Re: Ancora su Spectre e Meltdown: intel pubblica lista processori che riceveranno update
Nel link Intel che hai indicato il processore é marcato come "discontinued" nel campo "status". Quindi penso sia fuori produzione. Quello che mi stupisce é il rifiuto degli altri marchi di approfittare di questo momento di estrema debolezza di Intel. Questo potrebbe essere un momento d'oro per IBM PowerPC o per AMD, e invece sono tutti silenziosi. Puó darsi che il problema sia molto piú grande di quello che si é capito fino ad ora. Ho il dubbio che investa gli ultimi 10 anni di teoria e architettura dei processori. Sono curioso di vedere da dove ripartiranno i nuovi processori che avranno risolto il problema. On 05/04/18 19:24, Davide Prina wrote: > On 05/04/2018 10:47, Antonio Rendina wrote: >> Ne ho guardate solo alcune, ma mi sembra che siano tutte CPU di almeno 8 >> anni... > > ma guardando il mio processore sul sito Intel[1] risulta ancora > presente il prezzo consigliato (quindi è ancora in produzione o hanno > ancora fondi di magazzino che stanno vendendo). Inoltre guardando su > Amazon[2] ci sono commenti del settembre 2017 (probabilmente anche > 2018) di persone che l'hanno comprato e che ne sono soddisfatte. > E ho visto che è in vendita su vari e-commerce.[5] > > Guardando su www.cpubenchmark.net, anche se le sue prestazioni sono > scarse, risulta però il migliore processore intel per CPU Mark / > prezzo[3] (statistiche 5 aprile 2018). > > Quindi se è ancora consigliato il prezzo da intel, è in vendita su > siti e-commerce, è il miglior processore intel per CPU Mark / prezzo > ed è ancora monitorato... vuol dire che ha ancora mercato attualmente. > > Se intel mi dice che questo è troppo vecchio, poiché la produzione > l'ha iniziata nel 4 trimestre 2008, e quindi non offrirà upgrade al > microcode, dovrebbe spiegarmi come mai lo stia ancora vendendo. Forse > dovrebbe avvertire che chi compra dei suoi prodotti che vende > attualmente non avranno nessun supporto... e che sono bacati. > > Poi, altra chicca, che ho letto tempo fa: a fine anno dovrebbero > uscire i nuovi processori intel che dovrebbero aver integrato le patch > per due delle tre varianti di spectre/meltdown[6], ma inizialmente > solo per i processori per i server. E se non ho capito male ci saranno > soltanto le mitigazioni e non la soluzione del problema. > > Quindi intel dice, in pratica, comprate i nuovi processori, ma se > compri gli attuali non hanno nulla già pronto, dovrai installarti le > mitigazioni (sempre se sarai fortunato e non smetterà di produrle per > il processore che stai comprando), se aspetti fine anno, avrai due > mitigazioni di serie, ma soltanto per i server... e se aspetti, > probabilmente 4-5 anni avrai, forse, delle CPU che non avranno di > questi problemi... > > Ciao > Davide > > [1] > https://ark.intel.com/products/35428/Intel-Core2-Quad-Processor-Q9650-12M-Cache-3_00-GHz-1333-MHz-FSB > > > > [2] > https://www.amazon.com/Intel-Q9650-Processor-3-0GHz-1333MHz/dp/B00OXXBUIG > > [3] > https://www.cpubenchmark.net/cpu.php?cpu=Intel+Core2+Quad+Q9650+%40+3.00GHz > > > [5] > https://www.amazon.com/Intel-Q9650-Processor-3-0GHz-1333MHz/dp/B00OXXBUIG > https://www.bestbuy.com/site/searchpage.jsp?id=pcat17071=intel+core+2+quad+q9650 > > > > [6] > http://rss.slashdot.org/~r/Slashdot/slashdot/~3/-29-VuPGyaU/intel-says-partitions-in-new-chips-will-correct-the-design-flaw-that-created-spectre-and-meltdown > > >
Re: Ancora su Spectre e Meltdown: intel pubblica lista processori che riceveranno update
On 05/04/2018 10:47, Antonio Rendina wrote: Ne ho guardate solo alcune, ma mi sembra che siano tutte CPU di almeno 8 anni... ma guardando il mio processore sul sito Intel[1] risulta ancora presente il prezzo consigliato (quindi è ancora in produzione o hanno ancora fondi di magazzino che stanno vendendo). Inoltre guardando su Amazon[2] ci sono commenti del settembre 2017 (probabilmente anche 2018) di persone che l'hanno comprato e che ne sono soddisfatte. E ho visto che è in vendita su vari e-commerce.[5] Guardando su www.cpubenchmark.net, anche se le sue prestazioni sono scarse, risulta però il migliore processore intel per CPU Mark / prezzo[3] (statistiche 5 aprile 2018). Quindi se è ancora consigliato il prezzo da intel, è in vendita su siti e-commerce, è il miglior processore intel per CPU Mark / prezzo ed è ancora monitorato... vuol dire che ha ancora mercato attualmente. Se intel mi dice che questo è troppo vecchio, poiché la produzione l'ha iniziata nel 4 trimestre 2008, e quindi non offrirà upgrade al microcode, dovrebbe spiegarmi come mai lo stia ancora vendendo. Forse dovrebbe avvertire che chi compra dei suoi prodotti che vende attualmente non avranno nessun supporto... e che sono bacati. Poi, altra chicca, che ho letto tempo fa: a fine anno dovrebbero uscire i nuovi processori intel che dovrebbero aver integrato le patch per due delle tre varianti di spectre/meltdown[6], ma inizialmente solo per i processori per i server. E se non ho capito male ci saranno soltanto le mitigazioni e non la soluzione del problema. Quindi intel dice, in pratica, comprate i nuovi processori, ma se compri gli attuali non hanno nulla già pronto, dovrai installarti le mitigazioni (sempre se sarai fortunato e non smetterà di produrle per il processore che stai comprando), se aspetti fine anno, avrai due mitigazioni di serie, ma soltanto per i server... e se aspetti, probabilmente 4-5 anni avrai, forse, delle CPU che non avranno di questi problemi... Ciao Davide [1] https://ark.intel.com/products/35428/Intel-Core2-Quad-Processor-Q9650-12M-Cache-3_00-GHz-1333-MHz-FSB [2] https://www.amazon.com/Intel-Q9650-Processor-3-0GHz-1333MHz/dp/B00OXXBUIG [3] https://www.cpubenchmark.net/cpu.php?cpu=Intel+Core2+Quad+Q9650+%40+3.00GHz [5] https://www.amazon.com/Intel-Q9650-Processor-3-0GHz-1333MHz/dp/B00OXXBUIG https://www.bestbuy.com/site/searchpage.jsp?id=pcat17071=intel+core+2+quad+q9650 [6] http://rss.slashdot.org/~r/Slashdot/slashdot/~3/-29-VuPGyaU/intel-says-partitions-in-new-chips-will-correct-the-design-flaw-that-created-spectre-and-meltdown -- Dizionari: http://linguistico.sourceforge.net/wiki Fate una prova di guida ... e tenetevi la macchina!: http://linguistico.sf.net/wiki/doku.php?id=usaooo2 Non autorizzo la memorizzazione del mio indirizzo su outlook
Re: Ancora su Spectre e Meltdown: intel pubblica lista processori che riceveranno update
Immagino che siano alla fine del loro ciclo di vita On 05/04/18 13:14, Felipe Salvador wrote: > On Thu, Apr 05, 2018 at 08:47:39AM +, Antonio Rendina wrote: >> Ne ho guardate solo alcune, ma mi sembra che siano tutte CPU di almeno 8 >> anni... > Quindi? > >> Ciao >> Antonio >> >> On 04/04/18 19:56, Davide Prina wrote: >>> cosa veramente assurda, intel ha pubblicato la lista dei processori >>> che riceveranno e quelli che non riceveranno gli update del microcode >>> per la sicurezza contro meltdown/spectre[1] >>> >>> Per quelli "abbandonati" il motivo ufficiale va da "risidegnare la >>> micro architettura della CPU è impossibile o non ne vale lo sforzo" a >>> "è una CPU vecchia e gli utenti dicono che non ne hanno bisogno"[2] >>> >>> Il mio processore, del PC principale, è nella lista dei soppressi... e >>> io ne ho bisogno... >>> >>> Bisognerebbe organizzare un invio di mail di massa per far sapere che >>> ci sono utenti con idee diverse da quelle da loro pubblicate >>> >>> Ciao >>> Davide >>> >>> [1] https://newsroom.intel.com/microcode >>> [2] >>> https://it.slashdot.org/story/18/04/04/1333252/intel-says-some-cpu-models-will-never-receive-microcode-updates >>>
Re: Ancora su Spectre e Meltdown: intel pubblica lista processori che riceveranno update
On Thu, Apr 05, 2018 at 08:47:39AM +, Antonio Rendina wrote: > Ne ho guardate solo alcune, ma mi sembra che siano tutte CPU di almeno 8 > anni... Quindi? > Ciao > Antonio > > On 04/04/18 19:56, Davide Prina wrote: > > cosa veramente assurda, intel ha pubblicato la lista dei processori > > che riceveranno e quelli che non riceveranno gli update del microcode > > per la sicurezza contro meltdown/spectre[1] > > > > Per quelli "abbandonati" il motivo ufficiale va da "risidegnare la > > micro architettura della CPU è impossibile o non ne vale lo sforzo" a > > "è una CPU vecchia e gli utenti dicono che non ne hanno bisogno"[2] > > > > Il mio processore, del PC principale, è nella lista dei soppressi... e > > io ne ho bisogno... > > > > Bisognerebbe organizzare un invio di mail di massa per far sapere che > > ci sono utenti con idee diverse da quelle da loro pubblicate > > > > Ciao > > Davide > > > > [1] https://newsroom.intel.com/microcode > > [2] > > https://it.slashdot.org/story/18/04/04/1333252/intel-says-some-cpu-models-will-never-receive-microcode-updates > > -- Felipe Salvador
Re: Ancora su Spectre e Meltdown: intel pubblica lista processori che riceveranno update
Ne ho guardate solo alcune, ma mi sembra che siano tutte CPU di almeno 8 anni... Ciao Antonio On 04/04/18 19:56, Davide Prina wrote: > cosa veramente assurda, intel ha pubblicato la lista dei processori > che riceveranno e quelli che non riceveranno gli update del microcode > per la sicurezza contro meltdown/spectre[1] > > Per quelli "abbandonati" il motivo ufficiale va da "risidegnare la > micro architettura della CPU è impossibile o non ne vale lo sforzo" a > "è una CPU vecchia e gli utenti dicono che non ne hanno bisogno"[2] > > Il mio processore, del PC principale, è nella lista dei soppressi... e > io ne ho bisogno... > > Bisognerebbe organizzare un invio di mail di massa per far sapere che > ci sono utenti con idee diverse da quelle da loro pubblicate > > Ciao > Davide > > [1] https://newsroom.intel.com/microcode > [2] > https://it.slashdot.org/story/18/04/04/1333252/intel-says-some-cpu-models-will-never-receive-microcode-updates >
Re: Ancora su Spectre e Meltdown: intel pubblica lista processori che riceveranno update
cosa veramente assurda, intel ha pubblicato la lista dei processori che riceveranno e quelli che non riceveranno gli update del microcode per la sicurezza contro meltdown/spectre[1] Per quelli "abbandonati" il motivo ufficiale va da "risidegnare la micro architettura della CPU è impossibile o non ne vale lo sforzo" a "è una CPU vecchia e gli utenti dicono che non ne hanno bisogno"[2] Il mio processore, del PC principale, è nella lista dei soppressi... e io ne ho bisogno... Bisognerebbe organizzare un invio di mail di massa per far sapere che ci sono utenti con idee diverse da quelle da loro pubblicate Ciao Davide [1] https://newsroom.intel.com/microcode [2] https://it.slashdot.org/story/18/04/04/1333252/intel-says-some-cpu-models-will-never-receive-microcode-updates
Re: 4 classi di vulnerabilità sui processori AMD Ryzen e Epyc (ERA: Ancora su Spectre e Meltdown (variante SgxSpectre))
Sono state scoperte 13 vulnerabilità critiche suddivise in 4 classi di vulnerabilità su CPU AMD[1]. Interessante il video[2] e per saperne di più c'è un sito[3] che spiega in dettaglio i bug scoperti. Da quel poco che ho capito fin'ora questi sono peggiori di Spectre e Meltdown (si parla di backdoor, di infiltrarsi nella parte centrale del processore senza essere intercettati, di installare malware, ...). Però per poterli sfruttare, se non ho capito male, bisogna avere accesso fisico alla macchina (quindi o ti consegnano la macchina già compromessa o l'attaccante deve poter accedere dopo che tu l'hai comprata, ad esempio un centro di riparazione, un tecnico, un intruso nella sala server o dove tieni il tuo PC/mobile personale, ...) in un caso e negli altri 3 deve essere eseguito un programma con privilegi di amministratore (si parla di m$). La cosa strana è che ad AMD sono state date 24 ore da quando è stata informata a quando sono state rese pubbliche queste vulnerabilità. C'è chi dice che è una start-up che sta cercando clienti e chi dice che è un attacco sulla azioni AMD. Altri dicono che potrebbe essere che i bug sono attualmente sfruttati, o c'è sentore che lo siano, e per questo sono stati resi pubblici subito. Il sito[3] è stato registrato circa 6 mesi fa, quindi questa società era a conoscenza di alcuni di questi problemi almeno da 6 mesi. Non c'è ancora conferma di AMD sui bug. Ciao Davide [1] https://it.slashdot.org/story/18/03/13/1558221/researchers-find-critical-vulnerabilities-in-amds-ryzen-and-epyc-processors-but-they-gave-the-chipmaker-only-24-hours-before-making-the-findings-public [2] https://www.youtube.com/watch?v=pgYhOwikuGQ [3] https://amdflaws.com/
Re: Ancora su Spectre e Meltdown (variante SgxSpectre)
È stata scoperta una nuova variante denominata SgxSpectre[1] sull'architettura Intel® SGX[2]. Questo dimostra che metodi per aumentare la sicurezza possono essere minati alla fonte (CPU) e quindi essere insicuri. Sembra che le patch rilasciate da Intel siano aggirabili con questo attacco, mentre l'unica mitigazione funzionante sembra che sia la ricompilazione con retpoline... mi sa che fra un po' avremo l'intero sistema compilato con retpoline: prima ti fanno CPU che, mediante metodi predittivi e sfruttamento delle fasi idle delle CPU/CORE aumentano le prestazioni, poi ti fanno software che, per coprire bug di sicurezza hardware, ti rallentano qualsiasi applicativo :-( Ciao Davide [1] https://it.slashdot.org/story/18/03/10/0446211/sgxspectre-attack-can-extract-data-from-intel-sgx-enclaves [2] https://software.intel.com/en-us/sgx
Re: Ancora su Spectre e Meltdown (compilare tutti i pacchetti con retpoline?)
On 24/02/2018 11:16, Mattia Oss wrote: Scusami, intendevo una lista di opzioni del kernel da abilitare per mitigare le vulnerabilità spectre e meltdown. dovrebbero essere queste $ grep ISOL /boot/config-$(uname -r) CONFIG_MEMORY_ISOLATION=y CONFIG_PAGE_TABLE_ISOLATION=y poi però non so se ve ne siano altre... e di nuove potrebbero esserne introdotte con il passare del tempo. Nota: puoi abilitare/disabilitare da grub l'ISOLATION però devi avere anche il compilatore in grado di compilare con determinate opzioni (es: per retpoline) puoi installare e usare questo script per vedere verso quali varianti è protetto attualmente la versione di Linux che hai installato: spectre-meltdown-checker ad esempio dice: "Kernel is compiled with IBRS/IBPB" tieni conto che hanno scoperto pochi giorni fa altre varianti. Ciao Davide -- Dizionari: http://linguistico.sourceforge.net/wiki Petizione contro il formato ms-ooxml: http://www.noooxml.org/petition Non autorizzo la memorizzazione del mio indirizzo su outlook
Re: Ancora su Spectre e Meltdown (compilare tutti i pacchetti con retpoline?)
On Sat, Feb 24, 2018 at 10:19:08AM +0100, Davide Prina wrote: > On 24/02/2018 00:38, Mattia Oss wrote: > > > Esiste una lista di tutte le opzioni da abilitare nel kernel per chi se > > lo ricompila? > > quando lo ricompili le puoi settare una ad una, ma per capire esattamente > cosa fa ognuna devi studiare molto Scusami, intendevo una lista di opzioni del kernel da abilitare per mitigare le vulnerabilità spectre e meltdown.
Re: Ancora su Spectre e Meltdown (compilare tutti i pacchetti con retpoline?)
On 24/02/2018 00:38, Mattia Oss wrote: Esiste una lista di tutte le opzioni da abilitare nel kernel per chi se lo ricompila? quando lo ricompili le puoi settare una ad una, ma per capire esattamente cosa fa ognuna devi studiare molto Per vedere la tua configurazione attuale: $ less /boot/config-$(uname -r) Per vedere documentazione ufficiale installa il pacchetto linux-doc Prima della compilazione puoi invocare un'interfaccia per modificare le singole opzioni di compilazione. Una volta c'erano queste due modalità, ora è un bel po' che non lo ricompilo più (l'ultimo è stato il 2.6.38) e non so se è cambiato qualcosa. $ make xconfig oppure $ make menuconfig Ciao Davide -- Dizionari: http://linguistico.sourceforge.net/wiki Esci dall'illegalità: utilizza LibreOffice/OpenOffice: http://linguistico.sf.net/wiki/doku.php?id=usaooo Non autorizzo la memorizzazione del mio indirizzo su outlook
Re: Ancora su Spectre e Meltdown (compilare tutti i pacchetti con retpoline?)
On Fri, Feb 23, 2018 at 08:13:07PM +0100, Davide Prina wrote: > On 18/01/2018 23:07, Luca Costantino wrote: > > interessante risposta sulla domanda: saranno compilati tutti i pacchetti con > retpoline abilitato: Esiste una lista di tutte le opzioni da abilitare nel kernel per chi se lo ricompila?
Re: Ancora su Spectre e Meltdown (compilare tutti i pacchetti con retpoline?)
On 18/01/2018 23:07, Luca Costantino wrote: interessante risposta sulla domanda: saranno compilati tutti i pacchetti con retpoline abilitato: The immediate specific need for the GCC update in oldstable and stable is the Linux kernel, there are no plans to rebuild other packages in released distributions at this point. We might add this to the dpkg-buildflags default flags for buster as a generic hardening measure, but that requires additional work/consideration/discussion. Fortunately the buster freeze is still quite some time away, so we're in the comfortable position to evaluate without time pressure. Traduco brevemente: su stable/oldstable non c'è nessun piano. Potrebbero pensare di abilitare il flag di default su testing, ma devono ancora pensarci e valutare bene Ciao Davide -- Dizionari: http://linguistico.sourceforge.net/wiki Database: http://www.postgresql.org GNU/Linux User: 302090: http://counter.li.org Non autorizzo la memorizzazione del mio indirizzo su outlook
Re: Ancora su Spectre e Meltdown: scoperte nuove varianti
On 22/02/2018 11:12, Portobello wrote: https://www.debian.org/releases/stable/errata.it.html Consigliano di usare anche il repo proposed-updates # proposed additions for a 9 point release deb http://archive.debian.org/debian stretch-proposed-updates main contrib non-free questo ti permette di avere subito, appena sono disponibili, i pacchetti modificati per stable, ma non ancora rilasciati perché potrebbero non essere ancora testati completamente. Hai il vantaggio di avere prima gli aggiornamenti, ma lo svantaggio che quello che stai installando potrebbe causarti problemi o non essere sicuro al 100% perché non ancora verificato completamente. Ciao Davide -- Dizionari: http://linguistico.sourceforge.net/wiki Client di posta: http://www.mozilla.org/products/thunderbird GNU/Linux User: 302090: http://counter.li.org Non autorizzo la memorizzazione del mio indirizzo su outlook
Re: Ancora su Spectre e Meltdown: scoperte nuove varianti
Il 21/02/2018 19:31, Davide Prina ha scritto: > scoperte nuove varianti per Spectre e Meltdown[1]. Schneier dice che a > livello software la mitigazione attuale blocca anche questi (ma i > ricercatori da lui indicati dicono in realtà che "is largely the same", > cioè è per la maggior parte simile, quindi è possibile che ci devono > essere delle modifiche lievi a quanto già distribuito), ma il problema > principale è la mitigazione da applicare alle CPU tramite microcode che > deve essere espansa (ricordando che le mitigazione per microcode sono > state tolte[2] da un po' tutti i sistemi operativi per l'instabilità su > diversi tipi di processore... non ho notato se sono uscite nuove > versioni che superano questi problemi). > > Interessanti anche i commenti, ad esempio nel primo e nel secondo "who" > dice che ha provato su Ubuntu con le patch e con lo script > spectre-meltdown-checker che dice che è tutto a posto, ma che dalle > prove (PoC) risulta ancora vulnerabile. Inoltre dice, quello che già > ipotizzavo io, che non crede ci vorranno meno di 5 anni per avere > processori sicuri contro Spectre e Meltdown e che lui non si fiderà di > quelli che usciranno fra qualche mese e saranno indicati come resi più > sicuri contro di essi. > > Ciao > Davide L'altro giorno ho cercato in modo generico sul web:"Debian sicurezza stretch". In una pagina di debian : https://www.debian.org/releases/stable/errata.it.html Consigliano di usare anche il repo proposed-updates # proposed additions for a 9 point release deb http://archive.debian.org/debian stretch-proposed-updates main contrib non-free Io ho provato a seguire questo consiglio. Dopo l'aggiornamento mi aggiorna il kernel e all'avvio mette anche alcuni messaggi riguardo a Spectre V2. Con il comando dmesg vedo anche questi warning : 0.014618] Spectre V2 mitigation: LFENCE not serializing. Switching to generic retpoline [0.014699] Spectre V2 mitigation: Vulnerable: Minimal generic ASM retpoline [0.014700] Spectre V2 mitigation: Filling RSB on context switch Ciao. > > [1] https://www.schneier.com/blog/archives/2018/02/new_spectremelt.html > > [2] > $ apt show intel-microcode > Package: intel-microcode > Version: 3.20180108.1+really20171117.1 > > infatti visto che si era arrivati a distribuire la versione 3.20180108.1 > e non è possibile indicare una versione inferiore si è aggiunto quel > +really20171117.1 per indicare che in realtà si è tornati indietro di > due versioni >
Re: Ancora su Spectre e Meltdown: scoperte nuove varianti
scoperte nuove varianti per Spectre e Meltdown[1]. Schneier dice che a livello software la mitigazione attuale blocca anche questi (ma i ricercatori da lui indicati dicono in realtà che "is largely the same", cioè è per la maggior parte simile, quindi è possibile che ci devono essere delle modifiche lievi a quanto già distribuito), ma il problema principale è la mitigazione da applicare alle CPU tramite microcode che deve essere espansa (ricordando che le mitigazione per microcode sono state tolte[2] da un po' tutti i sistemi operativi per l'instabilità su diversi tipi di processore... non ho notato se sono uscite nuove versioni che superano questi problemi). Interessanti anche i commenti, ad esempio nel primo e nel secondo "who" dice che ha provato su Ubuntu con le patch e con lo script spectre-meltdown-checker che dice che è tutto a posto, ma che dalle prove (PoC) risulta ancora vulnerabile. Inoltre dice, quello che già ipotizzavo io, che non crede ci vorranno meno di 5 anni per avere processori sicuri contro Spectre e Meltdown e che lui non si fiderà di quelli che usciranno fra qualche mese e saranno indicati come resi più sicuri contro di essi. Ciao Davide [1] https://www.schneier.com/blog/archives/2018/02/new_spectremelt.html [2] $ apt show intel-microcode Package: intel-microcode Version: 3.20180108.1+really20171117.1 infatti visto che si era arrivati a distribuire la versione 3.20180108.1 e non è possibile indicare una versione inferiore si è aggiunto quel +really20171117.1 per indicare che in realtà si è tornati indietro di due versioni -- Dizionari: http://linguistico.sourceforge.net/wiki What happened in 2013 couldn't have happened without free software (He credited free software for his ability to help disclose the U.S. government's far-reaching surveillance projects). Edward Snowden
Re: Ancora su Spectre e Meltdown
On 13/02/2018 16:36, Portobello wrote: per dare dei comandi alla CPU bisogna sempre passare dal codice sorgente. sì... e no Quindi, ogni comando, per copiare delle zone di memoria deve essere inserito nel codice sorgente ? (Correggetemi se sbaglio). sì, se viene fatto un programma che permette di sfruttare questa falla. Puoi fare qualcosa del genere (estremizzo e banalizzo): a = 10 if( 1 == 0 ) memcpy(...) l'istruzione memcpy non verrà mai eseguita o meglio non verrà mai richiesta di essere eseguita, ma poiché il processore, nei momenti in cui è idle (non sta facendo nulla o meglio è in attesa), cerca di predire l'istruzione o le istruzioni successive e quindi di eseguirle in anticipo. Se gli va bene ha già il risultato, se gli va male butta via il tutto. Se la memcpy copia da un'area di memoria non leggibile dall'user space in cui è eseguito il programma si avrà che la lettura verrà effettuata, verrà effettuato il controllo e verrà negato l'accesso... peccato che nella cache della CPU ci si troverà quello che non doveva essere letto (anche se l'istruzione è stata bloccata, ma essendo un'istruzione non richiesta dal programma...). Ora con altre tecniche è possibile leggere dalla cache... e quindi poter leggere ad esempio un'area di memoria dove è stata caricata una password (certo non è così banale, però questo è per dare un'idea). E quindi questo è un codice scritto da un attaccante per sfruttare la falla. Attenzione che questo codice non è detto che debba far parte di un software installato sul proprio PC, ma potrebbe essere ad esempio codice eseguito all'interno del browser mentre si naviga su un determinato sito. Però ci sono altre tecniche che permettono di prendere un codice totalmente privo di un attacco del genere e fargli fare quello che si vuole. Anche qui vado all'estremo opposto. Se hai accesso alla macchina puoi usare gdb per fare il debugger di un eseguibile mentre lo esegui. A questo punto puoi modificare le istruzioni che devono essere eseguite, puoi modificare i valori dei registri, ... In questo modo fai eseguire delle istruzioni che non erano presenti nel codice sorgente iniziale. Tra i due estremi ci sono svariate casistiche. Il problema è più grave per i software a sorgente chiuso. Perché nessuno sa quello che c'è dentro. questo è di sicuro vero. Infatti ci sono software non liberi che contengono al loro interno backdoor ed altro. Quindi è più che certo che un attaccante potrebbe distribuire un eseguibile che cela al suo interno l'attacco e potrebbe essere molto complesso capire cosa fa. Se non ricordo male interbase (ora conosciuto come firebird) era proprietario e quando è stato rilasciato con licenza libera è stata trovata nei sorgenti una backdoor[1]... Ci sono prove che l'NSA americana ed altre agenzie premono continuamente sui produttori di software/hardware per introdurre backdoor all'interno dei loro prodotti e di sicuro qualcuno lo fa. In altri stati la cosa può essere più drammatica perché si è obbligati con la forza a fare queste azioni e si potrebbe anche rischiare il carcere o la vita se ci si rifiuta (questo per dire che non sono gli USA il male, solo che dagli USA arrivano ogni tanto diffusione di notizie riservate che permettono di sapere queste cose). Forse si vuole anche diffondere il panico tra gli utilizzatori di Linux, perché cosi aumentano le vendite di Computer nuovi. no, anche i PC nuovi attuali hanno questi bug hardware e questi bug non sono risolvibili via software (almeno così dicono gli esperti). Ciao Davide [1] ho fatto una ricerca rapida e trovato questo articolo: http://www.zdnet.com/article/borland-interbase-backdoor-detected/ -- Dizionari: http://linguistico.sourceforge.net/wiki I lati oscuri del secure boot: https://www.fsf.org/campaigns/secure-boot-vs-restricted-boot/whitepaper-web Petizione contro il secure boot: https://www.fsf.org/campaigns/secure-boot-vs-restricted-boot/statement GNU/Linux User: 302090: http://counter.li.org Non autorizzo la memorizzazione del mio indirizzo su outlook
Re: Ancora su Spectre e Meltdown
Il 21/01/2018 13:24, Davide Prina ha scritto: > On 19/01/2018 13:15, Alessandro Pellizzari wrote: >> On 18/01/2018 22:10, Luca Costantino wrote: >> > > Sul github c'è la 0.32 che ha un po' di modifiche aggiuntivi: valore di > ritorno dello script, parametro --coreos, diverse modifiche sparse > > Interessante perché permette anche di testare una versione di Linux non > in esecuzione e quindi vedere il progresso rispetto alla versione > precedente. > >>> Ho installato il l'ultimo pacchetto intel-microcode (datato 8 gennaio >>> 2018), eppure mi ritrovo ancora il sistema vulnerabile nella parte >>> iniziale del secondo attacco... > > da quello che ho letto io non è possibile correggere questi > "comportamenti" delle CPU, ma solo mitigarli Ma da quello che ho capito io sull'open source e sui computer in generale, per dare dei comandi alla CPU bisogna sempre passare dal codice sorgente. Quindi, ogni comando, per copiare delle zone di memoria deve essere inserito nel codice sorgente ? (Correggetemi se sbaglio). Quindi per quanto riguarda i software open source il problema dovrebbe essere sempre risolvibile ? Perché ci dovrebbe essere sempre qualcuno con le competenze tecniche per individuare i comandi che rendono vulnerabile il sistema operativo, e se non riesce a rivolvere il problema in prima persona lo può segnalare alla comunità. (Io ad esempio non ho le competenze tecniche per analizzare il codice sorgente ). Il problema è più grave per i software a sorgente chiuso. Perché nessuno sa quello che c'è dentro. Forse si vuole anche diffondere il panico tra gli utilizzatori di Linux, perché cosi aumentano le vendite di Computer nuovi. La filosofia di Linux è quella di ri-utilizzare hardware e software, anche datato. Che a volte contrasta con le logiche commerciali del mercato. Il problema è che bisogna avere fiducia degli altri. Perché nessuno ha la capacità tecnica ed il tempo per analizzare (da solo) tutte le linee di codice del proprio sistema operativo. Ma, come si fa in queste newsletters se ognuno da il proprio contributo, questi problemi si possono risolvere. Ciao
Re: Ancora su Spectre e Meltdown
Intel ha rilasciato una nuova versione del microcode che corregge i problemi di stabilità dell'ultima rilasciata[1] Però in Debian si è andati indietro di due versioni, perché pure la precedente a quella bacata generava problemi (si vede nei bug Debian del microcode intel). Non ho capito se questa risolve anche questi problemi. Si può vedere dallo script spectre-meltdown-checker presente nell'omonimo pacchetto se la propria CPU è tra quelle che hanno indicato come problematiche con la versione precedente del microcode di Intel C'è una riga tipo questa * CPU microcode is known to cause stability problems: NO Io sono in testing e la versione che riporta questa scritta è la v0.34, altrimenti si può prendere da github lo script. Inoltre ho letto che il CEO di Intel ha dichiarato che già nel 2018 usciranno processori che implementeranno a livello hardware correttivi per spectre e meltdown (scusate, non ho il link sottomano). Però non ho capito se implementeranno le mitigazioni distribuite con microcode, con i vari kernel dei vari sistemi operativi, con i browser, ... o se stanno modificando la logica di funzionamento per impedire che questi tipi di attacchi possano essere attuati. O potrebbe essere solo una mossa per cercare di rassicurare il mercato. Per saperne di più su cosa sono spectre e meltdown e come funzionano vi consiglio di guardare questo articolo di Schneier[2] (gli esperti di sicurezza lo chiamano il guru dei guru... ha scritto dei libri davvero interessanti che meriterebbero di essere letti), soprattutto il link per meltdown[3] e spectre[4] scritti da uno dei team che ha scoperto le vulnerabilità che spiegano in dettaglio cos'è il bug scoperto e come l'attaccante riesce a sfruttarlo. Anche i commenti sono interessanti, poiché partecipano nei commenti vari esperti di sicurezza. Molto brevemente per meltdown (semplifico): i processori di nuova generazione permettono di evitare di stare in idle mentre sono in attesa di processare l'istruzione successiva, ma calcolano quella che potrebbe essere l'istruzione (o le istruzioni) successive ed eseguono. Se l'istruzione/i eseguita/e risulta/no quella/e corretta/e, allora hanno risparmiato tempo e usano il risultato ottenuto; se non è così buttano via tutto, senza in realtà cancellare nulla. L'attaccante può far si che il processore su un'istruzione resti in attesa e faccia eseguire al processore un'altra possibile successiva (ad esempio resta in attesa su un "if" ed il processore esegue l'istruzione nel caso l'"if" sia vero); quest'istruzione eseguita potrebbe accedere in un'area di memoria protetta e copiare quanto letto nella cache interna... dopo aver letto viene verificata se quell'istruzione era valida o meno e se non era valida lancia un'eccezione... ma nella cache rimane quanto letto, anche se eseguito out-of-order (da istruzioni che il programma magari non richiederà di eseguire, perché l'"if" si rivelerà falso). Ora con varie tecniche è possibile leggere la cache e quindi avere accesso a tutta l'area di memoria, anche quella protetta. Molto molto brevemente per spectre (semplifico): sfrutta lo stesso problema dell'out-of-order di spectre solo che qui viene ricercata ed eseguita un'istruzione (es: di una libreria) individuando la sua posizione e facendola eseguire da un'istruzione out-of-order. Schneier dice che meltdwon è un bug convenzionale che può essere "corretto" (penso intenda mitigato), mentre spectre è peggiore (anche se alcuni esperti non sono molto d'accordo con lui). Subito dopo aggiunge: non è possibile creare patch per queste vulnerabilità, i chip necessitano di essere riprogettati in un modo da eliminarla. Ciao Davide [1] https://it.slashdot.org/story/18/02/08/1432255/intel-replaces-its-buggy-fix-for-skylake-pcs [2] https://www.schneier.com/blog/archives/2018/01/the_effects_of_3.html [3] https://meltdownattack.com/meltdown.pdf [4] https://spectreattack.com/spectre.pdf -- Dizionari: http://linguistico.sourceforge.net/wiki Browser: http://www.mozilla.org/products/firefox GNU/Linux User: 302090: http://counter.li.org Non autorizzo la memorizzazione del mio indirizzo su outlook
Re: Ancora su Spectre e Meltdown
On 22/01/2018 20:37, Fabrizio wrote: Torvald in soldoni dice che il microcode é spazzatura e la pezza é peggio del buco. Un lavoro mal fatto. aggiornamento di oggi intel-microcode (3.20180108.1+really20171117.1) unstable; urgency=critical * Revert to release 20171117, as per Intel instructions issued to the public in 2018-01-22 (closes: #886998) * This effectively removes IBRS/IBPB/STIPB microcode support for Spectre variant 2 mitigation. guardando il bug report $ querybts 886998 indica che ci sono diversi problemi su diversi processori di server intel (i3, i5, i7, xeon)... e considerano questi rilasci di microcode come delle beta... Ciao Davide -- Dizionari: http://linguistico.sourceforge.net/wiki Motivi per non comprare/usare ms-windows-vista: http://badvista.fsf.org/ Non autorizzo la memorizzazione del mio indirizzo su outlook
Re: Ancora su Spectre e Meltdown
Torvald in soldoni dice che il microcode é spazzatura e la pezza é peggio del buco. Un lavoro mal fatto. Avrà le sue buoni ragioni. Spero sia la volta buona per un proc "open" Il 22 gen 2018 20:14, "Davide Prina"ha scritto: On 21/01/2018 13:24, Davide Prina wrote: Da quello che ho letto mi è sembrato di capire che: > > * soluzione sicura/definitiva: cambio CPU [...] > Torvald va giù ancora duro con intel indicando che una funzionalità che propongono nel microcode è spazzatura (troppo onerosa, farebbe affossare i benchmark)... abbiamo bisogno qualcosa di meglio di questa spazzatura[1] Ad essere sincero non ho capito né come possa funzionare questa cosa né come possa rallentare... In un commento c'è questo che è più capibile... se è corretto: As I understand it, Intel proposes to build in a switch in future CPU's which tells the CPU to stop being insecure. The switch is going to be off by default and must be switched on by the kernel during boot. Intel proposes to let all future CPU's be insecure by default. Il che equivale a dire: hai la patch, ma non è in funzione per non compromettere le prestazioni... però leggendo velocemente il pdf di intel[2] non ho capito nulla rispetto a quanto discusso :-( Inoltre questo avvalorerebbe la mia ipotesi che ci vorranno anni per avere un processore intel sicuro da progettazione (qui dice per le CPU future). Quindi se qualcuno ha capito può spiegare se avremo il microcode con "funzionalità" che non verranno usate da Linux perché giudicate spazzatura... Il giorno prima veniva riproposto il quesito se è ora di avere un processore libero[3] Ciao Davide [1] https://linux.slashdot.org/story/18/01/22/0648227/linus-torv alds-calls-intel-patches-complete-and-utter-garbage [2] https://software.intel.com/sites/default/files/managed/c5/ 63/336996-Speculative-Execution-Side-Channel-Mitigations.pdf [3] https://hardware.slashdot.org/story/18/01/20/0452247/is-it-t ime-for-open-processors -- Dizionari: http://linguistico.sourceforge.net/wiki Esci dall'illegalità: utilizza LibreOffice/OpenOffice: http://linguistico.sf.net/wiki/doku.php?id=usaooo Non autorizzo la memorizzazione del mio indirizzo su outlook
Re: Ancora su Spectre e Meltdown
On 21/01/2018 13:24, Davide Prina wrote: Da quello che ho letto mi è sembrato di capire che: * soluzione sicura/definitiva: cambio CPU [...] Torvald va giù ancora duro con intel indicando che una funzionalità che propongono nel microcode è spazzatura (troppo onerosa, farebbe affossare i benchmark)... abbiamo bisogno qualcosa di meglio di questa spazzatura[1] Ad essere sincero non ho capito né come possa funzionare questa cosa né come possa rallentare... In un commento c'è questo che è più capibile... se è corretto: As I understand it, Intel proposes to build in a switch in future CPU's which tells the CPU to stop being insecure. The switch is going to be off by default and must be switched on by the kernel during boot. Intel proposes to let all future CPU's be insecure by default. Il che equivale a dire: hai la patch, ma non è in funzione per non compromettere le prestazioni... però leggendo velocemente il pdf di intel[2] non ho capito nulla rispetto a quanto discusso :-( Inoltre questo avvalorerebbe la mia ipotesi che ci vorranno anni per avere un processore intel sicuro da progettazione (qui dice per le CPU future). Quindi se qualcuno ha capito può spiegare se avremo il microcode con "funzionalità" che non verranno usate da Linux perché giudicate spazzatura... Il giorno prima veniva riproposto il quesito se è ora di avere un processore libero[3] Ciao Davide [1] https://linux.slashdot.org/story/18/01/22/0648227/linus-torvalds-calls-intel-patches-complete-and-utter-garbage [2] https://software.intel.com/sites/default/files/managed/c5/63/336996-Speculative-Execution-Side-Channel-Mitigations.pdf [3] https://hardware.slashdot.org/story/18/01/20/0452247/is-it-time-for-open-processors -- Dizionari: http://linguistico.sourceforge.net/wiki Esci dall'illegalità: utilizza LibreOffice/OpenOffice: http://linguistico.sf.net/wiki/doku.php?id=usaooo Non autorizzo la memorizzazione del mio indirizzo su outlook
Re: Ancora su Spectre e Meltdown
On 19/01/2018 13:15, Alessandro Pellizzari wrote: On 18/01/2018 22:10, Luca Costantino wrote: Ho scaricato il tool messo a disposizione su GitHub https://github.com/speed47/spectre-meltdown-checker/blob/master/spectre-meltdown-checker.sh per controllare se il proprio sistema è disponibile. $ apt show spectre-meltdown-checker Package: spectre-meltdown-checker Version: 0.31-1 [...] Homepage: https://github.com/speed47/spectre-meltdown-checker [...] Description: Spectre & Meltdown vulnerability/mitigation checker A simple shell script to tell if your Linux installation is vulnerable against the 3 "speculative execution" CVEs that were made public early 2018. Sul github c'è la 0.32 che ha un po' di modifiche aggiuntivi: valore di ritorno dello script, parametro --coreos, diverse modifiche sparse Interessante perché permette anche di testare una versione di Linux non in esecuzione e quindi vedere il progresso rispetto alla versione precedente. Ho installato il l'ultimo pacchetto intel-microcode (datato 8 gennaio 2018), eppure mi ritrovo ancora il sistema vulnerabile nella parte iniziale del secondo attacco... da quello che ho letto io non è possibile correggere questi "comportamenti" delle CPU, ma solo mitigarli Immagino che per mitigare gli altri attacchi debba aspettare almeno 4.5, giusto? per chiarezza mitigare non vuol dire eliminare/risolvere il problema, ma vuol dire soltanto diminuire il suo impatto. Il problema rimane sempre. Da quello che ho letto l'unico modo di risolvere il problema è cambiare CPU. Però Intel, secondo me, potrebbe metterci anche anni prima di buttar fuori un processore che non ha questi "problemi" (che non li mitiga, ma li elimina alla radice). È stata "sfortunata" che chi ha cercato "bug" hardware ha usato processori Intel. Questo potrebbe voler dire che in un prossimo futuro potrebbero uscire problemi che hanno altre marche di processori e non Intel... È uscito da poco un post di Kroah sull'argomento: http://kroah.com/log/blog/2018/01/19/meltdown-status-2/ $ grep . /sys/devices/system/cpu/vulnerabilities/* grep: /sys/devices/system/cpu/vulnerabilities/*: File o directory non esistente $ If your kernel does not have that sysfs directory or files, then obviously there is a problem and you need to upgrade your kernel! $ uname -v #1 SMP Debian 4.14.13-1 (2018-01-14) infatti in testing è arrivato solo ora il primo aggiornamento a Linux con mitigazioni Spectre/Meltdown Some “enterprise” distributions did not backport the changes for this reporting, so if you are running one of those types of kernels, go bug the vendor to fix that, you really want a unified way of knowing the state of your system. ma chi usa stable aggiornato, e che dovrebbe avere mitigazioni maggiori, ha quella directory? these files are only valid for the x86-64 based kernels, all other processor types will show something like “Not affected”. As everyone knows, that is not true for the Spectre issues, except for very old CPUs Infatti leggevo che per ARM non si sa ancora quando verranno inserite le patch. I need to go find a working microcode update to fix my laptop’s CPU so that it is not vulnerable against Spectre leggevo che l'ultimo microcode rilasciato da intel causava crash casuali su diverse sue CPU... Però qui dice che spectre può essere risolto, e quindi non mitigato, con un aggiornamento del microcode? A me risultava che tutti questi problemi potessero essere solo mitigati e non risolti. Per mitigare lo spectre bisogna ricompilare il kernel con un compilatore patchato per retpoline. ma non dovrebbe essere per mitigare spectre ed avere impatti minimi sulle prestazioni (0-1,5%) bisogna... questo perché le altre metodologie hanno impatti non trascurabili sulle prestazioni Inoltre sembra che reptoline sarà disponibile solo sui rami 4.9, 4.14 e da 4.15 in poi. Credo che ci vorranno settimane per vedere tutti gli exploit mitigati o patchati, con una combo di kernel, compilatore, firmware e forse anche qualche utility in user-space. Penso che l'unica sia tenere aggiornato e incrociare le dita. :) però, da quello che leggevo, non è conosciuto ancora nessun tipo di attacco che sia in grado di sfruttare queste "funzionalità" di super-lettura. Da quello che ho letto mi è sembrato di capire che: * soluzione sicura/definitiva: cambio CPU, ma non si sa quale sia l'acquisto da fare: intel e altri potrebbero metterci anni a progettare e implementare CPU sicure; la ricerca di problemi di sicurezza hardware è agli albori e a breve potrebbero uscire "funzionalità" più pericolose di quelle trovate fin'ora * le mitigazioni di sicuro non riguarderanno tutti i processori che soffrono delle vulnerabilità trovate (solo processori abbastanza recenti avranno mitigazioni complete) e quindi ci saranno dispositivi che resteranno privi di protezione per anni (si pensa ad esempio a molti telefonini e vecchi PC) fino a quando non
