Intel bug?

[Henkp]

Even wat opheldering over de microcode.  Dit is een soort firmware van je CPU, die je normaal ook via een bios-update naar binnenhaalt. Nu kunnen wij het ook vanuit onze distributie doen en scheelt weer gedoe in het bios.

Zo dat is een goede  een geluk bij een ongeluk het klinkt gek maar ergens moeten we nu blij zijn dat we nu allemaal  zelf de update kunnen uitvoeren, daar hebben we nu ook geen Windows meer voor nodig. 

[kfboerne]

Ik snap het niet meer. Vorige week heb ik via het deb-bestand van de Debian website (http://ftp.us.debian.org/debian/pool/non-free/i/intel-microcode/) de intel-microcode geinstalleerd. Ik checkte via Synaptic en 'intel microcode' stond keurig aangevinkt (versie 3.20180108.1). Nu blijkt dat die plotseling niet meer is aangevinkt . Hoe kan dit?? Wat doe ik fout? Moet ik het weer installeren?

[Tom]

Ik snap het niet meer. Vorige week heb ik via het deb-bestand van de Debian website (http://ftp.us.debian.org/debian/pool/non-free/i/intel-microcode/) de intel-microcode geinstalleerd. Ik checkte via Synaptic en 'intel microcode' stond keurig aangevinkt (versie 3.20180108.1). Nu blijkt dat die plotseling niet meer is aangevinkt . Hoe kan dit?? Wat doe ik fout? Moet ik het weer installeren?

Ik had deze er opgezet en hij staat er nog steeds (afbeelding)

[kfboerne]

Dat is versie 3.20180108.0. Is de versie die in de repos zit.
Op de Debian website is versie 3.20180108.1. Een nieuwere versie! Dat lijkt mij dan de meest correcte up-to-date keuze zoals iemand anders ook al meldde. Of niet? Moet ik versie 3.20180108.0 aanhouden?

Wat een onduidelijkheid allemaal zeg

[nahjo]

Iemand anders heeft al geschreven dat de schade als gevolg van de 'patch problemen' groter is dan die door het misbruik van de lekken......
Rustig blijven ademhalen en gewoon de updates installeren die worden aangeboden.

[Pjotr]

Iemand anders heeft al geschreven dat de schade als gevolg van de 'patch problemen' groter is dan die door het misbruik van de lekken......

Nog wel.

Rustig blijven ademhalen en gewoon de updates installeren die worden aangeboden.

Juist. 

[kfboerne]

Ik blijf wel rustig ademhalen hoor . Alleen zou ik een antwoord op mijn vraag zeer waarderen, want het is mij nog steeds onduidelijk WELKE versie ik nou moet aanhouden en waarom de Debian versie op de een of andere manier is gedeinstalleerd. Ik heb nergens met m'n vingers aangezeten in elk geval. Thx.

"Dat is versie 3.20180108.0. Is de versie die in de repos zit.
Op de Debian website is versie 3.20180108.1. Een nieuwere versie! Dat lijkt mij dan de meest correcte up-to-date keuze zoals iemand anders ook al meldde. Of niet? Moet ik versie 3.20180108.0 aanhouden?"

[Henkp]

Dat is versie 3.20180108.0. Is de versie die in de repos zit.
Op de Debian website is versie 3.20180108.1. Een nieuwere versie! Dat lijkt mij dan de meest correcte up-to-date keuze zoals iemand anders ook al meldde. Of niet? Moet ik versie 3.20180108.0 aanhouden?

Wat een onduidelijkheid allemaal zeg

Ik heb ook de 3.20180108.1 en dat is de nieuwe van Debian

[kfboerne]

Dat weet ik. Dat schreef ik al.  Alleen zou ik zo dolgraag antwoorden op m'n vragen willen ;-). Mij ontbreekt -helaas- de technische kennis daarvoor.

[partyrabbit]

Dat weet ik. Dat schreef ik al.  Alleen zou ik zo dolgraag antwoorden op m'n vragen willen ;-). Mij ontbreekt -helaas- de technische kennis daarvoor.

+1
Overigens ook microcode .0 hier en toch unpatched.

.0 net als ook Tom laat zien.
@Tom Unpatched of patched met de .0?

@pjotr. Zo relaxed als het maar zijn kan hier.
Maar baal wel van dit fvcking freaky lek wat ik maar wat graag gepatched wil hebben, maar ik ga niets doen voor er duidelijkheid is (alleen auto updaten, zoals ik altijd al doe).
Ongeduldig misschien. Maar heel relaxed (linux draait toch zooo relaxend lekker ).
Btw pjotr. Ben jij ook nog unpatched?

[Pjotr]

Volgens die grep-opdracht (en waarschijnlijk ook volgens dat controlegereedschapje): nog niet gerepareerd.

Maar volgens het Ubuntu Security Team wel, want die jongens zeggen dat 4.4.0-109 wel degelijk is gerepareerd. En aan die mededeling hecht ik meer waarde, dan aan al die beperkte controlegereedschapjes bij elkaar. 

[kfboerne]

Ik ga die controlegereedschapjes dan ook niet gebruiken. Maakt het allemaal alleen nog maar onoverzichtelijker.

Heb besloten dat ik de 3.20180108.0 versie maar ga installeren. Hopelijk blijft die wel gewoon geinstalleerd en heeft ie niet zomaar hocus-pocus de pleiterik genomen.

Het houdt je in elk geval wel lekker van de straat en goed bezig dat hele Meltdown/Spectre-gedonder

[Pjotr]

Wat zegt dit bij je:

Code: [Selecteer]

dmesg | grep isolation
Bij mij, op de 4.4.0-109:

Code: [Selecteer]

pjotr@bureaucomputer ~ $ dmesg | grep isolation
[    0.000000] Kernel/User page tables isolation: enabled
Eveneens bij mij, op de niet-gerepareerde vorige systeemkern, namelijk de 4.4.0-104: helemaal niets.

Dat geeft aan, dat er dus wel degelijk is ingegrepen wegens Meltdown/Spectre in de 4.4.0-109.

[HWE64]

Wat zegt dit bij je:

Code: [Selecteer]

dmesg | grep isolation
Bij mij, op de 4.4.0-109:

Code: [Selecteer]

pjotr@bureaucomputer ~ $ dmesg | grep isolation
[    0.000000] Kernel/User page tables isolation: enabled
Eveneens bij mij, op de niet-gerepareerde vorige systeemkern, namelijk de 4.4.0-104: helemaal niets.

Dat geeft aan, dat er dus wel degelijk is ingegrepen wegens Meltdown/Spectre in de 4.4.0-109.

@Pjotr Thx, gelukkig hetzelfde als bij jou.

Code: [Selecteer]

henk@SATELLITE-C855-22E:~$ dmesg | grep isolation
[    0.000000] Kernel/User page tables isolation: enabled


[Tom]

tom@tom:~$ dmesg | grep isolation
[    0.000000] Kernel/User page tables isolation: enabled

[partyrabbit]

Volgens die grep-opdracht (en waarschijnlijk ook volgens dat controlegereedschapje): nog niet gerepareerd.

Maar volgens het Ubuntu Security Team wel, want die jongens zeggen dat 4.4.0-109 wel degelijk is gerepareerd. En aan die mededeling hecht ik meer waarde, dan aan al die beperkte controlegereedschapjes bij elkaar. 

Thanks Pjotr. Dit sterkt in elk geval het vertrouwen dat mijn terughoudende besluiten en vertrouwen in de updates zo gek nog niet zijn.
Wat moeten wij toch zonder jou? (en nog wat specialisten hier in deze)

Wat zegt dit bij je:

Code: [Selecteer]

dmesg | grep isolation
Dat geeft aan, dat er dus wel degelijk is ingegrepen wegens Meltdown/Spectre in de 4.4.0-109.

partyrabbit@partyrabbit-pc:~$ dmesg | grep isolation
[    0.000000] Kernel/User page tables isolation: enabled

Dat maakt een mens dan ook weer extra blij. 

Ik ga die controlegereedschapjes dan ook niet gebruiken. Maakt het allemaal alleen nog maar onoverzichtelijker.

Juist. En aangezien deze ook nog verschillende uitkomsten geven .... voor je het weet zit daar ook nog een (funeste?) bug in. Of erger nog, in patches. Dat risico ga ik echt niet opzoeken zo diep in het hart van mijn pc's.

[Pjotr]

Meer informatie:
https://en.wikipedia.org/wiki/Kernel_page-table_isolation

[HWE64]

Meer informatie:
https://en.wikipedia.org/wiki/Kernel_page-table_isolation

@Pjotr, ik ben misschien nog een grotere zeurpiet dan Partyrabbit maar ik geb toch nog een vraag: Ik heb een PC met AMD processor en ik heb alles ingesteld volgens jou site en ook de microcode maar ik krijg hier toch een andere uitslag. Ligt dat aan mijn onkunde hier omtrent??

Code: [Selecteer]

henk@henk-HP-Compaq:~$ dmesg | grep microcode
[    1.757340] microcode: AMD CPU family 0xf not supported
henk@henk-HP-Compaq:~$ dmesg | grep isolation
[    0.000000] Kernel/User page tables isolation: disabled
henk@henk-HP-Compaq:~$


[Pjotr]

@HWE64: mogelijk is dit niet ingeschakeld voor AMD-CPU's, omdat die sowieso niet gevoelig zijn voor Meltdown.

[HWE64]

@HWE64: mogelijk is dit niet ingeschakeld voor AMD-CPU's, omdat die sowieso niet gevoelig zijn voor Meltdown.

@Pjotr, Thx voor je snelle reactie. Ik ben blij dat ik voor 98% Linux gebruik want ik krijg van jullie nog tekst en uitleg want op een andere OS wordt je een update door de strot geduwd en daar heb je het maar mee te doen. Eventueel iets uitproberen is er niet bij (even off-topic)

[kfboerne]

Hier ook in orde :
jan@jan:~$ dmesg | grep isolation
[    0.000000] Kernel/User page tables isolation: enabled

[Theo1971]

@HWE64: mogelijk is dit niet ingeschakeld voor AMD-CPU's, omdat die sowieso niet gevoelig zijn voor Meltdown.

