Tip: controleer of je kernel gepatched is tegen Meltdown en Spectre

[vanadium]

Met volgend commando kan je nagaan of je een kernel draait die gepatched is tegen de twee veiligheidslekken Meltdown en Spectre.

Code: [Selecteer]

grep CONFIG_PAGE_TABLE_ISOLATION=y /boot/config-`uname -r` && echo "patched :)" || echo "unpatched :("

Bron: Techrepublic

[youpie123]

Super bedankt 

CONFIG_PAGE_TABLE_ISOLATION=y
patched

[maasnet]

Kijk daar zat ik op te wachten 

Dank!

CONFIG_PAGE_TABLE_ISOLATION=y
patched

[Pjotr]

unpatched.... 

Terwijl hij wel op een gerepareerde systeemkern draait, namelijk 4.4.0-109. Ra, ra politiepet. 

[HWE64]

Kijk daar zat ik op te wachten 

Dank!

CONFIG_PAGE_TABLE_ISOLATION=y
patched

Shit, en nu??

Code: [Selecteer]

henk@SATELLITE-C855-22E:~$ grep CONFIG_PAGE_TABLE_ISOLATION=y /boot/config-`uname -r` && echo "patched :)" || echo "unpatched :("
unpatched :(
henk@SATELLITE-C855-22E:~$


[jvecht]

unpatched

just@just-Lat-xub-1604:~$ uname -rv
4.4.0-109-generic #132-Ubuntu SMP Tue Jan 9 19:52:39 UTC 2018

Zelfde kernel als Pjotr ... ?

groet,

Just

[Pjotr]

Volgens het artikel waar vanadium een webkoppeling naar gaf, is van de 4.4-serie blijkbaar pas de 4.4.110 gerepareerd?

De 4.4.0-109 van Ubuntu/Mint, is gebaseerd op de bovenstroomse systeemkernversie 4.4.98:
http://people.canonical.com/~kernel/info/kernel-version-map.html

Afijn. Vragen, vragen....

[Paul Matthijsse]

Dank u Vanadium! Mijn Xubuntu geeft dit.

Code: [Selecteer]

paul@graveyron:~$ lsb_release -a
No LSB modules are available.
Distributor ID: Ubuntu
Description: Ubuntu 17.10
Release: 17.10
Codename: artful
paul@graveyron:~$ uname -a
Linux graveyron 4.13.0-25-generic #29-Ubuntu SMP Mon Jan 8 21:14:41 UTC 2018 x86_64 x86_64 x86_64 GNU/Linux
paul@graveyron:~$ grep CONFIG_PAGE_TABLE_ISOLATION=y /boot/config-`uname -r` && echo "patched :)" || echo "unpatched :("
CONFIG_PAGE_TABLE_ISOLATION=y
patched :)
paul@graveyron:~$

[HWE64]

unpatched

just@just-Lat-xub-1604:~$ uname -rv
4.4.0-109-generic #132-Ubuntu SMP Tue Jan 9 19:52:39 UTC 2018

Zelfde kernel als Pjotr ... ?

groet,

Just

Hoi Just, Heb precies hetzelfde.
unpatched
henk@SATELLITE-C855-22E:~$ uname -rv
4.4.0-109-generic #132-Ubuntu SMP Tue Jan 9 19:52:39 UTC 2018

[Pjotr]

Het lijkt erop, dat deze opdracht misschien niet de juiste info geeft voor de 4.4-serie. Want de 4.4-serie is al hersteld sedert 4.4.0-108:
https://usn.ubuntu.com/usn/usn-3522-1/

en:
https://people.canonical.com/~ubuntu-security/cve/2017/CVE-2017-5754.html

Dus als je 4.4.0-109 draait, die dus al een stap verder is dan -108, dan moet je zeker goed zitten. Of het Ubuntu Security Team zou niet te vertrouwen moeten zijn, maar dat acht ik hoogst onwaarschijnlijk.

[jvecht]

Gekeken met het script van Stephane Lesimple:

just@just-Lat-xub-1604:~/Downloads/spectre-meltdown-checker-master$ sudo ./spectre-meltdown-checker.sh
[sudo] wachtwoord voor just:
Spectre and Meltdown mitigation detection tool v0.31

Checking for vulnerabilities against running kernel Linux 4.4.0-109-generic #132-Ubuntu SMP Tue Jan 9 19:52:39 UTC 2018 x86_64
CPU is Intel(R) Core(TM) i5 CPU M 520 @ 2.40GHz

CVE-2017-5753 [bounds check bypass] aka 'Spectre Variant 1'
* Checking count of LFENCE opcodes in kernel:  NO
> STATUS:  VULNERABLE  (only 33 opcodes found, should be >= 70, heuristic to be improved when official patches become available)

CVE-2017-5715 [branch target injection] aka 'Spectre Variant 2'
* Mitigation 1
*   Hardware (CPU microcode) support for mitigation
*     The SPEC_CTRL MSR is available:  NO
*     The SPEC_CTRL CPUID feature bit is set:  NO
*   Kernel support for IBRS:  NO
*   IBRS enabled for Kernel space:  NO
*   IBRS enabled for User space:  NO
* Mitigation 2
*   Kernel compiled with retpoline option:  NO
*   Kernel compiled with a retpoline-aware compiler:  NO
> STATUS:  VULNERABLE  (IBRS hardware + kernel support OR kernel with retpoline are needed to mitigate the vulnerability)

CVE-2017-5754 [rogue data cache load] aka 'Meltdown' aka 'Variant 3'
* Kernel supports Page Table Isolation (PTI):  YES
* PTI enabled and active:  YES
* Checking if we're running under Xen PV (64 bits):  NO
> STATUS:  NOT VULNERABLE  (PTI mitigates the vulnerability)

A false sense of security is worse than no security at all, see --disclaimer
just@just-Lat-xub-1604:~/Downloads/spectre-meltdown-checker-master$

Just

[partyrabbit]

unpatched.... 

Terwijl hij wel op een gerepareerde systeemkern draait, namelijk 4.4.0-109. Ra, ra politiepet. 

+1
unpatched
?? ??

Dus als je 4.4.0-109 draait, die dus al een stap verder is dan -108, dan moet je zeker goed zitten. Of het Ubuntu Security Team zou niet te vertrouwen moeten zijn, maar dat acht ik hoogst onwaarschijnlijk.

Die draait hier, dus laten we het maar hopen dan.

Code: [Selecteer]

partyrabbit@partyrabbitpc:~$ uname -r
4.4.0-109-generic

Heeft iemand nog een 'goed werkend commando' om die patch te controleren.

[Paul Matthijsse]

Met dat script zitten we weer op één lijn Just, 2x vulnerable en 1x niet. Ik kan niet beoordelen in hoeverre mijn pc gevaar loopt, dit is voor de echte techneuten.

[youpie123]

joep@SRV1:~/Downloads/spectre-meltdown-checker-master$ sudo ./spectre-meltdown-checker.sh
[sudo] wachtwoord voor joep:
Spectre and Meltdown mitigation detection tool v0.31

Checking for vulnerabilities against running kernel Linux 4.13.0-25-generic #29-Ubuntu SMP Mon Jan 8 21:14:41 UTC 2018 x86_64
CPU is Intel(R) Xeon(R) CPU X3460 @ 2.80GHz

CVE-2017-5753 [bounds check bypass] aka 'Spectre Variant 1'
* Checking count of LFENCE opcodes in kernel:  NO
> STATUS:  VULNERABLE  (only 29 opcodes found, should be >= 70, heuristic to be improved when official patches become available)

