The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

14.03.2018 11:15  Во FreeBSD устранены уязвимости Meltdown и Spectre V2

Для FreeBSD выпущено официальное обновление с исправлениями для блокирования атак Spectre V2 и Meltdown. Исправление доступно в ветках FreeBSD stable/11, 11.1-STABLE, releng/11.1 и 11.1-RELEASE-p8. Защита пока реализована только для архитектуры x86_64. Обновление для FreeBSD 10.x и других архитектур, включая i386, планируется сформировать позднее.

Защита от Meltdown (CVE-2017-5754) базируется на применяемой во многих ОС технике PTI (Page Table Isolation), основанной на разделении таблиц страниц памяти ядра и пространства пользователя при переключении контекста во время системного вызова. Патч также включает оптимизации при помощи инструкции PCID, позволяющие снизить негативное влияние на производительность при включении PTI.

Защита от второго варианта атаки Spectre (CVE-2017-5715) основана на использования режима IBRS (Indirect Branch Restricted Speculation), представленного компанией Intel в недавнем обновлении микрокода. IBRS позволяет во время работы в зависимости от ситуации разрешать и запрещать спекулятивное выполнение косвенных переходов, например, запрещать во время обработки прерываний, системных вызовов и переключений контекста. Для применения защиты от Spectre обязательно требуется наличие обновлённого микрокода для процессоров Intel.

Применение IBRS может быть отключено через sysctl hw.ibrs_disable, а PTI отключается через sysctl vm.pmap.pti в /boot/loader.conf (по умолчанию PTI включен, но его применение не всегда целесообразно из-за существенного негативного влияния на производительность, который во многих ситуациях не сопоставим с риском).



  1. Главная ссылка к новости (https://lists.freebsd.org/pipe...)
  2. OpenNews: Защита от атаки Meltdown в OpenBSD. Стабильное обновление микрокода Intel. Иски против AMD
  3. OpenNews: Для FreeBSD и QEMU/KVM реализованы механизмы блокировки атак Spectre и Meltdown
  4. OpenNews: Представлены новые виды атак MeltdownPrime и SpectrePrime
  5. OpenNews: Линус Торвальдс жестко раскритиковал связанные с микрокодом патчи Intel
  6. OpenNews: Раскрыты подробности двух атак на процессоры Intel, AMD и ARM64
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: meltdown, freebsd, spectre
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, Аноним (-), 11:37, 14/03/2018 [ответить] [показать ветку] [···]    [к модератору]
  • –7 +/
    Как насчёт Retpoline? Ах да, они же не любят GCC...
     
     
  • 2.2, Andrey Mitrofanov (?), 12:04, 14/03/2018 [^] [ответить]    [к модератору]
  • +10 +/
    > Как насчёт Retpoline? Ах да, они же не любят GCC...

    LMDDGTFY https://duckduckgo.com/?q=Retpoline+llvm+freebsd
       =>https://reviews.freebsd.org/D14242
          =>
    [I]" Wed, Feb 28, 2:58 PM
    Closed by commit rS330110: Add kernel retpoline option for amd64 (authored by emaste, committed by ). "[/I]

     
     
  • 3.8, Аноним (-), 13:18, 14/03/2018 [^] [ответить]    [к модератору]
  • –2 +/
    Что ж, это недурно. В моём линуксе GCC 7.3 всё ещё на стадии тестирования.
     
     
  • 4.9, pavlinux (ok), 14:24, 14/03/2018 [^] [ответить]    [к модератору]
  • +2 +/
    В Debian 8 уже gcc-4.9 портировали.
     
     
  • 5.20, botman (ok), 19:55, 14/03/2018 [^] [ответить]    [к модератору]
  • –1 +/
    В январе 2017 года было так , угу.
     
