Intel Microcode en de Spectre en Meltdown lekken

[Basic-NL]

Hallo,

In verband met de Spectre en Meltdown lekken heb ik mijn PC geupgrade  van Xubuntu 17.04 naar 17.10.
In 17.10 zit de nieuwste kernel waar beveiligingsmaatregelen tegen Spectre en Meltdown door Ubuntu in worden opgenomen.
Nu heeft Intel ook een " intel-microcode " softwarepakket waar de processorfabrikant ook maatregelen in opneemt.
Momenteel staat dit microcode-pakket niet op mijn systeem geïnstalleerd, en mijn PC heeft prima gefunctioneerd.
Mijn vraag: is het nu noodzakelijk om dit pakket (via apt-get) alsnog te installeren voor optimale bescherming?
En zo ja: is het handig dit gelijk te doen of even te wachten i.v.m. mogelijke fouten in de nieuwe versie van het pakket?

Ik hoop dat iemand hier iets over kan zeggen.

Basic-NL

[Pjotr]

Meteen doen.

[hansPiso]

Meteen doen.

sudo apt-get intel-microcode of sudo apt-get microcode levert een Error op: Ongeldige bewerking microcode.

Kwam vervolgens op de site van intel: https://downloadcenter.intel.com/download/27431/Linux-Processor-Microcode-Data-File?product=5982.
hier lees ik het volgende:

While the regular approach to getting this microcode update is via a BIOS update, Intel realizes that this can be an administrative hassle. The Linux* operating system has a mechanism to update the microcode after booting. For example, this file will be used by the operating system mechanism if the file is placed in the /etc/firmware directory of the Linux system.

De nieuwste data file is van 8 januari 2018. Ik zie echter geen map firmware staan onder /etc/
Moet de map firmware aangemaakt worden of is dat  een bestaande map met een ander naam.

[Ronaldus]

Volgens mij kun je die code vinden/installeren als je (via het menu) laat zoeken naar de hardware drivers.

[Pjotr]

sudo apt-get intel-microcode of sudo apt-get microcode levert een Error op: Ongeldige bewerking microcode.

Dat is logisch, want het moet immers ook zijn:

Code: [Selecteer]

sudo apt-get install intel-microcode
install. 

[hansPiso]

Oeps, hoe verward kan een mens zijn.

Code: [Selecteer]

sudo apt-get install intel-microcode
intel-microcode is reeds de nieuwste versie (3.[b]20180108[/b].0~ubuntu17.10.1).
En inderdaad versie is van 8 januari.

Nu heeft Intel ook een " intel-microcode " softwarepakket waar de processorfabrikant ook maatregelen in opneemt.
Momenteel staat dit microcode-pakket niet op mijn systeem geïnstalleerd, en mijn PC heeft prima gefunctioneerd.

Volgens mij staat het " intel-microcode " softwarepakket al in de nieuwste kernel en is een extra handeling om het software pakket extra te installeren niet nodig.

[Pjotr]

Nu heeft Intel ook een " intel-microcode " softwarepakket waar de processorfabrikant ook maatregelen in opneemt.
Momenteel staat dit microcode-pakket niet op mijn systeem geïnstalleerd, en mijn PC heeft prima gefunctioneerd.

Volgens mij staat het " intel-microcode " softwarepakket al in de nieuwste kernel en is een extra handeling om het software pakket extra te installeren niet nodig.

Extra handeling is wel nodig, want het microcodepakket is geen onderdeel van de systeemkern! 

[hansPiso]

Duidelijk.
Bedankt.

[Basic-NL]

Bedankt, ga het gelijk doen!
Heb nog een vraag hierover:

Begrijp ik het goed dat het pakket ' intel-microcode' eigenlijk de BIOS update die de PC fabrikant uitbrengt i.v.m. Spectre en Meltdown overbodig maakt?

Of is het flashen/updaten van de BIOS toch nodig? Zoja:wat is de makkelijkste manier onder (X)ubuntu om een flash USB stick te maken met de BIOS update? Ik zie wel veel info over een Ubuntu USB flash, maar kom er niet uit.