CVE-2017-5715 [branch target injection] aka 'Spectre Variant 2'
* Mitigation 1
*   Hardware (CPU microcode) support for mitigation
*     The SPEC_CTRL MSR is available:  NO
*     The SPEC_CTRL CPUID feature bit is set:  NO
*   Kernel support for IBRS:  NO
*   IBRS enabled for Kernel space:  NO
*   IBRS enabled for User space:  NO
* Mitigation 2
*   Kernel compiled with retpoline option:  NO
*   Kernel compiled with a retpoline-aware compiler:  NO
> STATUS:  VULNERABLE  (IBRS hardware + kernel support OR kernel with retpoline are needed to mitigate the vulnerability)

CVE-2017-5754 [rogue data cache load] aka 'Meltdown' aka 'Variant 3'
* Kernel supports Page Table Isolation (PTI):  YES
* PTI enabled and active:  YES
* Checking if we're running under Xen PV (64 bits):  NO
> STATUS:  NOT VULNERABLE  (PTI mitigates the vulnerability)

A false sense of security is worse than no security at all, see --disclaimer
joep@SRV1:~/Downloads/spectre-meltdown-checker-master$

Nou weet ik het ook niet meer...... 

[HWE64]

Nou weet ik het ook niet meer...... 

En ik al helemaal niet . Dit gaat me allemaal boven de pet .

[EvC]

Ubuntu 17.10.1

[Theo1971]

Nou weet ik het ook niet meer...... 

En ik al helemaal niet . Dit gaat me allemaal boven de pet .

Eigenlijk heel simpel, de 3e (meltdown) is opgelost, Spectre niet. Spectre oplossen is ook lastiger en ben je ook meer voor nodig dan alleen een kernel aanpassen.

[partyrabbit]

Nou weet ik het ook niet meer...... 

En ik al helemaal niet . Dit gaat me allemaal boven de pet .

Eigenlijk heel simpel, de 3e (meltdown) is opgelost, Spectre niet. Spectre oplossen is ook lastiger en ben je ook meer voor nodig dan alleen een kernel aanpassen.

Wat dan als ik vragen mag?

Wat overzichtelijke duidelijkheid zou ik wel op prijs stellen, en ik denk niet alleen ik.
SubFORUM: Intel-bug Meltdown Spectre?

[Tom]

unpatched.... 

Terwijl hij wel op een gerepareerde systeemkern draait, namelijk 4.4.0-109. Ra, ra politiepet. 

Idem hier. Maar ik vind het wel goed zo hoor .Mijn Browsers zijn Patched dus voor mij oke. Met Kernel 4.4.0-109

[partyrabbit]

Zo dacht ik er ook over Tom. Maar er blijft op gehamerd worden dat die microcode ook dringend gepatched moet worden. Dan weet ik het ook niet meer.

[asilnevs]

Maar is het niet zo dat je gewoon altijd alle updates moet binnenhalen en dat het dan (ooit) wel in orde geraakt?
Ik moet er toch niet iets speciaals voor gaan installeren vermoed ik?
Als dit zo is, waarom dan al die ongerustheid?

[wowo]

Code: [Selecteer]

grep CONFIG_PAGE_TABLE_ISOLATION=y /boot/config-`uname -r` && echo "patched :)" || echo "unpatched :("
CONFIG_PAGE_TABLE_ISOLATION=y
patched :)
Kernel: 4.13.0-26-generic

[partyrabbit]

Maar is het niet zo dat je gewoon altijd alle updates moet binnenhalen en dat het dan (ooit) wel in orde geraakt?
Ik moet er toch niet iets speciaals voor gaan installeren vermoed ik?
Als dit zo is, waarom dan al die ongerustheid?

Dat zijn precies de vragen waarop ik nog steeds op antwoord wacht.

[Pjotr]

----

[vanadium]

Maar is het niet zo dat je gewoon altijd alle updates moet binnenhalen en dat het dan (ooit) wel in orde geraakt?
Ik moet er toch niet iets speciaals voor gaan installeren vermoed ik?

Zo is het en niets anders. Zorg ervoor dat je een actueel besturingssysteem gebruikt en dat je dat normaal laat bijwerken.