Meltdown และ Spectre สิ่งเหล่านี้คือแนวโน้มของวันที่ผ่านมา แทบจะไม่มีอะไรถูกพูดถึงอีกเลย และไม่น่าแปลกใจเลย เนื่องจากอาจเป็นช่องโหว่ที่สำคัญที่สุดในประวัติศาสตร์ สิ่งเหล่านี้ส่งผลกระทบร้ายแรงต่อความปลอดภัยของระบบของเรา และหากระบบเป็นของบริษัทหรือคุณมีข้อมูลที่เกี่ยวข้อง ปัญหาก็จะยิ่งร้ายแรงมากขึ้น อย่างไรก็ตาม คิดอยู่เสมอว่ามีเพียงคอมพิวเตอร์เดสก์ท็อป แล็ปท็อป เซิร์ฟเวอร์ และซูเปอร์คอมพิวเตอร์เท่านั้นที่ได้รับผลกระทบแต่ความเสียหายยังขยายออกไปและส่งผลกระทบต่ออุปกรณ์อื่นๆ อีกมากมาย เช่น อุปกรณ์ที่ใช้คอร์ ARM รวมถึงแท็บเล็ต สมาร์ทโฟน และอุปกรณ์บางชนิด IoT อุตสาหกรรม , ระบบอัตโนมัติในบ้าน แม้กระทั่งรถยนต์ที่เชื่อมต่อ
อย่างที่คุณทราบกันดีว่ามันไม่ใช่สิ่งที่พิเศษสำหรับ Linux แต่อย่างใด แต่เป็นมากกว่า ส่งผลกระทบต่อระบบปฏิบัติการต่างๆนอกจากนี้ Microsoft Windows และ macOS ก็ได้รับผลกระทบโดยไม่ลืม iOS และ Android ดังนั้นจึงมีเพียงไม่กี่คนที่หลีกหนีภัยคุกคามเหล่านี้แม้ว่าจะเป็นเรื่องจริงที่สถาปัตยกรรมของ CPU บางตัวจะได้รับการยกเว้นและหากเรามีชิป AMD โอกาสในการใช้ประโยชน์จากช่องโหว่เหล่านี้อาจน้อยลง แต่ก็ไม่ได้หมายความว่าจะไม่มีความเสี่ยง
สถานการณ์ปัจจุบันของ Linux เป็นอย่างไร?
ลินุกซ์ขับเคลื่อนโลกโดยทั่วไปแม้ว่าหลายคนจะเชื่อว่ามันเป็นระบบที่ไม่ค่อยมีใครใช้ แต่มันตรงกันข้าม อาจเป็นไปได้ว่ามันล้มเหลวในแง่มุมที่สร้างขึ้นสำหรับเดสก์ท็อปและนั่นเป็นเพียงเซกเตอร์เดียวที่เป็นส่วนน้อยเมื่อเทียบกับ Windows ที่ยิ่งใหญ่และเทียบกับส่วนที่ดีที่ Mac มีหากเราไปที่อุปกรณ์ฝังตัวหรืออุปกรณ์ฝังตัว เซิร์ฟเวอร์ซูเปอร์คอมพิวเตอร์ ฯลฯ ลินุกซ์มีความโดดเด่นและเป็นเซิร์ฟเวอร์อินเทอร์เน็ตที่มีความสำคัญและหากไม่มีคุณก็สามารถพูดได้ว่าอินเทอร์เน็ตจะล่มสลาย ...
นั่นคือเหตุผลที่ใน Linux ตอบสนองก่อนหน้านี้ มากกว่าระบบอื่น ๆ ในการแก้ปัญหาที่ Meltdown และ Spectre อาจทิ้งไว้เบื้องหลัง แล้ว Linus Torvalds เขาพูดในเรื่องนี้ด้วยถ้อยคำที่รุนแรงกับ Intel และถ้าคุณดู LKML คุณจะเห็นว่ามันเป็นเรื่องที่น่ากังวลและเป็นคำสั่งของวันนี้ และคนมือขวาของเขาและหมายเลขสองในการพัฒนาเคอร์เนลลินุกซ์ Greg Kroah-Hartman ก็ทำเช่นกัน สำหรับข้อมูลเพิ่มเติมคุณสามารถปรึกษา บล็อกส่วนตัวของเขา คุณจะพบข้อมูลที่เพียงพอ
- Meltdown: โดยทั่วไป Greg ได้แสดงความคิดเห็นว่าเกี่ยวกับ Meltdown คุณสามารถจบบน x86 โดยเลือกที่จะรวม CONFIG_PAGE_TABLE_ISOLATION การแยกตารางหน้า (PTI) คอมพิวเตอร์ที่มีโปรเซสเซอร์ AMD ซึ่งไม่ได้รับผลกระทบควรหลีกเลี่ยงเพื่อหลีกเลี่ยงปัญหาเกี่ยวกับประสิทธิภาพ คุณอาจเคยทราบมาก่อนว่าคอมพิวเตอร์บางเครื่องที่มีชิป AMD หยุดการบูตเนื่องจากโปรแกรมแก้ไข Windows ได้สร้างปัญหาร้ายแรง PTI จะรวมอยู่ใน Linux 4.15 โดยค่าเริ่มต้น แต่เนื่องจากความสำคัญในแง่ของความปลอดภัยจะรวมอยู่ในเวอร์ชันก่อนหน้าเช่น LTS 4.14, 4.9 และ 4.4 ... แต่ต้องอดทนเพราะมันแสดงถึงงานที่ล้นมือสำหรับนักพัฒนา และพวกเขายังพบปัญหาในการแก้ไขเช่น vDSO ในการตั้งค่าเครื่องเสมือนบางอย่าง เกี่ยวกับ ARM64 ได้รับผลกระทบเล็กน้อยจาก Meltdown ซึ่งเป็นปัญหาสำคัญของ Intel ชิปของอุปกรณ์พกพาจำนวนมากและอุปกรณ์อื่น ๆ ก็ต้องการแพตช์เช่นกันแม้ว่าดูเหมือนว่าจะไม่รวมกับเคอร์เนลทรีหลักในระยะสั้น (อาจเป็นใน Linux 4.16 แม้ว่า Greg จะให้ความเห็นว่าอาจไม่มีวันมาถึงเนื่องจากจำนวนข้อกำหนดเบื้องต้นที่ต้องได้รับการอนุมัติแพตช์) ดังนั้นจึงขอแนะนำให้ใช้เมล็ดเฉพาะนั่นคือ Android Common Kernel ในสาขา 3.18, 4.4 และ 4.9 .
- สเปกตรัม: ปัญหาอื่น ๆ ส่งผลกระทบต่อสถาปัตยกรรมมากขึ้นและมีความซับซ้อนมากขึ้นในการจัดการ ดูเหมือนว่าเราจะไม่มีทางออกที่ดีในระยะสั้นและเราจะต้องอยู่ร่วมกับปัญหานี้ไปอีกสักพัก ในสองรูปแบบจำเป็นต้องมีการติดตั้งระบบและชุมชนการพัฒนาบางแห่งของ Distros บางแห่งได้เริ่มปล่อยแพตช์เพื่อบรรเทาปัญหาดังกล่าวแล้ว แต่โซลูชันที่มีให้นั้นมีความหลากหลายและในขณะนี้ระบบจะไม่ถูกรวมเข้าเป็นส่วนหนึ่งของสาขาหลัก ของเคอร์เนลจนกว่าจะเห็นโซลูชันที่ดีที่สุดก่อนที่นักออกแบบ CPU จะคิดหาทางออกที่ดีที่สุด (ออกแบบชิปของพวกเขาใหม่) มีการศึกษาแนวทางแก้ไขและพบปัญหาระหว่างทางเช่นความไม่รู้ที่มากขึ้นเกี่ยวกับ Spectre นักพัฒนาต้องใช้เวลาในการหาวิธีจัดการกับปัญหาและ Greg เองก็ได้แสดงความคิดเห็นว่า“นี่จะเป็นส่วนหนึ่งของการวิจัยในอีกไม่กี่ปีข้างหน้าเพื่อหาวิธีบรรเทาปัญหาที่อาจเกิดขึ้นเกี่ยวกับฮาร์ดแวร์ซึ่งจะพยายามคาดการณ์ปัญหาเหล่านี้ในอนาคตก่อนที่จะเกิดขึ้น"
- Chromebooks- หากคุณมีแล็ปท็อป Google คุณจะดีใจที่ทราบว่าคุณสามารถเห็นสถานะของงานที่พวกเขากำลังทำเพื่อแก้ปัญหา Meltdown ในรายการนี้.
ฉันจะตรวจสอบได้อย่างไรว่าฉันได้รับผลกระทบหรือไม่?