  • 1.3, fi (ok), 12:21, 14/03/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +3 +/
    >представленного компанией Intel в недавнем обновлении микрокода

    ага, почти у всех процессор виснет :)))))))))))))), т.к. микрокод кривой

     
     
  • 2.4, Аноним (-), 12:32, 14/03/2018 [^] [ответить]    [к модератору]  
  • +11 +/
    процессор повис — фрибсд не взломаешь
     
  • 1.5, пох (?), 12:35, 14/03/2018 [ответить] [показать ветку] [···]     [к модератору]  
  • –4 +/
    перевожу замерженный в stable MFC наконец-то добрался и до RELENG Очень удачно... весь текст скрыт [показать]
     
     
  • 2.10, pavlinux (ok), 14:26, 14/03/2018 [^] [ответить]    [к модератору]  
  • –9 +/
    > Очень удачно, что при этом они сделали

    Сам не похвалишь - никто BSD не похвалит.

     
     
  • 3.14, пох (?), 15:07, 14/03/2018 [^] [ответить]    [к модератору]  
  • +/
    беда хейтеров - они даже не понимают, что читают.

    это была не похвала, ни разу.


     
  • 2.24, Аноним (-), 22:49, 14/03/2018 [^] [ответить]    [к модератору]  
  • –2 +/
    > Ну вы поняли, для чего он на самом деле вменяемым людям нужен? ;-)

    Наверное вопить из-под икспы что все зашибись, прекрасная маркиза.

     
     
  • 3.31, Аноним (-), 02:13, 15/03/2018 [^] [ответить]     [к модератору]  
  • +1 +/
    А нужно из под макоси, как в соседней новости про гном ... весь текст скрыт [показать]
     
  • 1.7, Аноним (-), 12:55, 14/03/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • –2 +/
    Молодцы. Сейчас накатим и ежедневную дозу таблеток от паранойи можно немного уменьшить.
     
     
  • 2.11, pavlinux (ok), 14:26, 14/03/2018 [^] [ответить]     [к модератору]  
  • –3 +/
    За эти три месяца вас сколько раз ломали Погодь, дай угадаю, 127 0 0 1 угу... весь текст скрыт [показать]
     
  • 1.13, pavlinux (ok), 14:32, 14/03/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • –2 +/
    Кстати, а Шланге jmp *(rax) добавили?
     
  • 1.18, iZEN (ok), 19:47, 14/03/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    % sysctl vm.pmap.pti
    vm.pmap.pti: 0
    % sysctl hw.ibrs_disable
    hw.ibrs_disable: 1
    - по умолчанию. Специально ничего не менял.
     
     
  • 2.22, пох (?), 22:29, 14/03/2018 [^] [ответить]     [к модератору]  
  • –2 +/
    я бы на твоем месте, прежде чем праздновать, взял бы да и померял, чем приходитс... весь текст скрыт [показать]
     
     
  • 3.25, Аноним (-), 22:52, 14/03/2018 [^] [ответить]     [к модератору]  
  • +/
    Ну что, ловим на слове Так что когда это тело придет вопить что линукс реwwето,... весь текст скрыт [показать]
     
     
  • 4.33, Аноним (-), 11:59, 15/03/2018 [^] [ответить]     [к модератору]  
  • +/
    Дорогой ребёнок, безопасность и установка всех существующих патчей не взирая на ... весь текст скрыт [показать]
     
  • 3.27, iZEN (ok), 23:25, 14/03/2018 [^] [ответить]     [к модератору]  
  • –1 +/
    14 03 2018 22 59 27 sysctl vm pmap pti vm pmap pti 0 7z b 7-Zip 64 16 ... весь текст скрыт [показать]
     
     
  • 4.28, anon686 (?), 23:39, 14/03/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    не показатель.  реальная нагрузка это когда прерывания, ввод-вывод сеть-диск и ядра процессора под 99.9.
     
     
  • 5.34, Аноним (-), 12:02, 15/03/2018 [^] [ответить]     [к модератору]  
  • +1 +/
    99 9 в реальной жизни это уже авария, но в целом верно нужны конкурентные тесты... весь текст скрыт [показать]
     
     
  • 6.39, пох (?), 16:44, 15/03/2018 [^] [ответить]    [к модератору]  
  • –2 +/
    >> не показатель.  реальная нагрузка это когда прерывания, ввод-вывод сеть-диск и ядра
    >> процессора под 99.9.
    > 99.9 в реальной жизни это уже авария, но в целом верно: нужны
    > конкурентные тесты ключевых подсистем с пиковой нагрузкой.

