Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Podatność sprzętowa w procesorach Intela – konieczny patch w jądrze Linux/Windows/OSX
The Register donosi o tajemniczej podatności sprzętowej w procesorach Intela (kilka generacji do tyłu), która w najgorszym przypadku umożliwia odczytanie pamięci jądra systemu z poziomu nieuprawnionego użytkownika:
At worst, the hole could be abused by programs and logged-in users to read the contents of the kernel’s memory.
Potencjalny bug np. w przeglądarce internetowej nagle daje możliwość odczytania pamięci jądra (a tam np. znalezienie haseł w formie jawnej czy innych ciekawych kąsków) – wygląda niemiło prawda?
Może więc da się wykonać aktualizację chipów przy pomocy mikrokodu? Tym razem nie jest to ponoć możliwe. Wymienić fizycznie chip – też słabo.
Ostatnią deską ratunku okazało się przygotowanie aktualizacji na systemy operacyjne (dla Linuksa jest już, dla Windowsa ma być lada moment). Linuksowy patch ma jednak jak na razie jeden duży mankament, spowalnia on znacznie działanie wszystkich wywołań systemowych.
Finalne spowolnienie aplikacji wg The Register może dochodzić nawet do 30% (zależy to też od modelu procesora). Dla Postgresa np. najgorszy scenariusz to spadek wydajności o około 23%, choć w realnej sytuacji może on być znacznie mniejszy:
Note that real-world scenarios probably will see somewhat smaller impact, as this was measured over a loopback unix sockets which’ll have smaller overhead itself than proper TCP sockets + actual network.
Wszystkich szczegółów podatności jeszcze nie mamy – wręcz wprowadzono embargo informacyjne, łącznie z nieudostępnieniem publicznie dokumentacji do wykonanego w jądrze Linuksa patcha.
Do łatania przystąpili też dostawcy cloudowi – Amazon czy Microsoft, choć oficnalnie nie potwierdzają, że chodzi o wspomnianego wyżej buga.
–ms
To co się dzieje w ostatnim czasie to jakaś masakra – BT, WiFi i teraz to…
Racja Kolego Dbx choć bardziej ciekawi ile się dzieje a nic o tym nie słychać. ;-( Zresztą jak zwykle.
Szczęśliwego nowego roku Koleżanki, Koledzy i oczywiście Sekuraku. :-*
To prawdopodobnie i tak tylko wierzchołek góry lodowej i najbliższe lata będą co najmniej ciekawe.
ot pęd za pieniądzem…
Ciekawe ile wspólnego ma ten error/ficzer z ukrytym MINIXem i czy aby nie dlatego nie łataja firmware.
http://www.zdnet.com/article/minix-intels-hidden-in-chip-operating-system/
To jest porażka, sam myślalem o kupnie nowego thinkpada ale wstrzymam sie pewnie do poprawionej serii procesorow. Pozwy sie posypia…
Gdzieśtam pisali że najnowsze procki mają najmniejszy impact (przez pewne dodatkowe mechanizmy, które są w stanie w dużej mierze zniwelować to zwolnienie).
Od Haswelli w górę.
@Dbx
Błędy były cały czas, teraz zostają znalezione i łatane, więc można na to patrzeć pozytywnie.
Ja przepraszam, ale moich jąder to nie dotyczy w innych nie zwykłem grzebać.
Dziękuję.
Oj tam, Intel wymieni wadliwe procki na sprawne. Nie pierwsza akcja, kiedyś wymieniał Pentium 60/66/90 z wadliwym FPU.
jakieś magiczne polecenie by sprawdzić czy łatka weszła do systemu pod debianem?
Kupiłem niedawno i7 6700k – na wp pisali że spadek wydajności tego konkretnego procesora wyniesie ok 44%, jest się czego obawiać? jeśli po pół roku od wydania kasy wydajność spadnie mi prawie o połowę, to jakbym dostał pięścią w twarz od intela… Reklamacje?
Na wp pisza wiele bzdur.. poki co nie pojawilo sie wiele testow uzytkowch… benchmark to jedno, codziennie uzytkowanie to calkowicie co innego, czym innym jedt tez uzytkowanie specjalistyczne… na kazdy z nich bedzie inny impact. Tym wiekszy im wiecej zmian contextu a raczej syscalli.
Za chwile ludzie zaczna dramatyzowac ze im 5 fpsow spadlo w call of duty przez pacha… osobiscie nie przewiduje dla domowego usera zauwazalnego zwolnienia… co innego dostawcy i duzi uzytkowncy rozwiazan chmurowych… dla duzego klienta roznica nawet kilku procent moze w ciagu roku podniesc koszty uzytkowania chmury (no chyba ze dostawca to zrekompensuje po swojej stronie). Ale poki co to tylko gdybanie. Na cyferki musimy poczekac.
Co do exploitowania bledow… jeden bedzie wyjatkowo ciezki do wykorzystania na szeroka skale, drugi, zalatany na nixach i win 10, faktycznie daje nadzieje na ciekawe naduzycia. Ale, pragne przypomniec ze tak naprawde teoria ataku (problemy z Speculative execution oraz atak na cache flush+Reload) byla znana juz duzo wczesniej…a jakies pol roku temu pojawil sie nawet wpis andersa fogh’a calkiem dokladnie opisujacy dzisiejsza sytuacje…
tak wiec, uwazam ze na cala sprawe trzeba patrzyc ze spokojem i rozsadkiem.
Nie wpadajmy w panike, bledy byly, sa, i beda.. byly tez latane, sa latane i beda latane. Tak to dziala i jeszcze przez jakis czas tak bedzie ?.
Boli natomiast mnie to ze niektore portale, niestety nawet branzowe (coby palcami nie pokazywac wlasciciela jednego z nich tego co lubi pokazywac sie w tvn) sieja ferment wsrod ludzi, ktorzy nie maja pojecia o technologii i ufaja we wszystko co im pan K. napisze, bo przeciez jest najlepszy z najlepszych… ale widac ze to sie lepiej sprzedaje niz uswiadamianie i edukacja
@Tok – swoją drogą sam bug może być ostry może być nieostry (zależy co uda się wykraść :)
Ciekawe może być połączenie z innymi bugami. Typu ktoś atakuje X serwerów (dostaje nieuprawnionego shella) z czego Y jest niepołatana, więc kolejny
etap to żniwa na pamięci.
Dużo też zależy od skuteczności exploita, ale wygląda na to że to co ma Google jest dość stabilne/skuteczne.
AMD i ARM też mają problem:
https://www.theregister.co.uk/2018/01/04/intel_amd_arm_cpu_vulnerability/
Mają, ale w mniejszym zakresie: https://sekurak.pl/intelamdarm-wszystko-podatne-metldown-spectre-wykradanie-pamieci-z-os/
Hehe… jak tak dalej pójdzie, to niebawem kompy z i386, czy MC680x0 wrócą do łask :)
Tak BTW: czy ktoś wie, ile dokładnie generacji wstecz, i które procki (z tych dawniejszych) są bezpieczne „by design”, a dają już jakieś sensowne możliwości? Bo może warto powstrzymać proces utylizacji używanych, nieco starszych maszynek? :)
Atomy, bo sa tak wolne ze jakikolwiek patch spowoduje ich zatrzymanie ??????
Co z telewizorani? Podatne?
Gdzie można znaleźć instrukcję patcha na CentOSy i Ubuntu?
Yum update kernel
reboot