เพื่อไม่ให้ไปทั่วตารางการให้คำปรึกษาหรือรายการไมโครโปรเซสเซอร์ที่นี่ เราเสนอสคริปต์ ที่พวกเขาสร้างขึ้นเพื่อให้สามารถตรวจสอบได้อย่างง่ายดายว่าเราได้รับผลกระทบหรือไม่เพียงแค่ดาวน์โหลดและเรียกใช้งานและมันจะบอกเราว่าเรากำลังตกอยู่ในอันตรายจาก Spectre และ Meltdown หรือไม่ คำแนะนำหรือขั้นตอนในการปฏิบัติตามนั้นง่ายมาก:
git clone https://github.com/speed47/spectre-meltdown-checker.git cd spectre-meltdown-checker/ sudo sh spectre-meltdown-checker.sh
หลังจากดำเนินการแล้วกล่องสีแดงจะปรากฏขึ้นเพื่อระบุว่าเราเสี่ยงต่อการ Meltdown หรือ Spectre หรือตัวบ่งชี้สีเขียวในกรณีที่เราปลอดภัยจาก รูปแบบของช่องโหว่เหล่านี้. ในกรณีของฉันเช่นมี AMD APU (โดยไม่ต้องอัปเดตระบบ) ผลลัพธ์ที่ได้คือ:
ในกรณีที่ผลลัพธ์เป็น VULNERABLE สีแดงโปรดอ่านหัวข้อต่อไปนี้ ...
จะทำอย่างไรถ้าฉันได้รับผลกระทบ?
วิธีแก้ปัญหาที่ดีที่สุดก็คือการเปลี่ยนไปใช้ซีพียูหรือไมโครโปรเซสเซอร์ที่ไม่ได้รับผลกระทบจากปัญหา แต่ไม่สามารถทำได้สำหรับผู้ใช้หลายคนเนื่องจากไม่มีงบประมาณหรือเหตุผลอื่น ๆ นอกจากนี้ผู้ผลิตเช่น Intel พวกเขายังคงขายไมโครโปรเซสเซอร์ที่ได้รับผลกระทบ และที่เพิ่งเปิดตัวไปเมื่อเร็ว ๆ นี้เช่น Coffee Lake เนื่องจาก microarchitectures มักจะมีระยะเวลาในการพัฒนาที่ยาวนานและตอนนี้พวกเขากำลังดำเนินการออกแบบ microarchitectures ในอนาคตที่จะปรากฏในตลาดในอีกไม่กี่ปีข้างหน้า แต่ชิปทั้งหมดที่วางจำหน่ายในเชิงพาณิชย์ในตอนนี้และ ที่อาจจะวางจำหน่ายในเชิงพาณิชย์ในอีกไม่กี่เดือนข้างหน้าจะยังคงได้รับผลกระทบในระดับฮาร์ดแวร์
ดังนั้นในกรณีที่ป่วยเป็นโรคนี้และจำเป็นต้อง "แก้ไข" เราไม่มีทางเลือกอื่นนอกจากการแก้ไขระบบปฏิบัติการของเรา (อย่าลืมเบราว์เซอร์ ฯลฯ ) ไม่ว่าจะเป็นอะไรก็ตามและยังอัปเดตทั้งหมด ซอฟต์แวร์ที่เรามี หากมีการกำหนดค่าที่ดี ระบบอัพเดต มันสำคัญมากอยู่แล้วตอนนี้คุณต้องติดตามการอัปเดตมากกว่าที่เคยเนื่องจากแพตช์เหล่านี้จะมาพร้อมกับแพตช์ที่ช่วยแก้ปัญหา Meltdown และ Spectre จากฝั่งซอฟต์แวร์ไม่ใช่โดยไม่สูญเสียประสิทธิภาพอย่างที่เราได้กล่าวไปแล้ว ..
การแก้ปัญหาไม่ซับซ้อนสำหรับผู้ใช้เราไม่ต้องทำอะไร "พิเศษ" เพียงแค่ตรวจสอบให้แน่ใจว่าผู้พัฒนา distro ของเราได้เปิดตัวการอัปเดตสำหรับ Meltdown และ Spectre และเราได้ติดตั้งแล้ว ข้อมูลเพิ่มเติมเกี่ยวกับเรื่องนี้.
หากคุณต้องการคุณสามารถตรวจสอบว่ามีการติดตั้งโปรแกรมแก้ไขหรือไม่ (หากจำเป็น) สำหรับ Meltdown บน distro ของคุณด้วยคำสั่งนี้:
dmesg | grep "Kernel/User page tables isolation: enabled" && echo "Tienes el parche! :)" || echo "Ooops...no tienes la actualización instalada en tu kernel! :("
*ระวังเคอร์เนล Ubuntu 4.4.0-108-genericผู้ใช้บางรายได้รายงานปัญหาในคอมพิวเตอร์ของตนเมื่อทำการบูทหลังการอัปเดตและต้องเปลี่ยนกลับไปใช้เวอร์ชันก่อนหน้า Canonical ดูเหมือนจะแก้ไขได้ใน 4.4.0-109-generic ...
การสูญเสียประสิทธิภาพ: มีการพูดถึง 30% ในบางกรณี แต่จะขึ้นอยู่กับสถาปัตยกรรมขนาดเล็ก ในสถาปัตยกรรมรุ่นเก่าการสูญเสียประสิทธิภาพอาจรุนแรงมากเนื่องจากประสิทธิภาพที่เพิ่มขึ้นของสถาปัตยกรรมเหล่านี้ส่วนใหญ่มาจากการปรับปรุงที่ได้รับจากการดำเนินการของ OoOE และ TLB ... ในสถาปัตยกรรมที่ทันสมัยกว่าจะมีการพูดถึงระหว่าง 2% ถึง 6% ขึ้นอยู่กับประเภทของซอฟต์แวร์ที่ทำงานสำหรับผู้ใช้ตามบ้านความสูญเสียในศูนย์ข้อมูลอาจสูงกว่ามาก (มากกว่า 20%) ตามที่ Intel ได้รับการยอมรับหลังจากดูสิ่งที่กำลังจะเกิดขึ้นกับพวกเขาประสิทธิภาพของโปรเซสเซอร์ก่อน Haswell (2015) ประสิทธิภาพที่ลดลงจะแย่กว่านั้นมากถึง 6% แม้กระทั่งสำหรับผู้ใช้ปกติ ...
อย่าลืมที่จะแสดงความคิดเห็นของคุณ มีข้อสงสัยหรือข้อเสนอแนะ ...
โพสต์ที่ดีมากขอบคุณมากและขอแสดงความยินดี ด้วย AMD APU ฉันรันสคริปต์และทุกอย่างก็เรียบร้อยดี มะนาวบางส่วนทรายอื่น ๆ : และคิดว่าตอนที่ฉันเข้าร่วมทีมนี้เป็นเพราะโปรโมชั่นที่ยอดเยี่ยมที่ปรากฏเมื่อหลายปีก่อนในร้านค้าในเครือและเมื่อเวลาผ่านไปฉันสาปแช่งโชคชะตาของฉันเนื่องจากนรกอาศัยอยู่โดยไดรเวอร์ AMD ที่เป็นกรรมสิทธิ์ของ GNU / Linux (หลังจากหมดอายุฉันเลือกที่จะมอบไดร์เวอร์ฟรีให้ตัวเองและฉันมีความสุขมันทำงานได้ดีกว่า Windows 10) ฉันมีเพื่อนที่ได้รับผลกระทบอย่างมากจากปัญหาและอุปกรณ์ของพวกเขากลับไปสู่ยุค Pentium 4 โดยมีโปรเซสเซอร์ i3 และ i5
เครื่องมือตรวจจับการลดขนาดของ Spectre และ Meltdown v0.28
การตรวจหาช่องโหว่จากการรันเคอร์เนล Linux 4.14.12-1-MANJARO # 1 SMP PREEMPT ส. 6 ม.ค. 21:03:39 UTC 2018 x86_64
CPU คือ Intel (R) Core (TM) i5-2435M CPU @ 2.40GHz
CVE-2017-5753 [ขอบเขตตรวจสอบบายพาส] aka 'Spectre Variant 1'
* การตรวจสอบจำนวน opcodes ของ LFENCE ในเคอร์เนล: NO
> สถานะ: VULNERABLE (พบเพียง 21 opcodes ควรเป็น> = 70 ฮิวริสติกจะได้รับการปรับปรุงเมื่อมีแพตช์อย่างเป็นทางการ)
CVE-2017-5715 [การฉีดเป้าหมายสาขา] aka 'Spectre Variant 2'
* การบรรเทาทุกข์ 1
* การสนับสนุนฮาร์ดแวร์ (ไมโครโค้ด CPU) สำหรับการบรรเทา: NO
* การสนับสนุนเคอร์เนลสำหรับ IBRS: NO
* เปิดใช้งาน IBRS สำหรับพื้นที่เคอร์เนล: NO
* เปิดใช้งาน IBRS สำหรับพื้นที่ผู้ใช้: NO
* การบรรเทาทุกข์ 2
* เคอร์เนลรวบรวมด้วยตัวเลือก retpoline: NO
* เคอร์เนลคอมไพเลอร์ด้วยคอมไพเลอร์ retpoline-awareness: NO
> สถานะ: ช่องโหว่ (ฮาร์ดแวร์ IBRS + การสนับสนุนเคอร์เนลหรือเคอร์เนลที่มี retpoline เป็นสิ่งจำเป็นเพื่อลดช่องโหว่)
CVE-2017-5754 [โหลดแคชข้อมูลโกง] aka 'Meltdown' aka 'Variant 3'
* เคอร์เนลรองรับการแยกตารางเพจ (PTI): ใช่
* เปิดใช้งานและใช้งาน PTI: ใช่
> สถานะ: ไม่เป็นช่องโหว่ (PTI ช่วยลดช่องโหว่)
ความรู้สึกปลอดภัยที่ผิดพลาดนั้นเลวร้ายยิ่งกว่าการไม่มีความปลอดภัยเลยโปรดดูที่ข้อจำกัดความรับผิดชอบ
ในส่วนนี้ฉันตอบว่าใช่และในภาพที่คุณบอกว่าไม่
* เปิดใช้งานและใช้งาน PTI: ใช่
ฉันควรทำอย่างไรดี
สวัสดี
ฉันไม่ได้ใช้ Manjaro แต่ฉันคิดว่าพวกเขาจะทำการอัปเดต ดังนั้นให้ระบบของคุณทันสมัยที่สุด เคอร์เนลเวอร์ชันล่าสุดยังใช้โซลูชันหากคุณต้องการติดตั้ง ...
คำอวยพรและขอบคุณที่อ่าน!
ใน Ubuntu พวกเขาแก้ไขปัญหา Meltdown ด้วยการอัปเดตเคอร์เนล 4.13.0
ฉันใช้ Peppermint 8 และทำการทดสอบช่องโหว่ Meltdown ไม่ทำให้ฉันเสี่ยงอีกต่อไป
อาศิรพจน์
เครื่องมือตรวจจับการลดขนาดของ Spectre และ Meltdown v0.28
ตรวจหาช่องโหว่จากการรันเคอร์เนล Linux 4.14.13-041413-generic # 201801101001 SMP พ. 10 ม.ค. 10:02:53 UTC 2018 x86_64
CPU คือ AMD A6-7400K Radeon R5, 6 Compute Cores 2C + 4G
CVE-2017-5753 [ขอบเขตตรวจสอบบายพาส] aka 'Spectre Variant 1'
* การตรวจสอบจำนวน opcodes ของ LFENCE ในเคอร์เนล: NO
> สถานะ: VULNERABLE (พบเพียง 29 opcodes ควรเป็น> = 70 ฮิวริสติกจะได้รับการปรับปรุงเมื่อมีแพตช์อย่างเป็นทางการ)
CVE-2017-5715 [การฉีดเป้าหมายสาขา] aka 'Spectre Variant 2'
* การบรรเทาทุกข์ 1
* การสนับสนุนฮาร์ดแวร์ (ไมโครโค้ด CPU) สำหรับการบรรเทา: NO
* การสนับสนุนเคอร์เนลสำหรับ IBRS: NO
* เปิดใช้งาน IBRS สำหรับพื้นที่เคอร์เนล: NO
* เปิดใช้งาน IBRS สำหรับพื้นที่ผู้ใช้: NO
* การบรรเทาทุกข์ 2
* เคอร์เนลรวบรวมด้วยตัวเลือก retpoline: NO
* เคอร์เนลคอมไพเลอร์ด้วยคอมไพเลอร์ retpoline-awareness: NO
> สถานะ: ไม่เป็นช่องโหว่ (ผู้จำหน่าย CPU ของคุณรายงานว่ารุ่น CPU ของคุณไม่มีช่องโหว่)
CVE-2017-5754 [โหลดแคชข้อมูลโกง] aka 'Meltdown' aka 'Variant 3'
* เคอร์เนลรองรับการแยกตารางเพจ (PTI): ใช่
* เปิดใช้งานและใช้งาน PTI: NO
> สถานะ: ไม่เป็นช่องโหว่ (ผู้จำหน่าย CPU ของคุณรายงานว่ารุ่น CPU ของคุณไม่มีช่องโหว่)
ความรู้สึกปลอดภัยที่ผิดพลาดนั้นเลวร้ายยิ่งกว่าการไม่มีความปลอดภัยเลยโปรดดูที่ข้อจำกัดความรับผิดชอบ
นั่นคือการแก้ไขเคอร์เนลล่าสุดไม่ใช่หรือ?
ความนับถือ
มีวิธีวัดผลว่าประสิทธิภาพมีผลกับเราก่อนและหลังใช้แพทช์ไหม ???