    с пиковой не нужны, нужны с рабочей. Если внезапно рабочая стала пиковой - ну опаньки, приехали значит.
    Если нет - можно жевать сопли дальше - ну, типа, электричество же бесплатное, видимость какой-то защщщыты дана, резерв мощностей есть.

    ну или для домашних систем - не видны ли тормоза в каких-то банальных местах, типа видео с ютрупа.

     
  • 4.29, пох (?), 00:03, 15/03/2018 [^] [ответить]    [к модератору]  
  • –1 +/
    > 7zip - тут не показатель. Тогда что ещё?

    зависит от того, для чего эта фря. если для ничего (а на то похоже, раз вообще возник такой тест) - вполне показатель. да, при таком использовании - вреда нет.
    если же, скажем, с нее какой веб раздавать, то и тестировать надо req/s vs cpu load.

    и, если тут такие еще остались - я намекал, что тестировать надо с патчем и без патча, а не патченную с отключеным  - можно, внезапно, получить довольно грустные результаты, как показал опыт коллеги с линуксом.

     
     
  • 5.30, iZEN (ok), 00:13, 15/03/2018 [^] [ответить]    [к модератору]  
  • +/
    >> 7zip - тут не показатель. Тогда что ещё?
    > зависит от того, для чего эта фря.

    Настольный мультимедийный компьютер.

     
     
  • 6.32, пох (?), 08:25, 15/03/2018 [^] [ответить]    [к модератору]  
  • –1 +/
    > Настольный мультимедийный компьютер.

    ну то есть - порнуху посмотреть, "кровосток" послушать, и вот, на опеннет иногда зайти?
    типовой la 0.01.

    так что тест вполне показателен - для этой задачи.


    включать при этом необязательно, ибо и тырить с такого компьютера - нечего, да и попытка будет замечена.

     
     
  • 7.37, iZEN (ok), 15:01, 15/03/2018 [^] [ответить]    [к модератору]  
  • –1 +/
    Ну всё. Я спокоен.

    UPD:
    А как заметить попытку?

     
     
  • 8.38, пох (?), 16:41, 15/03/2018 [^] [ответить]    [к модератору]  
  • –1 +/
    > А как заметить попытку?

    оно прожорливое.

     
  • 1.19, Аноним (-), 19:53, 14/03/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • –2 +/
    Ну вот, не прошло и года!
     
     
  • 2.21, Аноним (-), 21:18, 14/03/2018 [^] [ответить]    [к модератору]  
  • +7 +/
    > Ну вот, не прошло и года!

    Чуть менее 3 месяцев с момента репорта уязвимостей. А не полгода, как в этих ваших пингвинах.
    Просто "бздуны", в отличие от, видимо стали недостаточно хорошо проприерастам и другим старшим платиновым Папикам^W Партнерам подмах^W подыгрывать и им "забыли" сообщить заранее.

    Зато анонимы опеннета, несомненно - или лично нашли дыры и писали патчи. Или же хотя бы привлекали виляним попы^W грамотной рекламой Платиновых Друзей, которые и способствовали своевременному оповещению!
    Поэтому теперь с полным правом могут важно надувать щеки и вещать с важным видом "Мы пахали!" )


     
     
  • 3.23, пох (?), 22:31, 14/03/2018 [^] [ответить]    [к модератору]  
  • +/
    > Чуть менее 3 месяцев с момента репорта уязвимостей. А не полгода, как

    существенно меньше - потому что новость, если кто не понял, о том, что патчи попали уже и в окаменелый releng. Те, кому было надо и кто мог это себе позволить - получили их еще в феврале.

     
     
  • 4.41, Аноним (-), 19:17, 15/03/2018 [^] [ответить]     [к модератору]  
  • +3 +/
    По себе судишь, WSLщик Нету тут никаких пуссей, только эльфы А экзи - разве ч... весь текст скрыт [показать]
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor