ForoSUSE

ForoSUSE (http://www.forosuse.org/forosuse/index.php)
-   Portal de ForoSUSE (http://www.forosuse.org/forosuse/forumdisplay.php?f=26)
-   -   Spectre y Meltdown vulnerabilidades del microprocesador (http://www.forosuse.org/forosuse/showthread.php?t=34428)

DiabloRojo 07-ene-2018 09:12

Spectre y Meltdown vulnerabilidades del microprocesador
 
Hola compañeros.

Como ya sabéis desde el pasado día 3 de enero, se ha notificado dos importantes vulnerabilidades llamadas Spectre y Meltdown que afecta a los microprocesadores.

Consiste básicamente en la capacidad de un usuario sin privilegios de leer la memoria protegida del kernel, donde se almacena las contraseñas, como podéis ver en este video, saltándose la protección del kernel ya que llama directamente al microprocesador aprovechando un error en el diseño del microprocesador, en concreto, en la llamada ejecución especulativa que consiste en anticipar la siguiente instrucción a ejecutar, función que hace que los microprocesadores sean mas rápidos. Lamentablemente casi todos los microprocesadores modernos implantan dicha función.



No se conoce los detalles de los bugs, pero mas temprano que tarde se hará publico y los hackers harán buen uso de esas vulnerabilidades ya que se puede usar el navegador para leer la memoria protegida, por lo que toca actualizarlos.

Lo peor de todo es que también afecta a los móviles donde los parches tardara mucho tiempo en salir y muchos móviles no serán actualizados quedando desprotegidos.

En openSUSE ya están los parches en los repos Updates, así que toca actualizarse a los ultimas versiones del kernel, kernel-firmware, qemu, ucode-intel, ImageMagick y aplicaciones. Lo malo es que dichos parches no se aplicaran sobre las versiones anteriores de Leap ya que están descatalogadas. Leerlo aqui: https://www.suse.com/es-es/support/kb/doc/?id=7022512

Tengo openSUSE Leap 42.2 y las salidas corresponde a esa version y no para Leap 42.3 y TW, aunque los comandos se puede aplicar en todas las versiones.
Código:

zypper list-patches --all | grep 2018
openSUSE-Leap-42.2-Update-Oss    | openSUSE-2018-10  | recommended | moderate  | restart    | aplicado        | Recommended update for libsolv, libzypp, zypper                                 
openSUSE-Leap-42.2-Update-Oss    | openSUSE-2018-3    | security    | important | reboot      | aplicado        | Security update for the Linux Kernel                                           
openSUSE-Leap-42.2-Update-Oss    | openSUSE-2018-4    | security    | important | ---        | aplicado        | Security update for ucode-intel                                                 
openSUSE-Leap-42.2-Update-Oss    | openSUSE-2018-5    | security    | moderate  | ---        | no es necesario | Security update for nodejs4                                                     
openSUSE-Leap-42.2-Update-Oss    | openSUSE-2018-6    | security    | moderate  | ---        | no es necesario | Security update for clamav-database                                             
openSUSE-Leap-42.2-Update-Oss    | openSUSE-2018-7    | security    | important | ---        | aplicado        | Security update for ImageMagick                                                                                                                                                                                                                                       
openSUSE-Leap-42.2-Update-Oss    | openSUSE-2018-9    | security    | important | ---        | aplicado        | Security update for kernel-firmware

Ejecutar estos comandos para mas información, valido para Leap 42.2.
zypper patch-info openSUSE-2018-3
zypper patch-info openSUSE-2018-4
zypper patch-info openSUSE-2018-7
zypper patch-info openSUSE-2018-9


Saludos.

PD: Acabo de leer que los Raspberry Pi son invulnerables a esta amenaza ya que usan microprocesadores ARM mas sencillos y mas baratos sin la función ejecución especulativa.

[AÑADIDO] si queréis comprobarlo en vuestro openSUSE, leer este tema: Chequeador de Spectre y Meltdown para Linux

SergioNN 07-ene-2018 12:09

¡Hola!
Gracias por el aporte. Yo hice un zypper patch desde 42.3 y me instaló openSUSE-18-11.
Luego hice un zypper up y me cambió el kernel a
Código:

The following 3 NEW packages are going to be installed:
  kernel-default-4.4.104-39.1 kernel-default-devel-4.4.104-39.1 kernel-devel-4.4.104-39.1

Saludos!!

gvcastellon 07-ene-2018 15:12

DR, gracias por mantenernos actualizados.

En mi caso tengo openSuSE 42.3, con estos parches actualizados, en la información detallada de la actualización del Kernel, tambien sugieren: ....creo muy extenso para publicarlo todo aquí.

...original.
Cita:

Please also check with your CPU / Hardware vendor on updated firmware
or BIOS images regarding this issue.
...traducido.
Cita:

Por favor, consulte también con su proveedor de CPU / Hardware sobre firmware actualizado, o imágenes de BIOS con respecto a este problema.
Básicamente seria revisar el Hardware involucrado instalado y ver si hay parches del fabricante.

Código:

openSUSE-Leap-42.3-Update  | openSUSE-2018-2    | security    | important | reboot      | applied    | Security update for the Linux Kernel
Código:

zypper patch-info openSUSE-2018-2
Loading repository data...
Reading installed packages...


Information for patch openSUSE-2018-2:
--------------------------------------
Repository  : openSUSE-Leap-42.3-Update         
Name        : openSUSE-2018-2                   
Version    : 1                                 
Arch        : noarch                             
Vendor      : maint-coord@suse.de               
Status      : applied                           
Category    : security                           
Severity    : important                         
Created On  : Fri 05 Jan 2018 02:20:26 AM EST   
Interactive : reboot                             
Summary    : Security update for the Linux Kernel
Description :                                   


    The openSUSE Leap 42.3 kernel was updated to 4.4.104 to receive various security and bugfixes.

    This update adds mitigations for various side channel attacks against
    modern CPUs that could disclose content of otherwise unreadable memory
    (bnc#1068032).

    - CVE-2017-5753 / "SpectreAttack": Local attackers on systems with
      modern CPUs featuring deep instruction pipelining could use attacker
      controllable speculative execution over code patterns in the Linux
      Kernel to leak content from otherwise not readable memory in the same
      address space, allowing retrieval of passwords, cryptographic keys
      and other secrets.

      This problem is mitigated by adding speculative fencing on affected
      code paths throughout the Linux kernel.


    - CVE-2017-5715 / "SpectreAttack": Local attackers on systems with modern
      CPUs featuring branch prediction could use mispredicted branches to
      speculatively execute code patterns that in turn could be made to
      leak other non-readable content in the same address space, an attack
      similar to CVE-2017-5753.

      This problem is mitigated by disabling predictive branches, depending
      on CPU architecture either by firmware updates and/or fixes in the
      user-kernel privilege boundaries.

      Please also check with your CPU / Hardware vendor on updated firmware
      or BIOS images regarding this issue.

      As this feature can have a performance impact, it can be disabled
      using the "nospec" kernel commandline option.


    - CVE-2017-5754 / "MeltdownAttack": Local attackers on systems with
      modern CPUs featuring deep instruction pipelining could use code
      patterns in userspace to speculative executive code that would read
      otherwise read protected memory, an attack similar to CVE-2017-5753.

      This problem is mitigated by unmapping the Linux Kernel from the user
      address space during user code execution, following a approach called
      "KAISER". The terms used here are "KAISER" / "Kernel Address Isolation"
      and "PTI" / "Page Table Isolation".

      Note that this is only done on affected platforms.

      This feature can be enabled / disabled by the "pti=[on|off|auto]" or
      "nopti" commandline options.

Suerte. ...vendrán mas temporadas de "Mr.Robot", XD

DiabloRojo 07-ene-2018 15:57

Cita:

Iniciado por gvcastellon (Mensaje 198440)
Básicamente seria revisar el Hardware involucrado instalado y ver si hay parches del fabricante.

He investigado por Internet y ya existe peticiones de actualizar la BIOs para evitar esas vulnerabilidades.

Cuoco 07-ene-2018 17:58

Hola, no se desesperen tanto:D, la información completa sobre meltdown y spectre será publicada el 9/1/18, los parches ya están para win y linux para la variante más peligrosa que por el momento solo afecta a los procesadores intel desde 1995 (casi nada solo el 90% de los cpu del mundo) el gran problema es que dicho parche impacta negativamente en el rendimiento, dependiendo la aplicación, principalmente en maquinas virtuales. Por tal motivo los centros de datos y hosting son los mas afectados. Al día de hoy no se conoce ningún malware que explote dichas vulnerabilidades. Para las otras variantes al parecer ARM se encuentra afectado, y según AMD tienen riesgo casi del 0% Recomiendo leer los artículos y benchmarks de phoronix.com, esta semana hay muchas pruebas de rendimiento publicadas sobre distintos escenarios.
Aunque todas las pc de mi casa son AMD los parches se instalan igual:dedosarri
Les deseo un feliz zypper dup.
Saludos.

karlggest 08-ene-2018 00:15

Hola.

Una cosa es la que ha liado Intel.

Otra cosa es que AMD debería estarse calladito.

Salud!!

NestorAcevedo 08-ene-2018 17:23

Cita:

Iniciado por DiabloRojo (Mensaje 198437)
Hola compañeros.

Como ya sabéis desde el pasado día 3 de enero, se ha notificado dos importantes vulnerabilidades llamadas Spectre y Meltdown que afecta a los microprocesadores.

Consiste básicamente en la capacidad de un usuario sin privilegios de leer la memoria protegida del kernel, donde se almacena las contraseñas, como podéis ver en este video, saltándose la protección del kernel ya que llama directamente al microprocesador aprovechando un error en el diseño del microprocesador, en concreto, en la llamada ejecución especulativa que consiste en anticipar la siguiente instrucción a ejecutar, función que hace que los microprocesadores sean mas rápidos. Lamentablemente casi todos los microprocesadores modernos implantan dicha función.



No se conoce los detalles de los bugs, pero mas temprano que tarde se hará publico y los hackers harán buen uso de esas vulnerabilidades ya que se puede usar el navegador para leer la memoria protegida, por lo que toca actualizarlos.

Lo peor de todo es que también afecta a los móviles donde los parches tardara mucho tiempo en salir y muchos móviles no serán actualizados quedando desprotegidos.

En openSUSE ya están los parches en los repos Updates, así que toca actualizarse a los ultimas versiones del kernel, kernel-firmware, qemu, ucode-intel, ImageMagick y aplicaciones. Lo malo es que dichos parches no se aplicaran sobre las versiones anteriores de Leap ya que están descatalogadas. Leerlo aqui: https://www.suse.com/es-es/support/kb/doc/?id=7022512

Tengo openSUSE Leap 42.2 y las salidas corresponde a esa version y no para Leap 42.3 y TW, aunque los comandos se puede aplicar en todas las versiones.
Código:

zypper list-patches --all | grep 2018
openSUSE-Leap-42.2-Update-Oss    | openSUSE-2018-10  | recommended | moderate  | restart    | aplicado        | Recommended update for libsolv, libzypp, zypper                                 
openSUSE-Leap-42.2-Update-Oss    | openSUSE-2018-3    | security    | important | reboot      | aplicado        | Security update for the Linux Kernel                                           
openSUSE-Leap-42.2-Update-Oss    | openSUSE-2018-4    | security    | important | ---        | aplicado        | Security update for ucode-intel                                                 
openSUSE-Leap-42.2-Update-Oss    | openSUSE-2018-5    | security    | moderate  | ---        | no es necesario | Security update for nodejs4                                                     
openSUSE-Leap-42.2-Update-Oss    | openSUSE-2018-6    | security    | moderate  | ---        | no es necesario | Security update for clamav-database                                             
openSUSE-Leap-42.2-Update-Oss    | openSUSE-2018-7    | security    | important | ---        | aplicado        | Security update for ImageMagick                                                                                                                                                                                                                                       
openSUSE-Leap-42.2-Update-Oss    | openSUSE-2018-9    | security    | important | ---        | aplicado        | Security update for kernel-firmware

Ejecutar estos comandos para mas información, valido para Leap 42.2.
zypper patch-info openSUSE-2018-3
zypper patch-info openSUSE-2018-4
zypper patch-info openSUSE-2018-7
zypper patch-info openSUSE-2018-9


Saludos.

PD: Acabo de leer que los Raspberry Pi son invulnerables a esta amenaza ya que usan microprocesadores ARM mas sencillos y mas baratos sin la función ejecución especulativa.

Bueno, pero de acuerdo a Platzi https://m.youtube.com/watch?feature=...&v=tNwjKLrBDZ8 y a Xataka https://www.xataka.com/seguridad/mel...ntel-amd-y-arm los procesadores ARM también son vulnerables por lo que todo proyecto en RPI es susceptible al mismo bug.

Enviado desde mi HUAWEI M2-A01W mediante Tapatalk

karlggest 08-ene-2018 18:13

Hola.

Considera que en la práctica todos los microprocesadores los vulnerables a Spectre. En principio, son menos las excepciones ;)

Y precisamente Spectre es el más difícil tanto de explotar como de mitigar. Vaya.

La diferencia es que Intel la ha cagado mucho, no es la primera vez y su reacción es poco más que un ¡ups!

Salud!!

DiabloRojo 09-ene-2018 08:57

Cita:

Iniciado por NestorAcevedo (Mensaje 198454)
Bueno, pero de acuerdo a Platzi https://m.youtube.com/watch?feature=...&v=tNwjKLrBDZ8 y a Xataka https://www.xataka.com/seguridad/mel...ntel-amd-y-arm los procesadores ARM también son vulnerables por lo que todo proyecto en RPI es susceptible al mismo bug.

Lamento discrepar contigo, las RPI son invulnerables a esas vulnerabilidades porque son microprocesadores ARM muy sencillos y baratos, sin los extras que tiene los mas caros.

Deja que sea el propio fabricante el que te lo explique, menuda explicación :aplausos: : https://www.raspberrypi.org/blog/why...e-or-meltdown/

Traducido a español.

[AÑADIDO] Aviso, aquellos que usan Chrome y derivados como navegador principal, podéis protegeros habilitando la opción "Strict Site Isolation" (ver enlace abajo) y los que usen Firefox Quantum toca actualizar la versión pero los que usen Firefox ESR (opción por defecto en Leap 42.x) no están afectados, aun así se parcheara para evitar mas problemas.

Mas información: https://computerhoy.com/noticias/sof...-firefox-73867
Sobre las versiones del Firefox, ver ultimo parrafo: https://blog.mozilla.org/security/20...timing-attack/

SergioNN 09-ene-2018 19:10

Cita:

y los que usen Firefox Quantum
¡Je! Este devoto satánico no piensa instalar Quantum hasta que la Distro no lo tenga por defecto :D

NestorAcevedo 09-ene-2018 20:07

La última versión de Firefox Quantum es la 57.0.4 que ya está desde el 4 de enero en TumbleWeed y es la que contiene el parche para las vulnerabilidades mencionadas.
Cita:

MFSA 2018-1: Speculative execution side-channel attack ("Spectre")

Cuoco 10-ene-2018 20:10

Hola, para los usuarios de Tumbleweed y AMD, hace un par de días se libero una instantánea la cual traía el kernel 4.14.11-1 con el parche KPTI activado por defecto para todas las CPU de cualquier fabricante, ejecute unos benchmark y note una merma de cercana al 43% con respecto al kernel 4.14.9-1 (que no trae el parche) en el test qVDPAUtest v0.5.1 Multi-Threaded MPEG Decoding. Ayer se liberó otra con el kernel 4.14.12-1 que se le agregó el parche realizado por AMD para desactivar KPTI ( mitigacion de meltdown) para los procesadores de dicha marca. Nuevamente ejecuté los test y el rendimiento volvió a la normalidad.
Ahora resta que incluyan los parches reptolin para spectre en el kernel y GCC y ver como afecta al rendimiento.
Saludos

karlggest 12-ene-2018 13:19

Hola.

¿Cuántas toneladas de fe hacen falta para creer que el chip de AMD no es vulnerable por el único motivo de que la compañía ha afirmado que no lo es? o.O

ah, mi viejo Duo T4500 lo es, por supuesto xddd Tengo que probar mi viejo i5 pero no lo estoy usando..

Salud!!

pdata.: DiabloRojo, ¿ponemos una copia de este tema en "Seguridad"? O desgajamos y enlazamos esta parte de la primera del anuncio.

Cuoco 12-ene-2018 15:30

AMD no es vulnerable a meltdown, spectre si los afecta, chequeen http://www.amd.com/en/corporate/speculative-execution

DiabloRojo 12-ene-2018 19:26

Cita:

Iniciado por karlggest

pdata.: DiabloRojo, ¿ponemos una copia de este tema en "Seguridad"? O desgajamos y enlazamos esta parte de la primera del anuncio.

Buena idea, cuando esté en el navegador de mi ordenador lo hare.

[AÑADIDO] Hecho, aquí tenéis el enlace Chequeador de Spectre y Meltdown para Linux

Enviado desde mi m2 note mediante Tapatalk

NestorAcevedo 16-feb-2018 22:52

Cita:

Iniciado por DiabloRojo (Mensaje 198458)
Lamento discrepar contigo, las RPI son invulnerables a esas vulnerabilidades porque son microprocesadores ARM muy sencillos y baratos, sin los extras que tiene los mas caros.[/url]

Bueno, ARM ya publicó que tiene vulnerabilidades: https://developer.arm.com/support/security-update. Supuestamente la arquitectura RPI dice ser invulnerable, pero el hecho de usar ARM me hace dudar de ello.

DiabloRojo 17-feb-2018 09:40

Cita:

Iniciado por NestorAcevedo (Mensaje 198884)
Bueno, ARM ya publicó que tiene vulnerabilidades: https://developer.arm.com/support/security-update. Supuestamente la arquitectura RPI dice ser invulnerable, pero el hecho de usar ARM me hace dudar de ello.

Esos microprocesadores son los mas complejos de ARM, RPI usan otros mas sencillos que no aparecen en ese listado y por lo tanto no son vulnerables.

Facior 06-mar-2018 19:06

Nueva vulnerabilidad
 
Acabo de leer que se ha detectado una nueva vulnerabilidad en los procesadores Intel que se llama SgxPectre, por la que se puede obtener contraseñas e información sensible.
Espero que pronto tengamos el parche correspondiente, pues los realizados para Meldown y spectre no sirven en este caso.

DiabloRojo 07-mar-2018 16:48

Gracias @Facior acabo de leer información de ese bug de Intel, cuando lea algo sobre un parche de Linux informare al foro.

Krovikan 16-mar-2018 15:46

Nueva actualización de ucode-intel:

This update enables the IBPB+IBRS based mitigations of the Spectre v2 flaws (boo#1085207 CVE-2017-5715)
No sé si tendrá algo que ver con Sgx Spectre (creo que no) pero ahí lo dejo.


Saludos

p, li { white-space: pre-wrap; }

karlggest 16-mar-2018 18:55

Risas listas!

https://lamiradadelreplicante.com/20...vel-de-bajeza/

Krovikan 16-mar-2018 19:35

Interesante por ver que no se salva ninguna marca de procesadores.

Pero la verdad... ahora mismo me preocupa lo que tarda en salir algo para Sgx Spectre que es para la marca que uso (mi CPU es Skylake, por lo tanto, afectada).


Saludos

DiabloRojo 17-mar-2018 09:55

Cita:

Iniciado por Krovikan (Mensaje 199073)
Pero la verdad... ahora mismo me preocupa lo que tarda en salir algo para Sgx Spectre que es para la marca que uso (mi CPU es Skylake, por lo tanto, afectada).

Según esta tabla no requiere cambios en la configuración ni en el firmware, solo parches en el SO y en las aplicaciones. Vamos que es mas fácilmente parcheable que las otras vulnerabilidades.

Por otro lado, según el chequeador de Spectre y Meltdown en su version 0.35 que puse en otro tema del foro me informa que mi openSUSE esta bien protegido, sale todo verde y estatus: NOT VULNERABLE para mi i3 de 1ª generación en ROJO. :D

Krovikan 17-mar-2018 12:35

Por lo que pone en ese enlace, ¿entonces Sgx Spectre se le trata como la variante 2?

Me sale OK para la variante 2 y demás.

https://i.imgur.com/BWOvKUD.png


Saludos

DiabloRojo 17-mar-2018 13:54

Cita:

Iniciado por Krovikan (Mensaje 199075)
Por lo que pone en ese enlace, ¿entonces Sgx Spectre se le trata como la variante 2?

Me sale OK para la variante 2 y demás.

Si y no, SgxPectre es una categoría diferente a Spectre variante 2 aunque el método de ataque es similar.

Ademas el chequeador no sirve para evaluar la vulnerabilidad SgxPectre, no te preocupes que los chicos del kernel son muy buenos haciendo parches. :D

andreasgonz987 26-mar-2018 19:46

Pruebe estas opciones -
Ejecutar estos comandos para mas información, valido para Leap 42.2.
zypper patch-info openSUSE-2018-3
zypper patch-info openSUSE-2018-4
zypper patch-info openSUSE-2018-7
zypper patch-info openSUSE-2018-9


La franja horaria es GMT +2. Ahora son las 10:13.

Powered by vBulletin™
Copyright © vBulletin Solutions, Inc. All rights reserved.


Esta página está bajo una licencia de Creative Commons, salvo que no se indique lo contrario.
Creative Commons License

Valid CSS!