Vriendelijke groet,

Basic-NL

[Pjotr]

Begrijp ik het goed dat het pakket ' intel-microcode' eigenlijk de BIOS update die de PC fabrikant uitbrengt i.v.m. Spectre en Meltdown overbodig maakt?

In principe wel, ja....

Maar het voordeel van het bijwerken van je BIOS is natuurlijk wel, dat het een eenmalige handeling is die effect heeft op alle mogelijke huidige en toekomstige besturingssystemen voor die computer. Je hoeft er dan nooit meer over na te denken.

[hansPiso]

Maar het voordeel van het bijwerken van je BIOS is natuurlijk wel, dat het een eenmalige handeling is die effect heeft op alle mogelijke huidige en toekomstige besturingssystemen voor die computer. Je hoeft er dan nooit meer over na te denken.

Dat wil ik uitproberen, maar...

Kwam vervolgens op de site van intel: https://downloadcenter.intel.com/download/27431/Linux-Processor-Microcode-Data-File?product=5982.
hier lees ik het volgende:

While the regular approach to getting this microcode update is via a BIOS update, Intel realizes that this can be an administrative hassle. The Linux* operating system has a mechanism to update the microcode after booting. For example, this file will be used by the operating system mechanism if the file is placed in the /etc/firmware directory of the Linux system.

Ik zie echter geen map firmware staan onder /etc/
Moet de map firmware aangemaakt worden of is dat  een bestaande map met een ander naam?

Opmerkelijk is ook dat er een kernel upgrade op 8 januari is uitgevoerd op mijn P.C. en dezelfde datum van de nieuwe release  'intel-microcode' softwarepakket .
Van 4.13.0-21 naar -25-generic.
Bij mijn weten heb ik ook nooit het 'intel-microcode' softwarepakket geïnstalleerd. Maar het zou kunnen dat het met 'doe deze 10 dingen na installatie' van Pjotr is gebeurd.

[vanadium]

Maar het voordeel van het bijwerken van je BIOS is natuurlijk wel, dat het een eenmalige handeling is die effect heeft op alle mogelijke huidige en toekomstige besturingssystemen voor die computer. Je hoeft er dan nooit meer over na te denken.

Dat wil ik uitproberen, maar...
...
Ik zie echter geen map firmware staan onder /etc/
Moet de map firmware aangemaakt worden of is dat  een bestaande map met een ander naam?

Zoek niet verder in die richting. Kijk eerder in de handleiding van je toestel. De procedure voor het updaten van je BIOS is zeer afhankelijk van je model. Nadat je een bestand voor de update van je fabrikant hebt gedownload, hangt het er zeer van af hoe we verder moet gaan om dat te installeren.

[Pjotr]

Overigens is het ook nog maar zeer de vraag, of je moederbordfabrikant überhaupt al een nieuwer BIOS heeft klaarstaan waarin Meltdown is gerepareerd.... Sterker nog, in de meeste gevallen (moederborden ouder dan een jaar of zo), zal die Meltdown-reparatie waarschijnlijk nimmer plaatsvinden.

[hansPiso]

Het leuke is nu juist dat het volgens Intel heel eenvoudig kan. File op een bepaalde plek, rebooten en klaar. Vandaar.
Het blijkt uit https://www.pcsuggest.com/update-cpu-microcode-in-linux/ dat na een sudo apt-get install intel-microcode de code bij een systeem startup wordt geïnstalleerd.

The system will build a new initramfs with the latest microcode to apply it at system startup.

[atomos]

Hier geeft het een grote bende.. oftwel het geeft problemen. de patches geinstaleerd en hoppa nu doet VMWare het niet meer, CPU wordt niet ondersteund geeft dier aan, te oud  . euh hij heeft het gedaan op die versie van VMWare. 
Ben er nog niet uit wat of welke update het probleem geeft..  geen tijd om er diep in te duiken.. virtualbox werkt wel prima

[Basic-NL]

Allereerst hartelijk dank weer voor de reacties!

Begrijp ik het goed dat het pakket ' intel-microcode' eigenlijk de BIOS update die de PC fabrikant uitbrengt i.v.m. Spectre en Meltdown overbodig maakt? : In principe wel, ja.... Maar het voordeel van het bijwerken van je BIOS is natuurlijk wel, dat het een eenmalige handeling is die effect heeft op alle mogelijke huidige en toekomstige besturingssystemen voor die computer. Je hoeft er dan nooit meer over na te denken.

Ik begrijp de gedachte dat een BIOS update uiteindelijk handiger is als je ooit een ander OS wilt. Dat je er anders scherp op moet blijven. Wel is een BIOS update ingewikkelder en kan er meer fout gaan. Daarbij "regel" ik ook de PC van iemand anders, waar ik niet direct naar toe kon en heb deze persoon op  afstand upgrade en microcode laten installeren. Belangrijk nu is dat de PC's veilig zijn.

Overigens is het ook nog maar zeer de vraag, of je moederbordfabrikant überhaupt al een nieuwer BIOS heeft klaarstaan waarin Meltdown is gerepareerd.... Sterker nog, in de meeste gevallen (moederborden ouder dan een jaar of zo), zal die Meltdown-reparatie waarschijnlijk nimmer plaatsvinden.

Shuttle (de fabrikant van mijn PC) heeft inmiddels wel een upgrade uitgebracht, maar ik ben met je eens dat niet iedere fabrikant even alert reageert. Het valt mij op dat sommige Android telefoons van 2 jaar oud niet eens meer een update krijgen wat ik eigenlijk misdadig vind.

Zoek niet verder in die richting. Kijk eerder in de handleiding van je toestel. De procedure voor het updaten van je BIOS is zeer afhankelijk van je model. Nadat je een bestand voor de update van je fabrikant hebt gedownload, hangt het er zeer van af hoe we verder moet gaan om dat te installeren.

Dit is de link naar de fabrikant update: http://global.shuttle.com/products/productsDownload?productId=2007
Voor het preparen van de USB stick wordt verwezen naar een Windows programmaatje.
Zou je mij kunnen uitleggen hoe ik dit met Xubuntu doe?

[DeBaas]

Meltdown kan alleen gerepareerd worden door het vervangen van de CPU zelf.
De software, microcode en BIOS "oplossingen" vangen opdrachten naar het lek in de processor af.
Echter de meeste processoren kunnen niet vervangen worden want er zijn geen processoren van hetzelfde type zonder dit lek.
Een BIOS update vervangt niet het lek in de processor.

[Basic-NL]

Meltdown kan alleen gerepareerd worden door het vervangen van de CPU zelf.
De software, microcode en BIOS "oplossingen" vangen opdrachten naar het lek in de processor af.
Echter de meeste processoren kunnen niet vervangen worden want er zijn geen processoren van hetzelfde type zonder dit lek.
Een BIOS update vervangt niet het lek in de processor.

Hoi DeBaas,

Dit begrijp ik. Een hardware probleem kan niet met software worden verholpen. De updates die nu door allerlei besturingssysteem-, processor- en BIOS-fabrikanten worden aangeboden zijn er alleen op gericht misbruik van de processor lekken tegen te gaan.

De vraag die ik nog heb is: hoe maak ik die USB-stick met BIOS-update? De rest kom ik wel uit, want staat beschreven op de pagina van Shuttle.
Voor het prepareren van de USB-stick wordt echter verwezen naar een Windows-programma. Ik heb instructie voor Xubuntu nodig.

Ik heb uiteraard al gezocht op internet, maar daar kom ik vooral instructies tegen voor het maken van een USB-stick met Ubuntu besturingssysteem, maar niet duidelijk hoe ik een foutloos BIOS-stickje maak. Ik wil mijn PC niet om zeep helpen...

Als iemand dus weet hoe dit moet, of mij naar de goede instructie kan leiden, dan heel graag!