Dit kan heel goed het geval zijn. Ik weet dat er om gevraagd is door de AMD gebruikers/specialisten, om het vooral zo te laten.  Afgezien van het feit dat het nutteloos is, zou het het systeem mogelijk kunnen vertragen.

[Theo1971]

Ik las een aantal keren dat voor Spectre fysiek toegang tot je computer nodig zou zijn. Er is niet veel over te vinden, maar toch wil ik jullie dit niet onthouden.
"Though possible, exploiting Meltdown and especially Spectre is complicated and challenging in practice, and some attacks require physical access."

Bron: wired.com

Kortom als je kernel gepatched is voor Meltdown en je leent je computer niet uit en installeert netjes alle updates, dan zal morgen de wereld waarschijnlijk niet vergaan
Overigens hebben we het volgens mij nog niet gehad over Nvidia kaarten, niet geheel onbelangrijk ook deze moeten voorzien van de laatste drivers (384.111).
Deze heb je (als je een Nvidia kaart hebt) als het goed is al gehad bij de updates, maar voor alle zekerheid controleren.
AMD videokaarten gebruiken een andere technologie en zijn ongrijpbaar voor deze bugs. 

[HWE64]

Overigens hebben we het volgens mij nog niet gehad over Nvidia kaarten, niet geheel onbelangrijk ook deze moeten voorzien van de laatste drivers (384.111).
Deze heb je (als je een Nvidia kaart hebt) als het goed is al gehad bij de updates, maar voor alle zekerheid controleren.
AMD videokaarten gebruiken een andere technologie en zijn ongrijpbaar voor deze bugs.

@Theo van harte, Ik heb een Nvidia videokaart maar ik gebruik de standaard driver, moet ik dan deze nog updaten naar 384.111?

Code: [Selecteer]

hwe64@desktop:~$ inxi -Fxz
System:    Host: desktop Kernel: 4.4.0-109-generic x86_64 (64 bit gcc: 5.4.0) Desktop: Xfce 4.12.3 (Gtk 2.24.28)
           Distro: Ubuntu 16.04 xenial
Machine:   Mobo: ASUSTeK model: P5Q SE2 v: Rev X.0x Bios: American Megatrends v: 0601 date: 04/29/2009
CPU:       Quad core Intel Core2 Quad Q9400 (-MCP-) cache: 3072 KB
           flags: (lm nx sse sse2 sse3 sse4_1 ssse3 vmx) bmips: 21402
           clock speeds: max: 2670 MHz 1: 2003 MHz 2: 2336 MHz 3: 2003 MHz 4: 2336 MHz
Graphics:  Card: NVIDIA GT215 [GeForce GT 240] bus-ID: 01:00.0
           Display Server: X.Org 1.18.4 drivers: nouveau (unloaded: fbdev,vesa) Resolution: 1920x1080@60.00hz
           GLX Renderer: NVA3 GLX Version: 3.0 Mesa 17.2.4 Direct Rendering: Yes
Audio:     Card-1 NVIDIA High Definition Audio Controller driver: snd_hda_intel bus-ID: 01:00.1
           Card-2 Intel 82801JI (ICH10 Family) HD Audio Controller driver: snd_hda_intel bus-ID: 00:1b.0
           Sound: Advanced Linux Sound Architecture v: k4.4.0-109-generic
Network:   Card: Realtek RTL8111/8168/8411 PCI Express Gigabit Ethernet Controller
           driver: r8169 v: 2.3LK-NAPI port: d800 bus-ID: 02:00.0
           IF: enp2s0 state: up speed: 100 Mbps duplex: full mac: <filter>
Drives:    HDD Total Size: 740.2GB (8.7% used) ID-1: /dev/sda model: ADATA_SP550 size: 240.1GB
           ID-2: /dev/sdb model: SAMSUNG_HD502HJ size: 500.1GB
Partition: ID-1: / size: 413G used: 16G (5%) fs: ext4 dev: /dev/sdb1
           ID-2: swap-1 size: 50.00GB used: 0.00GB (0%) fs: swap dev: /dev/sdb5
RAID:      No RAID devices: /proc/mdstat, md_mod kernel module present
Sensors:   System Temperatures: cpu: 17.5C mobo: 16.0C gpu: 31.0
           Fan Speeds (in rpm): cpu: 2008 psu: 0 sys-1: 0
Info:      Processes: 206 Uptime: 3 min Memory: 772.9/3950.9MB Init: systemd runlevel: 5 Gcc sys: 5.4.0
           Client: Shell (bash 4.3.481) inxi: 2.2.35


[Pjotr]

@HWE64: hij draait bij jou nu op het open-bron-stuurprogramma. Dat is waarschijnlijk veilig. Houwen zo, dus.

Voor die videokaart is er (als ik het goed begrepen heb) geen veilig gesloten niet-vrij Nvidia-stuurprogramma beschikbaar, helaas. Want de veilige nvidia-384.111 is niet geschikt voor dat ouwetje. En alleen die (en hoger) zijn blijkbaar gerepareerd.