Re: Ancora su Spectre e Meltdown
On Thu, Jan 18, 2018 at 10:07:17PM +, Luca Costantino wrote: > Buonasera lista > > Ho scaricato il tool messo a disposizione su GitHub > https://github.com/speed47/spectre-meltdown-checker/blob/master/spectre-meltdown-checker.sh > per > controllare se il proprio sistema è disponibile. > > Ho installato il l'ultimo pacchetto intel-microcode (datato 8 gennaio > 2018), eppure mi ritrovo ancora il sistema vulnerabile nella parte iniziale > del secondo attacco... > Immagino che per mitigare gli altri attacchi debba aspettare almeno 4.5, > giusto? > > SID > # ./spectre-meltdown-checker-0.31/spectre-meltdown-checker.sh > Spectre and Meltdown mitigation detection tool v0.31 > > Checking for vulnerabilities against running kernel Linux 4.14.0-1-amd64 #1 > SMP Debian 4.14.2-1 (2017-11-30) x86_64 > CPU is Intel(R) Core(TM) i5-2450M CPU @ 2.50GHz Io non capisco, forse sbaglio qualcosa, non riesco neanche a trovare linux-image-4.14.0-1-amd64 su packages.debian.org https://packages.debian.org/search?keywords=linux-image-4.14.0=names=unstable=all https://packages.debian.org/search?keywords=linux-image-4.14.0-1-amd64=names=all=all Detto questo la situazione fra old stable, stable, testing, unstable ed experimental è assolutamente eterogenea. Quello che si osserva in una potrebbe non essere presente in un altra ecc ecc. Penso che questo sia il momento di verificare se ci siano aggiornamenti, di tenere pulito i vari sources.list(.d/*) e i vari preferences(.d/*), riducendo magari il "missaggio" delle release. Del resto spectre-meltdown-checker.sh sembra abbastanza affidabile, esegue diversi controlli per verificare la presenza di soluzioni per la stessa falla. Meltdown ad esempio (l'unico per cui in stretch ad oggi ci sia una soluzione), viene verificato così: if sys_interface_check "/sys/devices/system/cpu/vulnerabilities/meltdown"; then # this kernel has the /sys interface, trust it over everything sys_interface_available=1 else _info_nol "* Kernel supports Page Table Isolation (PTI): " kpti_support=0 kpti_can_tell=0 if [ -n "$opt_config" ]; then kpti_can_tell=1 if grep -Eq '^(CONFIG_PAGE_TABLE_ISOLATION|CONFIG_KAISER)=y' "$opt_config"; then _debug "kpti_support: found option "$(grep -E '^(CONFIG_PAGE_TABLE_ISOLATION|CONFIG_KAISER)=y' "$opt_config")" in $opt_config" kpti_support=1 fi fi if [ "$kpti_support" = 0 -a -n "$opt_map" ]; then
Re: Ancora su Spectre e Meltdown
> > È uscito da poco un post di Kroah sull'argomento: > > http://kroah.com/log/blog/2018/01/19/meltdown-status-2/ > > Per mitigare lo spectre bisogna ricompilare il kernel con un compilatore > patchato per retpoline. > Grazie. Pensavo che per mitigare almeno parzialmente un tipo degli attacchi bastasse un update del microcodice della cpu, ma evidentemente non e' cosi'... Grazie Luca
Re: Ancora su Spectre e Meltdown
On 18/01/2018 22:10, Luca Costantino wrote: Ho scaricato il tool messo a disposizione su GitHub https://github.com/speed47/spectre-meltdown-checker/blob/master/spectre-meltdown-checker.sh per controllare se il proprio sistema è disponibile. Ho installato il l'ultimo pacchetto intel-microcode (datato 8 gennaio 2018), eppure mi ritrovo ancora il sistema vulnerabile nella parte iniziale del secondo attacco... Immagino che per mitigare gli altri attacchi debba aspettare almeno 4.5, giusto? È uscito da poco un post di Kroah sull'argomento: http://kroah.com/log/blog/2018/01/19/meltdown-status-2/ Per mitigare lo spectre bisogna ricompilare il kernel con un compilatore patchato per retpoline. Credo che ci vorranno settimane per vedere tutti gli exploit mitigati o patchati, con una combo di kernel, compilatore, firmware e forse anche qualche utility in user-space. Penso che l'unica sia tenere aggiornato e incrociare le dita. :) Bye.
Ancora su Spectre e Meltdown
Buonasera lista Ho scaricato il tool messo a disposizione su GitHub https://github.com/speed47/spectre-meltdown-checker/blob/master/spectre-meltdown-checker.sh per controllare se il proprio sistema è disponibile. Ho installato il l'ultimo pacchetto intel-microcode (datato 8 gennaio 2018), eppure mi ritrovo ancora il sistema vulnerabile nella parte iniziale del secondo attacco... Immagino che per mitigare gli altri attacchi debba aspettare almeno 4.5, giusto? SID # ./spectre-meltdown-checker-0.31/spectre-meltdown-checker.sh Spectre and Meltdown mitigation detection tool v0.31 Checking for vulnerabilities against running kernel Linux 4.14.0-1-amd64 #1 SMP Debian 4.14.2-1 (2017-11-30) x86_64 CPU is Intel(R) Core(TM) i5-2450M CPU @ 2.50GHz CVE-2017-5753 [bounds check bypass] aka 'Spectre Variant 1' * Checking count of LFENCE opcodes in kernel: NO > STATUS: VULNERABLE (only 23 opcodes found, should be >= 70, heuristic to be improved when official patches become av ailable) CVE-2017-5715 [branch target injection] aka 'Spectre Variant 2' * Mitigation 1 * Hardware (CPU microcode) support for mitigation * The SPEC_CTRL MSR is available: NO * The SPEC_CTRL CPUID feature bit is set: NO * Kernel support for IBRS: NO * IBRS enabled for Kernel space: NO * IBRS enabled for User space: NO * Mitigation 2 * Kernel compiled with retpoline option: NO * Kernel compiled with a retpoline-aware compiler: NO > STATUS: VULNERABLE (IBRS hardware + kernel support OR kernel with retpoline are needed to mitigate the vulnerability ) CVE-2017-5754 [rogue data cache load] aka 'Meltdown' aka 'Variant 3' * Kernel supports Page Table Isolation (PTI): NO * PTI enabled and active: NO * Checking if we're running under Xen PV (64 bits): NO > STATUS: VULNERABLE (PTI is needed to mitigate the vulnerability) Luca