrejme bude štandardne aplikovať aj v nevirtualizovanom prostredí, evidentne sa týka aj tejto konfigurácie.


      Zdieľaj na Twitteri



Najnovšie články:

Štát chce dať 45 miliónov na počítačové bezpečnostné tímy
Musk sľubuje základňu na Marse v 2028
Nástupca Keplerovho teleskopu už našiel svoju prvú planétu
Orange mal problémy s Ligou majstrov cez Internet
Škoda buduje veľké datové centrum, ako superpočítač by bolo jedným z najvýkonnejších
Japonci spustili na asteroid skáčuce vozidlá
Hlavný bezpečnostný kľúč Internetu sa vymení o necelý mesiac
Nvidia má efektívnu GPU pre neurónové siete
SME začali blokovať návštevníkov s Adblockom, reklama sa dá vypnúť za 20 eur
NASA má problém s ďalším vozidlom na Marse, Curiosity neodosiela dáta


Diskusia:
                               
 

MacOS sa to netyka
Odpovedať Známka: -7.9 Hodnotiť:
 

>hardwarova chyba
>macOS sa netyka
a taketo hlupe komentare tu nechas? ts ts ts
Odpovedať Známka: 8.2 Hodnotiť:
 

MacOS si svoje chyby vytvára sám.
Hardvérové chyby k tomu nepotrebuje.
Odpovedať Známka: 8.8 Hodnotiť:
 

Hlupy si ty, naletel si trollovi.
Odpovedať Známka: -2.6 Hodnotiť:
 

takze trollovat je normalne a poukazovat na to je hlupe?
vo zvlastnom svete zijes
Odpovedať Známka: 6.0 Hodnotiť:
 

On tým myslel zrejme to, že pre MacOS nebude vydaná žiadna opravná záplata.
:-P

Odpovedať Známka: 7.8 Hodnotiť:
 

(A teraz vážne: pokiaľ viem, tak v MacOSe to už opravili.)
Odpovedať Známka: 5.0 Hodnotiť:
 

nebol by som si taký istý, keďže je to intel CPU related.
to, že o tom článok nepíše, neznamená, že sa netýka.
Odpovedať Známka: 7.1 Hodnotiť:
 

Toto je VEĽKÉ bude to chcieť ďalší článok.
Sa dejú veci.
Odpovedať Známka: 7.5 Hodnotiť:
 

Aj ja mám veľký a nikto o tom nepíše. Vieš ako sa ťažko žije s tak veľkým apetítom? A po sviatkoch najväčšia depka že je prázdna chladnička!
Odpovedať Známka: 2.0 Hodnotiť:
 

ty "myslitel" nacom asi tak beha ten tvoj mcsh.it? Nebodaj na ATMege16. Ak ti to nedoplo po precitani predchadzajucih dvoch viet, tak odpoved je ze tiez beha na intely, takze sa ta to tyka viac nez dost.
Odpovedať Známka: 5.4 Hodnotiť:
 

Dalsi inteligent, co nerozozna jasneho trolla.
Odpovedať Známka: -1.7 Hodnotiť:
 

co v pripade ze mi je jasne ze je trol a ten prispevok bol pisany s ucelom provokacie inteligenta tvojho rangu? bolo by potom mozne povedat ze nevies rozoznat trolla ty?
Odpovedať Známka: -2.0 Hodnotiť:
 

Lol, jasne :)
Odpovedať Známka: 0.0 Hodnotiť:
 

a spon ze pripustis :)
Odpovedať Známka: 6.0 Hodnotiť:
 

Umm, are you really just giving this info out for noignth?
Odpovedať Hodnotiť:
 

omg... stare -> http:// www.federmann.cz /intel /39-procesory-4/ 173-nebezpene-procesory-intelu.html
Odpovedať Hodnotiť:
 

As it turns out, apparently the Linux patch that is being rolled out is for ALL x86 processors including AMD, and the Linux mainline kernel will treat AMD processors as insecure as well. As a result, AMD CPUs will feel a performance hit as well, though the bug only technically affects Intel CPUs and AMD recommends specifically not to enable the patch for Linux.
Odpovedať Známka: 4.3 Hodnotiť:
 

patchom zevraj prichadza k spomaleniu up to 30%
https://i.imgur.com/vUMr3WA.jpg
Odpovedať Známka: 6.0 Hodnotiť:
 

Takze teraz bude intel o 30% pomalsi ako amd?
Odpovedať Známka: 6.0 Hodnotiť:
 

v MS-DOSe urcite nie
Odpovedať Známka: 5.0 Hodnotiť:
 

https://i.imgur.com/Jz52PZT.jpg

wow, I/O dostal pekne na <>
Odpovedať Známka: 8.7 Hodnotiť:
 

bezpečnosť nadovšetko...

chcelo by to nový switch s dvoma radiobuttonmi:
1. quick insecure mode
2. slow secure mode
Odpovedať Známka: 8.5 Hodnotiť:
 

Navrh specifikacie je priekazne v Into the Badlands.
Odpovedať Známka: -8.8 Hodnotiť:
 

Vrati sa magicke tlacidlo TURBO
Odpovedať Známka: 9.3 Hodnotiť:
 

...akurát sa bude volať "fuck the security, I need more power". :D
Odpovedať Známka: 9.0 Hodnotiť:
 

Funkcia potlačenia bezpečnosti k dosiahnutiu vyššieho výkonu bude mať pracovný názov "Penetration Enabled - Necessarily Insecure System", skratka "PENIS".
Odpovedať Známka: 10.0 Hodnotiť:
 

Toto bolo fakt dobré! :D
Odpovedať Hodnotiť:
 

Panko sa asi chce stat sucastou botnetu. Potom bude vyplakavat.
Odpovedať Známka: -2.5 Hodnotiť:
 

Čo na to Pjetro?
Odpovedať Známka: 7.9 Hodnotiť:
 

pjetro vola maklerovi nech predava akcie, CEO Intelu sa ich zbavil uz v decembri.. :D

Odpovedať Známka: 8.5 Hodnotiť:
 

Pjetro prišiel o svoje "de".
Zobrali mu titul. Už má iba podtitul...
Odpovedať Známka: 8.7 Hodnotiť:
 

Takto to nefunguje. Titul de*** človek môže nadobudnúť narodením, ale akonáhle ho už nadobudne, stratiť ho môže iba smrťou.
Odpovedať Hodnotiť:
 

Pjetro diskutuje inde, v zahraničí. Sem sa už neodvažuje.
http://dopice.sk/kNM
Odpovedať Známka: 6.2 Hodnotiť:
 

ja diskutujem vsade
Odpovedať Známka: 0.9 Hodnotiť:
 

Veru, pičusa sa človek len tak ľahko nezbaví.
Odpovedať Známka: -2.5 Hodnotiť:
 

ani c0c0ta g-j3ba
Odpovedať Známka: -0.5 Hodnotiť:
 

AMD uz poslalo patch, takze ich se to tykat nebude: https://lkml.org/lkml/2017/12/27/2
Odpovedať Známka: 6.8 Hodnotiť:
 

Linux Torvalds napokon začlenil záplatu, ktorá sa na najnovšie spracovače od AMD nevzťahuje.
Odpovedať Známka: 2.0 Hodnotiť:
 

Z Azure dosiel email, ze budu koli aplikovaniu security patchu restartovat fyzicke stroje a nase VMka sa tak vypnu na niekolko desiatok minut. MS vraj na oprave pracuje od Nov 2017.
Odpovedať Známka: 7.1 Hodnotiť:
 

Nám dnes ráno poslali mail a popoludní nám už popadali servre. Vypínali sa zaradom ("scheduled maintenance"), urýchliť sa to nedalo (ručné zapnutie končilo chybou). Vyše 2 hodiny výpadkov.
Odpovedať Hodnotiť:
 

Gaming pod linuxom po aplikovanom patchi nema takmer ziaden vplyv - https://goo.gl/X5j2Q6
Podobne to moze byt vo Windows. Pre gamerov sa nic nemeni, ako to bude pri inych aplikaciach sa uvidi. Podla informacii sa to netyka len Intelu ale aj ARMov a vyhlasenie AMD este nebolo akceptovane, to ze AMD vyhlasi, ze problem nema, neznamena ze ho nema.
Odpovedať Známka: 1.4 Hodnotiť:
 

gameri su konzumná lúza, tu na DSL ich netolerujeme ani ich nebereme v úvahu.
Odpovedať Známka: -3.7 Hodnotiť:
 

neplet si konzolovych kidov s PC Master Race [speaks in 60FPS at 2160P]
Odpovedať Známka: -3.7 Hodnotiť:
 

Fucks Per Sister ?
Odpovedať Známka: 6.4 Hodnotiť:
 

Ty máš iné skúsenosti človeče...
Odpovedať Známka: 10.0 Hodnotiť:
 

Závisí to od početnosti volaní jadra.

Väčšina spracovávania v hrách sa odohráva výlučne v používateľskom priestore a do jadra nepotrebuje volať.

Vyhlásenie AMD bolo prijaté. A týka sa Ryzenov, samozrejme, pričom sú známe aj dôvody, pre ktoré sa ich to netýka.

A tie znamenajú, že sa ich to naozaj netýka. Keď tomu nerozumieš, načo sa k tomu vyjadruješ?!
Odpovedať Známka: 3.3 Hodnotiť:
 

Intel CEO pred 2 tyzdnami predal velke mnozstvo akcii http://dopice.sk/kNK
zeby len nahoda? :D
Odpovedať Známka: 6.9 Hodnotiť:
 

tak nakoniec este koncom novembra. a predal vsetko co mohol (250k si musi ako CEO nechat)
cdn.segmentnext.com/wp- content/uploads/2017/12/1-1.png
Odpovedať Známka: 6.0 Hodnotiť:
 

radšej povedz, čo nakúpil...
AMD?
Odpovedať Známka: 2.5 Hodnotiť:
 

tesla auto a jachtu novu.
Odpovedať Známka: 5.7 Hodnotiť:
 

Koks.
Bude vraj tuhá zima.
Odpovedať Známka: 8.3 Hodnotiť:
 

nic nenakupil este. nakupi hned zajtra ked to padne
Odpovedať Známka: 7.4 Hodnotiť:
 

kokotina, nakupuje sa kým sú akcie lacné a po tomto určite pôjdu hore, takže včera bolo neskoro...
Odpovedať Hodnotiť:
 

stavím sa, že pôjdu dole.
ten performance impact je dobrý prúser.
AMD vyletí, dole pôjde intel a s ním asi aj Microsoft (trochu).
...a ak nakúpil AMD, zajtra bude treba predať a kúpiť tie intely. ;)
Odpovedať Známka: 5.0 Hodnotiť:
 

"velke mnozstvo" je dost nahovno pojem, lepsi pojem je cca 1/2 svojich akcii
Odpovedať Známka: -6.0 Hodnotiť:
 

Pičusove múdrosti.
Odpovedať Známka: 0.0 Hodnotiť:
 

890k predal
250k si musel nechat

to je u teba "cca 1/2"?
Odpovedať Známka: 8.2 Hodnotiť:
 

som cital ze predal cca 250k, kedze mal 500k
Odpovedať Známka: -10.0 Hodnotiť:
 

treba citat poriadne
Odpovedať Známka: 8.5 Hodnotiť:
 

Kráľovské delenie...
Odpovedať Známka: 6.9 Hodnotiť:
 

Takato chyba je realne zavazna, s takouto chybou by mohli byt uskotocnene utoky ktore by potencialne mohli spristupnit inak nespristupnene data.
Odpovedať Známka: 5.2 Hodnotiť:
 

Ale co si pod tym predstavit?
Odpovedať Známka: 5.6 Hodnotiť:
 

Mozme si pod tym predstavit ze si vyberame penazenku z vrecka nohavic, akurat ze su to cudzie nohavice a ten dotycny o tom ani nevie.
Odpovedať Známka: 6.4 Hodnotiť:
 

Šéfe, keď ste už tu:
Aký reálny dosah bude mať hrozba tejto hw chyby na moju kalkulačku? Nerád by som odovzdával chyby v protokoloch a nie som si istý či viem, kde sa na nej vypína wi-fi. Čo keď sa mi kalkulačka nakazí?
Ďakujem za odpoveď a DVB-T2 signálu zdar!
Odpovedať Známka: 4.0 Hodnotiť:
 

a ja si pomalicky skladam po 10 rokoch PC.
Ak tu chybu zajtra zverenie, ako dlho bude intelu trvat, nez ju odstrany a zacne vyrabat dobre procesory?
Odpovedať Známka: -2.5 Hodnotiť:
 

