The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Во FreeBSD устранены уязвимости Meltdown и Spectre V2

14.03.2018 11:15

Для FreeBSD выпущено официальное обновление с исправлениями для блокирования атак Spectre V2 и Meltdown. Исправление доступно в ветках FreeBSD stable/11, 11.1-STABLE, releng/11.1 и 11.1-RELEASE-p8. Защита пока реализована только для архитектуры x86_64. Обновление для FreeBSD 10.x и других архитектур, включая i386, планируется сформировать позднее.

Защита от Meltdown (CVE-2017-5754) базируется на применяемой во многих ОС технике PTI (Page Table Isolation), основанной на разделении таблиц страниц памяти ядра и пространства пользователя при переключении контекста во время системного вызова. Патч также включает оптимизации при помощи инструкции PCID, позволяющие снизить негативное влияние на производительность при включении PTI.

Защита от второго варианта атаки Spectre (CVE-2017-5715) основана на использования режима IBRS (Indirect Branch Restricted Speculation), представленного компанией Intel в недавнем обновлении микрокода. IBRS позволяет во время работы в зависимости от ситуации разрешать и запрещать спекулятивное выполнение косвенных переходов, например, запрещать во время обработки прерываний, системных вызовов и переключений контекста. Для применения защиты от Spectre обязательно требуется наличие обновлённого микрокода для процессоров Intel.

Применение IBRS может быть отключено через sysctl hw.ibrs_disable, а PTI отключается через sysctl vm.pmap.pti в /boot/loader.conf (по умолчанию PTI включен, но его применение не всегда целесообразно из-за существенного негативного влияния на производительность, который во многих ситуациях не сопоставим с риском).



  1. Главная ссылка к новости (https://lists.freebsd.org/pipe...)
  2. OpenNews: Защита от атаки Meltdown в OpenBSD. Стабильное обновление микрокода Intel. Иски против AMD
  3. OpenNews: Для FreeBSD и QEMU/KVM реализованы механизмы блокировки атак Spectre и Meltdown
  4. OpenNews: Представлены новые виды атак MeltdownPrime и SpectrePrime
  5. OpenNews: Линус Торвальдс жестко раскритиковал связанные с микрокодом патчи Intel
  6. OpenNews: Раскрыты подробности двух атак на процессоры Intel, AMD и ARM64
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: meltdown, freebsd, spectre
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (33) Ajax | 1 уровень | Линейный | Раскрыть всё | RSS
  • 1.1, Аноним (-), 11:37, 14/03/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –7 +/
    Как насчёт Retpoline? Ах да, они же не любят GCC...
     
     
  • 2.2, Andrey Mitrofanov (?), 12:04, 14/03/2018 [^] [^^] [^^^] [ответить]  
  • +10 +/
    > Как насчёт Retpoline? Ах да, они же не любят GCC...

    LMDDGTFY https://duckduckgo.com/?q=Retpoline+llvm+freebsd
       =>https://reviews.freebsd.org/D14242
          =>
    [I]" Wed, Feb 28, 2:58 PM
    Closed by commit rS330110: Add kernel retpoline option for amd64 (authored by emaste, committed by ). "[/I]

     
     
  • 3.8, Аноним (-), 13:18, 14/03/2018 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Что ж, это недурно. В моём линуксе GCC 7.3 всё ещё на стадии тестирования.
     
     
  • 4.9, pavlinux (ok), 14:24, 14/03/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    В Debian 8 уже gcc-4.9 портировали.
     
     
  • 5.20, botman (ok), 19:55, 14/03/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    В январе 2017 года было так , угу.
     

  • 1.3, fi (ok), 12:21, 14/03/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    >представленного компанией Intel в недавнем обновлении микрокода

    ага, почти у всех процессор виснет :)))))))))))))), т.к. микрокод кривой

     
     
  • 2.4, Аноним (-), 12:32, 14/03/2018 [^] [^^] [^^^] [ответить]  
  • +11 +/
    процессор повис — фрибсд не взломаешь
     

  • 1.5, пох (?), 12:35, 14/03/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –4 +/
    перевожу: замерженный в stable MFC наконец-то добрался и до RELENG.
    Очень удачно, что при этом они сделали (что последнее время случается крайне редко) патч, для тех, кто не может почему-то обновляться из svn. Я и не надеялся уже.

    Ну вы поняли, для чего он на самом деле вменяемым людям нужен? ;-)

     
     
  • 2.10, pavlinux (ok), 14:26, 14/03/2018 [^] [^^] [^^^] [ответить]  
  • –9 +/
    > Очень удачно, что при этом они сделали

    Сам не похвалишь - никто BSD не похвалит.

     
     
  • 3.14, пох (?), 15:07, 14/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    беда хейтеров - они даже не понимают, что читают.

    это была не похвала, ни разу.


     
  • 2.24, Аноним (-), 22:49, 14/03/2018 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Ну вы поняли, для чего он на самом деле вменяемым людям нужен? ;-)

    Наверное вопить из-под икспы что все зашибись, прекрасная маркиза.

     
     
  • 3.31, Аноним (-), 02:13, 15/03/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >> Ну вы поняли, для чего он на самом деле вменяемым людям нужен? ;-)
    > Наверное вопить из-под икспы что все зашибись, прекрасная маркиза.

    А нужно из под макоси, как в соседней новости про гном?

     

  • 1.7, Аноним (-), 12:55, 14/03/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Молодцы. Сейчас накатим и ежедневную дозу таблеток от паранойи можно немного уменьшить.
     
     
  • 2.11, pavlinux (ok), 14:26, 14/03/2018 [^] [^^] [^^^] [ответить]  
  • –3 +/
    > Молодцы. Сейчас накатим и ежедневную дозу таблеток от паранойи можно немного уменьшить.

    За эти три месяца вас сколько раз ломали?
    Погодь, дай угадаю, 127.0.0.1 ... угу примерно -200 раз,
    из них -199 - попыткы скомпилить рабочий эксплойт.  


     

  • 1.13, pavlinux (ok), 14:32, 14/03/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Кстати, а Шланге jmp *(rax) добавили?
     
  • 1.18, iZEN (ok), 19:47, 14/03/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    % sysctl vm.pmap.pti
    vm.pmap.pti: 0
    % sysctl hw.ibrs_disable
    hw.ibrs_disable: 1
    - по умолчанию. Специально ничего не менял.
     
     
  • 2.22, пох (?), 22:29, 14/03/2018 [^] [^^] [^^^] [ответить]  
  • –2 +/
    я бы на твоем месте, прежде чем праздновать, взял бы да и померял, чем приходится за это платить.
    А то измеризмы, проведенные под линуксами, показали что тонна кривого плохо протестированного кода, лезущего внутри каждого системного вызова проверять "а не включен ли у нас pti" (вместо нормального ifdef) даже если он и не включен, ведет к ощутимым потерям производительности.

    (ну а на своем просто откачу эти патчи, не глядя и не тестируя. Пользы с них ноль, отсутствие вреда не доказано.)

     
     
  • 3.25, Аноним (-), 22:52, 14/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > (ну а на своем просто откачу эти патчи, не глядя и не
    > тестируя. Пользы с них ноль, отсутствие вреда не доказано.)

    Ну что, ловим на слове? Так что когда это тело придет вопить что линукс реwwето, все похакали злыдни-хакиры - ткнуть тело в его же сообщение, гласящее что он положил на безопасность системы с прибором и гордится этим.

     
     
  • 4.33, Аноним (-), 11:59, 15/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Дорогой ребёнок, безопасность и установка всех существующих патчей не взирая на последствия это два разных процесса.

    Когда выйдешь за пределы локалхоста, тебе объяснят и про управление рисками и про непрерывность бизнеса и про то бубны с решётами.

    А если в твоей голове появились позывы ловить кого-то - лови себя за руку, когда пишешь очередную чушь на опеннет.

    С приветом, Кэп.

     
  • 3.27, iZEN (ok), 23:25, 14/03/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    14 03 2018 22 59 27 sysctl vm pmap pti vm pmap pti 0 7z b 7-Zip 64 16 ... текст свёрнут, показать
     
     
  • 4.28, anon686 (?), 23:39, 14/03/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    не показатель.  реальная нагрузка это когда прерывания, ввод-вывод сеть-диск и ядра процессора под 99.9.
     
     
  • 5.34, Аноним (-), 12:02, 15/03/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > не показатель.  реальная нагрузка это когда прерывания, ввод-вывод сеть-диск и ядра
    > процессора под 99.9.

    99.9 в реальной жизни это уже авария, но в целом верно: нужны конкурентные тесты ключевых подсистем с пиковой нагрузкой.

     
     
  • 6.39, пох (?), 16:44, 15/03/2018 [^] [^^] [^^^] [ответить]  
  • –2 +/
    >> не показатель.  реальная нагрузка это когда прерывания, ввод-вывод сеть-диск и ядра
    >> процессора под 99.9.
    > 99.9 в реальной жизни это уже авария, но в целом верно: нужны
    > конкурентные тесты ключевых подсистем с пиковой нагрузкой.

    с пиковой не нужны, нужны с рабочей. Если внезапно рабочая стала пиковой - ну опаньки, приехали значит.
    Если нет - можно жевать сопли дальше - ну, типа, электричество же бесплатное, видимость какой-то защщщыты дана, резерв мощностей есть.

    ну или для домашних систем - не видны ли тормоза в каких-то банальных местах, типа видео с ютрупа.

     
  • 4.29, пох (?), 00:03, 15/03/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > 7zip - тут не показатель. Тогда что ещё?

    зависит от того, для чего эта фря. если для ничего (а на то похоже, раз вообще возник такой тест) - вполне показатель. да, при таком использовании - вреда нет.
    если же, скажем, с нее какой веб раздавать, то и тестировать надо req/s vs cpu load.

    и, если тут такие еще остались - я намекал, что тестировать надо с патчем и без патча, а не патченную с отключеным  - можно, внезапно, получить довольно грустные результаты, как показал опыт коллеги с линуксом.

     
     
  • 5.30, iZEN (ok), 00:13, 15/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    >> 7zip - тут не показатель. Тогда что ещё?
    > зависит от того, для чего эта фря.

    Настольный мультимедийный компьютер.

     
     
  • 6.32, пох (?), 08:25, 15/03/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Настольный мультимедийный компьютер.

    ну то есть - порнуху посмотреть, "кровосток" послушать, и вот, на опеннет иногда зайти?
    типовой la 0.01.

    так что тест вполне показателен - для этой задачи.


    включать при этом необязательно, ибо и тырить с такого компьютера - нечего, да и попытка будет замечена.

     
     
  • 7.37, iZEN (ok), 15:01, 15/03/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ну всё. Я спокоен.

    UPD:
    А как заметить попытку?

     
     
  • 8.38, пох (?), 16:41, 15/03/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    оно прожорливое ... текст свёрнут, показать
     

  • 1.19, Аноним (-), 19:53, 14/03/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Ну вот, не прошло и года!
     
     
  • 2.21, Аноним (-), 21:18, 14/03/2018 [^] [^^] [^^^] [ответить]  
  • +7 +/
    > Ну вот, не прошло и года!

    Чуть менее 3 месяцев с момента репорта уязвимостей. А не полгода, как в этих ваших пингвинах.
    Просто "бздуны", в отличие от, видимо стали недостаточно хорошо проприерастам и другим старшим платиновым Папикам^W Партнерам подмах^W подыгрывать и им "забыли" сообщить заранее.

    Зато анонимы опеннета, несомненно - или лично нашли дыры и писали патчи. Или же хотя бы привлекали виляним попы^W грамотной рекламой Платиновых Друзей, которые и способствовали своевременному оповещению!
    Поэтому теперь с полным правом могут важно надувать щеки и вещать с важным видом "Мы пахали!" )


     
     
  • 3.23, пох (?), 22:31, 14/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Чуть менее 3 месяцев с момента репорта уязвимостей. А не полгода, как

    существенно меньше - потому что новость, если кто не понял, о том, что патчи попали уже и в окаменелый releng. Те, кому было надо и кто мог это себе позволить - получили их еще в феврале.

     
     
  • 4.41, Аноним (-), 19:17, 15/03/2018 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > pussy.exe'шник, у теб подгорело.

    По себе судишь, WSLщик?
    Нету тут никаких пуссей, только эльфы. А экзи - разве что иногда, в виртуалочке или вайне.
    А вот в соседней новости про гном перепончатые пользователи putty.app пачками полезли )


     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Слёрм
    Inferno Solutions
    Hosting by Ihor
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2019 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру