Es ist echt zum Mäusemelken. Wir haben bei uns im Rechenzentrum diverse Server geupdated und nun "freuen" sich die Vertriebler weil die Leistungen der Server gesunken ist und wir mehr Ressourcen aufbringen müssen, damit der Kunde nicht mehr zahlen muss.
Der Support von Intel war erbärmlich und AMD weiß von nichts.
AMD weiß von nichts, weil sie davon nicht betroffen sind. Nur der BPF JIT macht Probleme und das auch nur bei den alten Bulldozern und den benutzt kaum wer. Was AMD an Updates zur Verfügung stellt sind vorsorgliche Maßnahmen, für den Fall, dass doch noch was bei ihnen gefunden wird. Und wie der Artikel schon sagt: Im Kernel sind die Patches bei AMD-Prozessoren nicht aktiv.
Es gibt Microcode-Updates, welche für den Kernel und dann auch noch welche für den gcc. Sind die alle gleichzeitig nötig? Oder wird da an drei Stellen an der Lösung eines Problems gearbeitet?
Update für denn gcc? Dann müssten ja alle Distributionen komplett neu kompiliert und ausgeliefert werden. Und was ist dann mit dem Clang? BSD wird doch damit gebaut. Oder mit Distributionen, die prinzipiell auf uralt setzen? Wo der gcc-7.3 erst in 4 Jahren Einzug hält?
Windows wird auch nicht mit dem gcc gebaut. Wie wird das denn dann abgesichert?
Aber zum einen bin ich schon mal total happy, dass ich auf Linux setzte. Da kann ich selber Microcode-Updates von Intel einspielen. Windows tut das ja nicht. Und HP vertröstet mich mit einem BIOS-Update auf den 9. Februar, wenn überhaupt. Und Gentoo. Neuer Kernel, kann sofort installiert werden. Neuer gcc, kann ich mein System sofort aktualisieren.
Die ersten Kernel Updates waren für Meltdown. Die Lücke kann per Software geschlossen werden.
Was jetzt anrollt sind die Gegenmaßnahmen für Spectre 1 und Spectre 2. Die Microcode Updates implementieren eine Reihe von neuen CPU Befehlen. Diese sollen dann vom Kernel und den Compilern genutzt werden um Angriffe zu erschweren. Die Patches greifen also ineinander und sind nicht mehrfach das gleiche.
Soweit ich das verstanden habe kann vor allem die Spectre 2 Lücke nur durch eine Änderung in der CPU Architektur komplett geschlossen werden aber nicht via Software.
Dieser Beitrag wurde 1 mal editiert. Zuletzt am 22. Jan 2018 um 10:16.
Ok, danke für deine Antwort. Sie hat mir sehr weitergeholfen. Die meisten Artikel zu diesem Thema sind leider zu oberflächlich. Aber es ist schön, dass es kompetente Kommentatoren gibt.
Der erste Patch (Kernel page-tabel isolation) war nur für Meltdown. Alles was danach kam (Microcode, Compiler-Optionen und Kernel-Patch) gehört zusammen und soll gegen die eine oder andere Spectre-Variante helfen.
Distributionen, die auf uralt setzen, sind immer unsicher. Längst nicht alle Sicherheitsverbesserungen lassen sich in reine Sicherheitsupdates zurückportieren.
Es ist echt zum Mäusemelken. Wir haben bei uns im Rechenzentrum diverse Server geupdated und nun "freuen" sich die Vertriebler weil die Leistungen der Server gesunken ist und wir mehr Ressourcen aufbringen müssen, damit der Kunde nicht mehr zahlen muss.
Der Support von Intel war erbärmlich und AMD weiß von nichts.
Na ja, vielleicht freut dies anderen Leidensgenossen etwas: https://www.it-madness.com/posts/531/
AMD weiß von nichts, weil sie davon nicht betroffen sind. Nur der BPF JIT macht Probleme und das auch nur bei den alten Bulldozern und den benutzt kaum wer. Was AMD an Updates zur Verfügung stellt sind vorsorgliche Maßnahmen, für den Fall, dass doch noch was bei ihnen gefunden wird. Und wie der Artikel schon sagt: Im Kernel sind die Patches bei AMD-Prozessoren nicht aktiv.
Es gibt Microcode-Updates, welche für den Kernel und dann auch noch welche für den gcc. Sind die alle gleichzeitig nötig? Oder wird da an drei Stellen an der Lösung eines Problems gearbeitet?
Update für denn gcc? Dann müssten ja alle Distributionen komplett neu kompiliert und ausgeliefert werden. Und was ist dann mit dem Clang? BSD wird doch damit gebaut. Oder mit Distributionen, die prinzipiell auf uralt setzen? Wo der gcc-7.3 erst in 4 Jahren Einzug hält?
Windows wird auch nicht mit dem gcc gebaut. Wie wird das denn dann abgesichert?
Aber zum einen bin ich schon mal total happy, dass ich auf Linux setzte. Da kann ich selber Microcode-Updates von Intel einspielen. Windows tut das ja nicht. Und HP vertröstet mich mit einem BIOS-Update auf den 9. Februar, wenn überhaupt. Und Gentoo. Neuer Kernel, kann sofort installiert werden. Neuer gcc, kann ich mein System sofort aktualisieren.
Die ersten Kernel Updates waren für Meltdown. Die Lücke kann per Software geschlossen werden.
Was jetzt anrollt sind die Gegenmaßnahmen für Spectre 1 und Spectre 2. Die Microcode Updates implementieren eine Reihe von neuen CPU Befehlen. Diese sollen dann vom Kernel und den Compilern genutzt werden um Angriffe zu erschweren. Die Patches greifen also ineinander und sind nicht mehrfach das gleiche.
Soweit ich das verstanden habe kann vor allem die Spectre 2 Lücke nur durch eine Änderung in der CPU Architektur komplett geschlossen werden aber nicht via Software.
Dieser Beitrag wurde 1 mal editiert. Zuletzt am 22. Jan 2018 um 10:16.Ok, danke für deine Antwort. Sie hat mir sehr weitergeholfen. Die meisten Artikel zu diesem Thema sind leider zu oberflächlich. Aber es ist schön, dass es kompetente Kommentatoren gibt.
Der erste Patch (Kernel page-tabel isolation) war nur für Meltdown. Alles was danach kam (Microcode, Compiler-Optionen und Kernel-Patch) gehört zusammen und soll gegen die eine oder andere Spectre-Variante helfen.
Distributionen, die auf uralt setzen, sind immer unsicher. Längst nicht alle Sicherheitsverbesserungen lassen sich in reine Sicherheitsupdates zurückportieren.
Im Gegenzug hast du halt auch nicht alle Security-Bugs die erst später eingeschleppt wurden - Nimmt sich alles nicht viel
openSUSE hat für Leap 42.2 & 42.3 das Paket ucode-intel-20180108-7.12.1.x86_64
sowie ucode-intel-20170707-7.9.1.x86_64 ebenfalls zurückgezogen.
Aktuell ist jetzt: ucode-intel-20170707-7.6.1.x86_64