Nie je uplne iste ze aj procesory z 2017 maju chybu, caka sa prave na zverejnenie detailov. Preventivne sa patchuju vsetky x86 procesory, AMD poziadalo o vynimku, lebo je vraj urcite bez chyby.
Intel vraj vedel o chybe od Q1/Q2 2017, Coffee Lake cipy su vo finalnej verzii vo vyrobe od polovice leta, cize teoreticky nemusia byt postihnute.
Ako dlho to bude trvat zalezi od toho ako sa k tomu Intel postavi. Moze urobit aj respin Coffee Lake a starsich cipov /novsia revizia/, to moze trvat aspon 3-6 mesiacov. Skor ale pocitam ze nic take robit nebude a dalsia desktop generacia sa chysta az na rok 2019, co uz by malo byt ok. Takze dnes asi zbytocna otazka co sa pytas.
Odpovedať Známka: 6.7 Hodnotiť:
 

Kdeže, na to by musel prerobiť drobnostavbu svojich spracovačov (mikroarchotektúru svojich procesorov).

Inými slovami: intelovské spracovače sú NEOPRAVITEĽNÉ (a aj preto sa musia robiť také obchádzky na úrovni OS).
Odpovedať Známka: 6.0 Hodnotiť:
 

Fakt som sklamaný, že som sa tu ešte nedočítal o zámernej implementácii tejto fičúry židoboľševickými temlárskymi reptiliánmi na objednávku americkej vlády...

čo robíte? spíte?!
Odpovedať Známka: 3.7 Hodnotiť:
 

čakáme na Zlaté (krypto)Ruble!
Odpovedať Známka: 2.5 Hodnotiť:
 

Toto bude velká voda na mlyn starej Blážovej...
Odpovedať Hodnotiť:
 

Ja som videl video, kde mimovladky tvrdia, ze tuto chybu nadizajnovali, prezident Kiska a Fedor Gal sa priznavaju, ze ju implementovali do jadra a Soros ukazuje bankovy vypis potvrdzujuci prevod zidovsko-slobodomurarsko-scientologickych petrosekelov na panamske bankove ucty zucastnenych.
Odpovedať Známka: 2.0 Hodnotiť:
 

Predtym, ako ma slnieckari napadnu, zdroj tu, tu a tu.
Odpovedať Hodnotiť:
 

"Hlavnou indíciou sú vážne zásahy uskutočnené do linuxového jadra v podobe zmien označených KPTI, Kernel Page-Table Isolation, respektíve KAISER."

Ja som vedel že Kaiser bez Lábusa bude robiť blbosti.
Odpovedať Známka: 10.0 Hodnotiť:
 

Dalsie zaplaty sa budu volat KOZMEKER, KAJZMEKER a finalna oprava KAJSMENTKE
Odpovedať Hodnotiť:
 

Akato spekulacia sa da vygenerovat z par komentarov v commitoch.

Nie je to hardverova chyba Intelu, je to problem branch prediction a out-of-order execution a ci sa to tyka aj AMD a ARM procesorov este nie je jasne. (Project Zero - security tim Googlu - vydal novsie informacie nez doteraz, kvoli tym dohadom skoncili embargo predcasne.)

To je problem jedna (Meltdown). AMD sa MOZNO netyka a da sa patchnut, aj ked to spomali syscalls (takze vykon klesa zavazne, ale len v niektorych pripadoch, napr. volanie `du`, rozny softver, napr. databazove enginy su beztak tazko optimalizovane, aby syscalls nepouzivali, takze tam dopad nebude zavazny).
Odpovedať Známka: 6.7 Hodnotiť:
 

Je to chyba návrhu – a to je v podstate to isté ako „hardvérová chyba“...
Odpovedať Hodnotiť:
 

Alebo spravnejsie chyba hardveru Intelu :D
Odpovedať Známka: 3.3 Hodnotiť:
 

Lenze existuje problem dva (Spectre). Ten sa tyka Intelu, ARM, AMD a NEDA sa patchnut. A je to zle, velmi zle. Dokonca sa to da exploitnut Javascriptom z prehliadaca (!!).

Inak ten Meltdown umoznuje take veci, ako citanie celej systemovej pamate hosta kodom beziacim v gueste vo virtualke a samozrejme aj citanie susednej virtualky. Cize ak niekto prevadzkuje napr. kryptoburzu v cloude, byt prevadzkovatelom, velmi by som sa bal o privatne kluce k hot storage penazenkam...
Odpovedať Známka: 7.1 Hodnotiť:

Pridať komentár