Vriendelijke groet,

Basic-NL

[vanadium]

Geef hier even de instructies van de fabrikant weer, of geef een specifieke link (ik heb al even gezocht maar niet direct gevonden). In vele gevallen gaat het om een USB die MS DOS opstart en van daaruit de patch installeert. Op mijn Dell XPS is het een heel eenvoudige en linux-vriendelijke procedure. Het installatieprogramma wordt onder /boot/efi gekopieerd. Via een opstartmenu dat bekomen wordt door tijdens de opstart F12 te drukken, kan dan de update gestart worden. Maar zoals gezegd, de procedures zijn zeer specifiek per fabrikant, en vereisen soms mogelijk MS Windows.

[Basic-NL]

Geef hier even de instructies van de fabrikant weer, of geef een specifieke link (ik heb al even gezocht maar niet direct gevonden). In vele gevallen gaat het om een USB die MS DOS opstart en van daaruit de patch installeert. Op mijn Dell XPS is het een heel eenvoudige en linux-vriendelijke procedure. Het installatieprogramma wordt onder /boot/efi gekopieerd. Via een opstartmenu dat bekomen wordt door tijdens de opstart F12 te drukken, kan dan de update gestart worden. Maar zoals gezegd, de procedures zijn zeer specifiek per fabrikant, en vereisen soms mogelijk MS Windows.

De link naar hun instructie staat hier: http://global.shuttle.com/support/faqDetail?faqId=2463
Ik heb overigens de BIOS standaard al op LEGACY
Het gaat dan om punt 4 waar verwezen wordt naar een Windows programma.

[DeBaas]

https://www.thomas-krenn.com/en/wiki/Creating_a_Bootable_DOS_USB_Stick

Linux:
Download unetbootin, maak de file opstartbaar en start op.
unetbootin kan freedos direct op de stick zetten.
Zodra gereed zet er dan de BIOS file bij en volg de Intel instructies van je eigen link.

[carbon]

Geef hier even de instructies van de fabrikant weer, of geef een specifieke link (ik heb al even gezocht maar niet direct gevonden). In vele gevallen gaat het om een USB die MS DOS opstart en van daaruit de patch installeert. Op mijn Dell XPS is het een heel eenvoudige en linux-vriendelijke procedure. Het installatieprogramma wordt onder /boot/efi gekopieerd. Via een opstartmenu dat bekomen wordt door tijdens de opstart F12 te drukken, kan dan de update gestart worden. Maar zoals gezegd, de procedures zijn zeer specifiek per fabrikant, en vereisen soms mogelijk MS Windows.

De link naar hun instructie staat hier: http://global.shuttle.com/support/faqDetail?faqId=2463

Deze link/site komt niet door firejail   

[JanUbu]

Als ik hier mag inhaken?... momenteel gebruik ik Xubuntu 16.04.2 Kernel: 4.13.13
Mijn vraag is: moet ik persé updaten om een crash te voorkomen tot de nieuwste Xubuntu versie met bijbehorende systeemkern om de Intel Micro-code te kunnen gebruiken maar ook tevens - door de nieuwste Xubuntu versie - bescherming te genieten tegen Meltdown?

Want het vreemde feit doet zich voor bij mij dat Xubuntu 16.04.2  blijkbaar wel beschermd is tegen Spectre (Variant 1?) maar niet tegen Spectre (variant 2?) en Meltdown.

Maar wat ik van de commotie begrijp is dat voor bescherming tegen Spectre een BIOS update of een Micro-code work-around nodig is!

Kortom ik snap niet hoe een volledig up to date Xubuntu 16.04.2 alleen kan beschermen tegen Spectre.

Deze conclusie trekt een Terminal-scan m.b.v. een Bash-script dat ik heb van: https://askubuntu.com/questions/996917/where-do-i-confirm-my-kernel-version-is-safe-against-intel-meltdown/996922 waarvan de bron weer is te vinden op Github: https://github.com/speed47/spectre-meltdown-checker


Terminal geeft na de scan bij mij het volgende aan:

CVE-2017-5753 [bounds check bypass] aka 'Spectre Variant 1'
* Checking count of LFENCE opcodes in kernel:  YES
> STATUS: NOT VULNERABLE  (805 opcodes found, which is >= 70, heuristic to be improved when official patches become available)

CVE-2017-5715 [branch target injection] aka 'Spectre Variant 2'
* Mitigation 1
*   Hardware (CPU microcode) support for mitigation
*     The SPEC_CTRL MSR is available:  NO
*     The SPEC_CTRL CPUID feature bit is set:  NO
*   Kernel support for IBRS:  NO
*   IBRS enabled for Kernel space:  NO
*   IBRS enabled for User space:  NO
* Mitigation 2
*   Kernel compiled with retpoline option:  NO
*   Kernel compiled with a retpoline-aware compiler:  NO
> STATUS:  VULNERABLE  (IBRS hardware + kernel support OR kernel with retpoline are needed to mitigate the vulnerability)

CVE-2017-5754 [rogue data cache load] aka 'Meltdown' aka 'Variant 3'
* Kernel supports Page Table Isolation (PTI):  NO
* PTI enabled and active:  NO
* Checking if we're running under Xen PV (64 bits):  NO
> STATUS:  VULNERABLE  (PTI is needed to mitigate the vulnerability)

Hartelijk dank voor eventuele antwoorden!
   

[Basic-NL]

https://www.thomas-krenn.com/en/wiki/Creating_a_Bootable_DOS_USB_Stick

Linux:
Download unetbootin, maak de file opstartbaar en start op.
unetbootin kan freedos direct op de stick zetten.
Zodra gereed zet er dan de BIOS file bij en volg de Intel instructies van je eigen link.

Duidelijk. Dankjewel!

[Basic-NL]

Als ik hier mag inhaken?... momenteel gebruik ik Xubuntu 16.04.2 Kernel: 4.13.13
Mijn vraag is: moet ik persé updaten om een crash te voorkomen tot de nieuwste Xubuntu versie met bijbehorende systeemkern om de Intel Micro-code te kunnen gebruiken maar ook tevens - door de nieuwste Xubuntu versie - bescherming te genieten tegen Meltdown?

Want het vreemde feit doet zich voor bij mij dat Xubuntu 16.04.2  blijkbaar wel beschermd is tegen Spectre (Variant 1?) maar niet tegen Spectre (variant 2?) en Meltdown.

Maar wat ik van de commotie begrijp is dat voor bescherming tegen Spectre een BIOS update of een Micro-code work-around nodig is!

Kortom ik snap niet hoe een volledig up to date Xubuntu 16.04.2 alleen kan beschermen tegen Spectre.
   

Hoi, ik ben een gewone gebruiker (geen guru) maar deel je security zorgen rond Spectre/Meltdown en dit is wat ik ervan begrijp:
Op Ubuntu.com staat dit bericht: https://insights.ubuntu.com/2018/01/12/meltdown-and-spectre-status-update/
Daar staat dat alle ondersteunde versies van (*)ubuntu de updates krijgen. 16.04 LTS staat ertussen, maar je moet wel blijven updaten.
Je schrijft dat je Xubuntu 16.04.2 gebruikt, maar dat is niet up-to-date. 16.04.3 is in augustus 2017 al uitgekomen.
Updaten naar de nieuwst beschikbare versie van 16.04 betekent automatisch update naar de kernel met Spectre/Meltdown updates.
Verder lees je, dat ze nog steeds bezig zijn met de "mitigations" (beperken van de schade) d.m.v. software updates in (X)ubuntu.
Je systeem zal dus nog niet 100%  van de benodigde updates hebben omdat die nog in ontwikkeling zijn.
Voor (*)ubuntu met Intel processors is het extra pakket intel-microcode beschikbaar en geadviseerd, zie reactie #1 van Pjotr. In reactie #9 stelt hij dat een BIOS update beter is als je (ooit) andere OS wilt draaien -of- bij nieuwe install microcode vergeet.