Linux за българи: Форуми

https://www.howtogeek.com/338269/a-huge-intel-security-hole-could-slow-down-your-pc-soon/

Как да го коментираме това??? Почти нямам машина която да не е с интелски процесор. Сега отново излишни гимнастики щото некои някога не си е свършил работата или по-скоро не е трябвало да я върши изобщо. Това едва ли е било девелоперско решение. Това си е чисто корпоративно решение водено от някви интереси далеч отвъд технологиите.

Нищо ново под слънцето... Не се ли наблюдава навсякъде? Съкратен цикъл на производство, намаляване на разходите, малко тестове... Дали е умишлено или не е въпрос на спекулация.

Да не казвам голяма дума, но за Интел е почти идеална ситуацията - всички текущи системи са афектед :) до -30% надолу за виртуалните машини. Изведнъж продават "новите" си процесори без въпросния бъг, които реално са 5% по-бързи, само че сега стават до 35% по-бързи :)

Интересното е, че AMD не са поразени което е поредната добра новина за EPYC.

 

Да не казвам голяма дума, но за Интел е почти идеална ситуацията - всички текущи системи са афектед :) до -30% надолу за виртуалните машини. Изведнъж продават "новите" си процесори без въпросния бъг, които реално са 5% по-бързи, само че сега стават до 35% по-бързи :)

Ами то наскоро имаше новина че старите АйФони ги забавяли изкуствено - познайте защо ::). И сега ги съдят за това. А от ябълката признали че наистина ги забавят .....ама това било за да им карат по дълго старите батерии.......Всичко в името на народа всичко за благото на народа.

Интересното е, че AMD не са поразени което е поредната добра новина за EPYC.

Мярнах в една от новините, че кръпката на ядрото, която в момента е качена не прави разлика между интел и амд, т.е. и за двата производителя ще има забавяне, ако се качи кръпката.

Интересно ми е колко е напечено при клауд провайдерите, защото доколкото видях ще има масов рестарт на виртуалки...

Язък им за uptime.

Като сте почнали такава тема, да споделя нещо, за което съм се чудил N- брой пъти. Нужно ли ми е наистина intel-microcode при условие, че най- новият ми процесор е на 4-5 години и си работеше добре под Linux още при закупуването на машината? До момента, никога не съм забелязал, каквото и да е подобрение в работата, след инсталиране на микрокода. Дори при една версия на Debian ми даваше грешка при стартиране и го бях премахнал. В момента го ползвам, но отново се чудя, дали не греша. Ползата ми е нулева, а не се знае, какво могат да ми пробутат с подменения микрокод. Примерно, стария ми процесор да работи по- неефективно или направо да се повреди, за да се сетя да го сменя.

Аде де??? И аз съм се чудил много защо е? би трябвало микро кодът да е wire-нат вътре в процесора - да е нещо от рода на твърди връзки....Ако не е твърди връзки поне да е ROM таблица... даже да не е епром.....  Самото съществуване на микро кода не означава ли че си оставят вратичка за поправка на евентуални хардуерни грешки.... И това не означава ли, че процесора не е хубаво проектиран щом се нуждае от ъплоад на микро код.

АRМ-ите имамт ли микрокод дето да се зарежда външно? Изобщо имат ли микрокод?

Аде де??? И аз съм се чудил много защо е? би трябвало микро кодът да е wire-нат вътре в процесора - да е нещо от рода на твърди връзки....Ако не е твърди връзки поне да е ROM таблица... даже да не е епром.....  Самото съществуване на микро кода не означава ли че си оставят вратичка за поправка на евентуални хардуерни грешки.... И това не означава ли, че процесора не е хубаво проектиран щом се нуждае от ъплоад на микро код.

АRМ-ите имамт ли микрокод дето да се зарежда външно? Изобщо имат ли микрокод?

Варианти много. Само от името на фирмата производител може да се оформи конспиративна или не чак толкова конспиративна теория.

Мисълта ми е че процесора е хардуерно устройство. Твърдо. Чип. И то той е основен компонент - от който тръгва и работи компютъра. Не трябва да има нищо софтуерно по него - поне не отвънка. Ако им трябва някаква ниска логика - още едно ниво на абстракция - т.е. микрокод - да си правят вътрешно и никой да не знае за него, нито да се променя след като един път е излязъл от завода ---- иначе какво хардуерно устройсто е? на което да се разчита.

Едно време нямаше 'микрокод' - по времената на 6502 и подобните..Няма микро код и по Едночиповите микроконтролери....Микро код имаше само по дебелите книги по изчислителна техника - как е организиран ЦПУ-то и как работи.....(не че съм ги чел де..... :'() Аз за първи път видях че има микрокод от ИНтел :o и то да се зарежда отвънка :o :o

Ми няма логика от технологична гледна точка така е.Това е чип подаваш му ток и то смета там прави каквото прави и връща пак ток.Нали се сещаш че това решение е взето от хора които неразбират считай не технически хора.Какви беха там меринджеи,СЕО-та и тем такива подобни екземпляри. С каква цел можем само да спекулираме.

И аз съм се чудил за тези линукс микрокодове (ниво кърнел), но сега ще споделя каквото знам и от къде съм го научил:
Микрокодовете се съдържат в БИОСА (не ме питайте защо са там).
Това го знам понеже имам дъно сокет 775 с процесор за 771 и се наложи да инжектирам микрокодовете му в биос файла и след това да го флашна. До колкото съм запознат, тези външни микрокодове са за да може операционната система да използва новите благинки на процесорите (по бързо архивиране поради вградена функционалност в процесора и тнт.)

Че това през BIOS-а ли го прави операционната система ?

Нямам идея как е реално, но принципно искам да кажа:
Те са в биоса (за да можеш да имаш всичко като технология изброено примерно тук https://ark.intel.com/products/97129/Intel-Core-i7-7700K-Processor-8M-Cache-up-to-4_50-GHz). А на кърнела му трябват за да може след като зареди (тогава той командва) да може да се възползва от тях.
Това е само теория, може и да греша.

Че това през BIOS-а ли го прави операционната система ?

Не. Инсталирания допълнително  микрокод подменя оригиналния при зареждане на ядрото. Официално, този микрокод коригира грешки в първоначално зададения и добавя нови възможности за работата на процесора, но в дейтвителност не се знае, какво точно включва.

Цитат на: Acho в Jan 03, 2018, 19:09

Че това през BIOS-а ли го прави операционната система ?

Не. Инсталирания допълнително  микрокод подменя оригиналния при зареждане на ядрото. Официално, този микрокод коригира грешки в първоначално зададения и добавя нови възможности за работата на процесора, но в дейтвителност не се знае, какво точно включва.

https://wiki.debian.org/Microcode

Доколкото разбирам и БИОС-а може да съдържа ъпдейт на микрокода.

Тук е доста добре обяснено, няма общо с микрокода, правят Kernel Page Table Isolation (KPTI) и вече въпросната таблица с адреси не е достъпна от потребителските процеси:

https://arstechnica.com/gadgets/2018/01/whats-behind-the-intel-design-flaw-forcing-numerous-patches/

Вие се чудите за микро код в процесора, а какво ще кажете за цяла операционна система в интелските чипсети (на Андрю Таненбаум Миникс-а) - от Декемврийския скандал.

http://www.zdnet.com/article/minix-intels-hidden-in-chip-operating-system/

Поредната разкрита вратичка на ЦРУ...

Вие се чудите за микро код в процесора, а какво ще кажете за цяла операционна система в интелските чипсети (на Андрю Таненбаум Миникс-а) - от Декемврийския скандал.

http://www.zdnet.com/article/minix-intels-hidden-in-chip-operating-system/

Слава Богу, че и и за там не са намерили някой remote exploit, че доколкото четох преди си имал и напълно работещ network stack.

Вие се чудите за микро код в процесора, а какво ще кажете за цяла операционна система в интелските чипсети (на Андрю Таненбаум Миникс-а) - от Декемврийския скандал.

http://www.zdnet.com/article/minix-intels-hidden-in-chip-operating-system/

На който му седят отворени съответните портове да мисли какво да прави. Има пуснати пачове, те не премахват скритата система но правят невъзможно да се ползва току-така.

Слава Богу, че и и за там не са намерили някой remote exploit, че доколкото четох преди си имал и напълно работещ network stack.

Network stack-а е бял кахър. ME-то може и до framebuffer-а на видео картата ти да стигне.

Доколкото разбирам и БИОС-а може да съдържа ъпдейт на микрокода.

Може, ако обновиш BiOS. И, тази промяна е постоянна, докато инсталирания в Linux микрокод подменя наличния при зареждане на системата. Има и нещо, като собствена система за инициализация, която тества процесора и може да бтде настроена да зарежда микрокода само за твоя процесор.
https://s25.postimg.org/a3yu1gwv3/intel-microcode.png
В което също не вярвам особено.
Чел съм доста за него, докато съм се чудил, дали да го ползвам. Не, че всичко съм разбрал.

Има ли някакви пачове вече?
И следващият въпрос е, дали това нещо е опасно, ако никой няма шел достъп до машината?

За пач не знам, но шела няма значение. (поне така пише):

So, in a worst case scenario, JavaScript code running in your web browser could reach down into the kernel and access things it shouldn’t.

Може да е всякаква апликация, програма, код, въобще всичко, което се изпълнява.

Има ли някакви пачове вече?
И следващият въпрос е, дали това нещо е опасно, ако никой няма шел достъп до машината?

От Червената шапка обявиха, че работят по върпоса и скоро ще пуснат обновления. Което значи, че до момента няма.

Предполагам, че за да се експлойтва тази уязвимост е необходимо да се изпълни някакъв код на сървъра. Най-вероятно е опасно за хора, които предлагат или ползват хостинг на виртурални сървъри, щото тогава всеки с виртуална машина ще може да чете от хипервайзора. Не знам до колко е възможно през уеб хостинг и web скриптове да се постигне същото. Тъй или иначе се надявам локални машини да не са уязвими освен през злодеяния на собствените си потребители.

   Kaкто вече се намекна,големите "облачни" доставчици - амазон,малки-и-меки и сие,ще
берат сериозни ядове.Ще се наложи рестарт на голям брой виртуалки (интересно ми е,ще
могат ли да го направят безболезнено) и ще намалее сериозно бързодействието като цяло.
   Интересна ще е реакцията на клиентите им ...

Има ли някакви пачове вече?
И следващият въпрос е, дали това нещо е опасно, ако никой няма шел достъп до машината?

За Fedora излезе ново ядро днес -- 4.14.11, за което бяха писали, че ще е с реализиран kpmti в него.

За другите дистрибуции -- не знам.

Частично закърпване на уязвимостите в ядрото, излезе още в края на декември за повечето дистрибуции. Но, само с ядрото няма да мине.
Виж това : "Red Hat rates the security impact of the vulnerabilities as important"
The company will soon release new versions of the kernel, kernel-rt, kernel-headers, dracut, libvirt, qemu-kvm-rhev, microcode_clt, and linux_firmware components for the supported operating systems mentioned above, and said that it also included the ability to enable them selectively to better understand the impact of each one of these security updates on sensitive workloads.

При Дебиан работата не е красива:

https://security-tracker.debian.org/tracker/source-package/linux

Те и не бързат. Надявам се, че вече са променили надменното си поведение от последните години в стил "Проблемите ти не ни засягат" и също ще работят по въпроса. Последното обновяване в Stretch беше преди 10-15 дни.
П.П.: Като гледам, как поддържат Jessie, направо се плаша. Добре, че има backports main хранилище за ядрото на Stretch.

Прясна новина : http://news.softpedia.com/news/linux-kernels-4-14-11-4-9-74-4-4-109-3-16-52-and-3-2-97-patch-meltdown-flaw-519215.shtml

Ако не ви затруднява, нека всеки сподели, кога е постъпила кръпката в неговата дистрибуция.

малко нова информация по темата:

https://security.googleblog.com/2018/01/todays-cpu-vulnerability-what-you-need.html

https://security.googleblog.com/2018/01/more-details-about-mitigations-for-cpu_4.html

и разширена информация по втория пост:

https://googleprojectzero.blogspot.bg/2018/01/reading-privileged-memory-with-side.html

Проблема вече става не-само-интел...

за изтриване..

Ако пробива може да стане с Джаваскрипт - по-горе някой писа за отворени портове ... пак да си помисли.
На Дебиан работата не била красива, ако някоя дистрибуция е "красива" т.е. казват че всичко им е пачнато - лъжат като дърти ?!..гани.
За някои от проблемите няма решение (т.е. има, но нов хардуер, който дори не е проектиран още).
От Интел даже още няма коментар.

Тази сутрин, актуализираното ядро постъпи в Debian. Очарован съм от тази бърза реакция.

Yves-Alexis Perez corsac@debian.org
   
00:25 (9 hours ago)
   
to debian-securit.
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512

- -------------------------------------------------------------------------
Debian Security Advisory DSA-4078-1                   security@debian.org
https://www.debian.org/security/                        Yves-Alexis Perez
January 04, 2018                      https://www.debian.org/security/faq
- -------------------------------------------------------------------------

Package        : linux
CVE ID         : CVE-2017-5754

Multiple researchers have discovered a vulnerability in Intel processors,
enabling an attacker controlling an unprivileged process to read memory from
arbitrary addresses, including from the kernel and all other processes running
on the system.

This specific attack has been named Meltdown and is addressed in the Linux
kernel for the Intel x86-64 architecture by a patch set named Kernel Page Table
Isolation, enforcing a near complete separation of the kernel and userspace
address maps and preventing the attack. This solution might have a performance
impact, and can be disabled at boot time by passing `pti=off' to the kernel
command line.

We also identified a regression for ancient userspaces using the vsyscall
interface, for example chroot and containers using (e)glibc 2.13 and older,
including those based on Debian 7 or RHEL/CentOS 6. This regression will be
fixed in a later update.

The other vulnerabilities (named Spectre) published at the same time are not
addressed in this update and will be fixed in a later update.

For the oldstable distribution (jessie), this problem will be fixed in a
separate update.

For the stable distribution (stretch), this problem has been fixed in
version 4.9.65-3+deb9u2.

We recommend that you upgrade your linux packages.

For the detailed security status of linux please refer to
its security tracker page at:
https://security-tracker.debian.org/tracker/linux

Further information about Debian Security Advisories, how to apply
these updates to your system and frequently asked questions can be
found at: https://www.debian.org/security/

Mailing list: debian-security-announce@lists.debian.org

Това е официалното съобщение. Копирам го, защото има подсказки как може да се спре пач-а по време на зареждане и че кръпката решава само единия от двата проблема.

Кръпката си беше само за Meltdown. Това, което ме зарадва беше реакцията. Още с излизането на деветката, усетих някакво оживление в Debian и се радвам, че се връщат хубавите времена от времето на Squeeze.

https://insights.ubuntu.com/2018/01/04/ubuntu-updates-for-the-meltdown-spectre-vulnerabilities/

Интересното е, че всички са знаели и са се споразумели да не издават преди да излезе ъпдейта при всички ОС:

Canonical engineers have been working on this since we were made aware under the embargoed disclosure (November 2017) and have worked through the Christmas and New Years holidays

I say “unfortunately”, in part because there was a coordinated release date of January 9, 2018, agreed upon by essentially every operating system, hardware, and cloud vendor in the world. By design, operating system updates would be available at the same time as the public disclosure of the security vulnerability.

Скриптче, да си чеквате:
https://github.com/speed47/spectre-meltdown-checker

При мен всичко е VULNERABLE :) Ubuntu 16.04 - 4.4.0-104-generic

Ядрото в Ubuntu 16.04 не е обновявано. Поне до тази сутрин.

Ядрото в Ubuntu 16.04 не е обновявано. Поне до тази сутрин.

   Така е,за съжаление.
   По отношение на браузърите:
   Твърди се ,че файърфокс (от версия 57.0.4) и,вероятно хром,
са пачнати, и не са уязвими.
   Доколко това е вярно,е съвсем отделен въпрос...

Цитат на: cybercop в Jan 08, 2018, 14:03

Ядрото в Ubuntu 16.04 не е обновявано. Поне до тази сутрин.

   Така е,за съжаление.
   По отношение на браузърите:
   Твърди се ,че файърфокс (от версия 57.0.4) и,вероятно хром,
са пачнати, и не са уязвими.
   Доколко това е вярно,е съвсем отделен въпрос...

На нищо не вярвам. Още преди дни, прочетох, че защитата трябва да е на няколко нива и само с актуализация на ядрото няма да мине. И не съм сигурен, че е за съжаление. Обикновено в Ubuntu вкарват кръпките почти незабавно и винаги преди Debian (там закърпиха само Meltdown). В случая стана обратното и подозирам, че си има конкретна причина.
Премахнах и intel-microcode, защото от Intel са ми най- съмнителни и, кой знае, каква неприятна изненада ще ми сервират, докато ме пазят.

Е сега с АМД-та ли ще караме, или с Мотороли и Трансмета, деа и Интела му ?

Къде е Роко, да си каже тежката дума за АМД-то ?

Е сега с АМД-та ли ще караме, или с Мотороли и Трансмета, деа и Интела му ?

Къде е Роко, да си каже тежката дума за АМД-то ?

AMD са в същото положение. Но, от Intel ще го отнесат най- голям, защото са знаели от доста време и са го криели.

Твърди се ,че файърфокс (от версия 57.0.4) и,вероятно хром,

То дупката е цялостна в ядрата. Демек, всеки код преминал през процесора може да се възползва. ФФ и Хром пачнаха само най-големия страх на всички - този код да не се съдържа в джаваскрипта на някой сайт.

Debian Jessie са закърпили Meltdown

Пуснаха кръпката за Ubuntu и системата отказа да зареди с обновеното 4.4 LTS ядро. Стартирах предишното и инсталирах 4.14 от Ubuntu Kernel. Засега няма проблеми, но, тази версия на ядрото е от пети Януари. Не се знам със следващата актуализация, какво ще ме сполети. Даже се чудя, дали да я пропусна.

При мен всичко мина по вода.

За старите ЛТСи 16.04 излезе в офицялното репо:

Listing...
linux-generic/xenial-updates,xenial-security 4.4.0.108.113 amd64 [upgradable from: 4.4.0.104.109]
linux-headers-generic/xenial-updates,xenial-security 4.4.0.108.113 amd64 [upgradable from: 4.4.0.104.109]
linux-image-generic/xenial-updates,xenial-security 4.4.0.108.113 amd64 [upgradable from: 4.4.0.104.109]
linux-libc-dev/xenial-updates,xenial-security 4.4.0-108.131 amd64 [upgradable from: 4.4.0-104.127]

* Скрипта, който дадох по-назад казва, че е закърпен само CVE-2017-5754 [rogue data cache load] aka 'Meltdown' aka 'Variant 3'. Spectre  си е VULNERABLE!

За по-ново инсталираните (те вече използват по-нови ядра офицялно), няма още:

~# uname -a
Linux server 4.10.0-42-generic #46~16.04.1-Ubuntu SMP Mon Dec 4 15:57:59 UTC 2017 x86_64 x86_64 x86_64 GNU/Linux

# apt update
All packages are up to date.

ПП: @cybercop, на това 4.14 ядро , може ли да пуснеш чекера, да кажеш дали е закърпено ? https://github.com/speed47/spectre-meltdown-checker

Няма смисъл да го проверявам. Това е 4.14-12 от 05.01.2018г., което е закърпено 4.14-11 от четвърти Януари.
https://s25.postimg.org/tlqq9di8f/kernel4_14.png
Сега погледнах, кога е излязла кръпката, че имах съмнение. Кръпката е само за Meltdown.

П.П.: Експресно обновиха всички ядра, включително 4.14.

Тия от Юбунту са се смахнали. Сега ми дойде ъпдейт и на машината с по-новото ядро:

# uname -a
Linux server 4.10.0-42-generic #46~16.04.1-Ubuntu SMP Mon Dec 4 15:57:59 UTC 2017 x86_64 x86_64 x86_64 GNU/Linux

# apt list --upgradable
Listing... Done
linux-generic/xenial-updates,xenial-security 4.4.0.109.114 amd64 [upgradable from: 4.4.0.108.113]
linux-generic-hwe-16.04/xenial-updates,xenial-security 4.13.0.26.46 amd64 [upgradable from: 4.10.0.42.44]
linux-headers-generic/xenial-updates,xenial-security 4.4.0.109.114 amd64 [upgradable from: 4.4.0.108.113]
linux-headers-generic-hwe-16.04/xenial-updates,xenial-security 4.13.0.26.46 amd64 [upgradable from: 4.10.0.42.44]
linux-image-generic/xenial-updates,xenial-security 4.4.0.109.114 amd64 [upgradable from: 4.4.0.108.113]
linux-image-generic-hwe-16.04/xenial-updates,xenial-security 4.13.0.26.46 amd64 [upgradable from: 4.10.0.42.44]
linux-libc-dev/xenial-updates,xenial-security 4.4.0-109.132 amd64 [upgradable from: 4.4.0-108.131]

Не мога да схвана. Искат да ми заменят официалното (стоково, по подразбиране) ядро 4.10 с 4.4 ? Ей това не бях го виждал.

Тия от Юбунту са се смахнали. Сега ми дойде ъпдейт и на машината с по-новото ядро:

Цитат

# uname -a
Linux server 4.10.0-42-generic #46~16.04.1-Ubuntu SMP Mon Dec 4 15:57:59 UTC 2017 x86_64 x86_64 x86_64 GNU/Linux

# apt list --upgradable
Listing... Done
linux-generic/xenial-updates,xenial-security 4.4.0.109.114 amd64 [upgradable from: 4.4.0.108.113]
linux-generic-hwe-16.04/xenial-updates,xenial-security 4.13.0.26.46 amd64 [upgradable from: 4.10.0.42.44]
linux-headers-generic/xenial-updates,xenial-security 4.4.0.109.114 amd64 [upgradable from: 4.4.0.108.113]
linux-headers-generic-hwe-16.04/xenial-updates,xenial-security 4.13.0.26.46 amd64 [upgradable from: 4.10.0.42.44]
linux-image-generic/xenial-updates,xenial-security 4.4.0.109.114 amd64 [upgradable from: 4.4.0.108.113]
linux-image-generic-hwe-16.04/xenial-updates,xenial-security 4.13.0.26.46 amd64 [upgradable from: 4.10.0.42.44]
linux-libc-dev/xenial-updates,xenial-security 4.4.0-109.132 amd64 [upgradable from: 4.4.0-108.131]

Не мога да схвана. Искат да ми заменят официалното (стоково, по подразбиране) ядро 4.10 с 4.4 ? Ей това не бях го виждал.

Зависи за коя версия става въпрос. Стоковото за 16.04 е 4.4 LTS. Ядро 4.10 е с краткосрочна поддръжка.
Диструбуцията е Убунту. Името няма нищо общо с английския език. Новата актуализация дойде, защото, вероятно и други, освен мен са имали проблеми с първата кръпка. Закърпиха се експресно всички ядра до версия 4.14.

Аз заради твоя опит не съм ъпгрейднал още :) (машината е у нас и в момента нямам физически достъп)

Относно:

Стоковото за 16.04 е 4.4 LTS

От една година насам не е така. В момента, ако си свалиш "Убунту" 16.04 от страницата им (поне за десктоп версията съм сигурен) идва с 4.10 и когато си направят примерно 4.11, apt upgrade ще ти сложи него.

ПП: Нещо са променили:
https://wiki.ubuntu.com/Kernel/RollingLTSEnablementStack

Аз заради твоя опит не съм ъпгрейднал още :) (машината е у нас и в момента нямам физически достъп)

Относно:

Цитат

Стоковото за 16.04 е 4.4 LTS

От една година насам не е така. В момента, ако си свалиш "Убунту" 16.04 от страницата им (поне за десктоп версията съм сигурен) идва с 4.10 и когато си направят примерно 4.11, apt upgrade ще ти сложи него.

ПП: Нещо са променили:
https://wiki.ubuntu.com/Kernel/RollingLTSEnablementStack

Вервай ми, до тази сутрин ползвах Generic ядрото за Xenial и знам кое е. Отваряш си мениджъра на пакети, пишеш "linux-generic" и гледаш, кое ядро е прикачено към мета- пакета.
https://s25.postimg.org/v8kj7xbtr/linux-generic.png
HWE ядрата са ядра от излезлите след LTS изданието версии на дистрибуцията.
Само 16.04 и 16.4.1 са с оригиналната конфигурация. Следващите версии са с ядро и драйвъри за видеото от последната излязла версия. При сървърните образи, избираш между оригиналното и HWE ядро при зареждане.

Взе да ми се избистря. Просто виж какво се получава:

Машина 1 инсталирана оригинално с 16.04.0:

Към днешна дата, само със официалните ъпдейти:

DISTRIB_ID=Ubuntu
DISTRIB_RELEASE=16.04
DISTRIB_CODENAME=xenial
DISTRIB_DESCRIPTION="Ubuntu 16.04.3 LTS"

Демек, вече е 16.04.3 , но

# uname -r
4.4.0-108-generic

Машина 2 инсталирана оригинално с 16.04.2 (дойде с 4.8 ):

Към днешна дата, само със официалните ъпдейти:

DISTRIB_ID=Ubuntu
DISTRIB_RELEASE=16.04
DISTRIB_CODENAME=xenial
DISTRIB_DESCRIPTION="Ubuntu 16.04.3 LTS"

Пак пише "Ubuntu 16.04.3 LTS", но:

# uname -r
4.10.0-42-generic

Към днешна дата, само със официалните ъпдейти:
DISTRIB_ID=Ubuntu
DISTRIB_RELEASE=16.04
DISTRIB_CODENAME=xenial
DISTRIB_DESCRIPTION="Ubuntu 16.04.3 LTS"
Демек, вече е 16.04.3 , но
# uname -r
4.4.0-108-generic

Обновявай бързо до 4.4-109 да не береш ядове. Въпреки, че при тази проблемна актуализация, ядрото или стартира, или не. Ако стартира, значи проблемът не те засяга.

Ubuntu-mate 16.04 закърпено за Meltdown. Новото ядро е 4.13, старото беше 4.10

Ubuntu-mate 16.04 закърпено за Meltdown. Новото ядро е 4.13, старото беше 4.10

НО
https://news.slashdot.org/story/18/01/10/1634215/meltdown-and-spectre-patches-bricking-ubuntu-1604-computers

Цитат на: petar258 в Jan 10, 2018, 21:25

Ubuntu-mate 16.04 закърпено за Meltdown. Новото ядро е 4.13, старото беше 4.10

НО
https://news.slashdot.org/story/18/01/10/1634215/meltdown-and-spectre-patches-bricking-ubuntu-1604-computers

Нямам проблем, може би защото е инсталиран с UEFI. Ще видим как ще е на десктопа, той е стар и е на MBR
И на десктопа няма проблем.
uname -a
Linux desktop 4.13.0-26-generic #29~16.04.2-Ubuntu SMP Tue Jan 9 22:00:44 UTC 2018 x86_64 x86_64 x86_64 GNU/Linux
Може би разработчиците на ubuntu-mate са по-мъдри от тези на чистото ubuntu

Колега, Ubuntu MATE е официален Ubuntu десктоп. По въпроса с ядрата, те ме могат да проявяват мъдрост. Ползваш или щатното на Xenial, или HWE ядро от някоя излязла след нея версия на Ubuntu.

Колега, Ubuntu MATE е официален Ubuntu десктоп. По въпроса с ядрата, те ме могат да проявяват мъдрост. Ползваш или щатното на Xenial, или HWE ядро от някоя излязла след нея версия на Ubuntu.

Много добре знам кое какво е, но има някои разлики от чистото Ubuntu. Не ползвам нищо специално, както е инсталиран така си е непипнат, само таскбара съм местил долу. Става дума за дистрибуцията която се казва Ubuntu-mate. А не за ubuntu с добавен десктоп mate

Обновявай бързо до 4.4-109 да не береш ядове. Въпреки, че при тази проблемна актуализация, ядрото или стартира, или не. Ако стартира, значи проблемът не те засяга.

Дам. При ресване, взе да прави проблеми (вчера не плюеше грешки):
https://preview.ibb.co/jS3VU6/20180111_104338.jpg
Послушах @cybercop  и за сега с 4.4.0-109-generic, се рестартира нормално. Ще видим занапред :)

@petar258, и аз съм с UbuntuMate (дистрибуцията), но cybercop е прав. Ядрата са еднакви и се взимат от едни и същи репота. Това, което обсъдихме за HWE ядрата по-горе, в моя случай беше точно за Mate.

Е, сигурно на мен ми пускат специално ядро хахаха. Това 4.13 е еднакво и на лаптопа, и на десктопа. Всъщност не е изключено като се има предвид че у нас са внедрени системи за следене и замяна на определени файлове по заявка. Но не вярвам скромната ми персона да е толкова много оперативно интересна за тъпанарите на ББ. Някой ден ако нямам какво да правя може да пробвам да инсталирам от друго място с друг интернет да видя дали няма да се появи разлика. ;)

Става дума за дистрибуцията която се казва Ubuntu-mate. А не за ubuntu с добавен десктоп mate

Проучи добре, какво ползваш и какво пише на образите, когато ги сваляш. Дистрибуцията се нарича Ubuntu. Това , което за по- кратко се нарича Ubuntu MATЕ е Ubuntu MATE Desktop. Едно от официалните десктоп издания на Ubuntu, каквито са и изданията с Unity и Xfce.
Виж, какво пише на образа : https://ubuntu-mate.org/download/
http://cdimage.ubuntu.com/ubuntu-mate/releases/16.04.3/release/ubuntu-mate-16.04.3-desktop-amd64.iso

Е, сигурно на мен ми пускат специално ядро хахаха. Това 4.13 е еднакво и на лаптопа, и на десктопа. Всъщност не е изключено като се има предвид че у нас са внедрени системи за следене и замяна на определени файлове по заявка. Но не вярвам скромната ми персона да е толкова много оперативно интересна за тъпанарите на ББ. Някой ден ако нямам какво да правя може да пробвам да инсталирам от друго място с друг интернет да видя дали няма да се появи разлика. ;)

Не е по-специално ядро за теб :) Виж назад примера ми с Машина 1 и Машина 2 и какво обсъждахме. И двете машини са с UbuntuMate 16.04 (инсталирани по различно време) свалено от тук:
https://ubuntu-mate.org/
От където предполагам си си свалил и ти OS-а.

ПП: Относно спора за дали UbuntuMate е дистрибуция и преди съм казвал, че за мен си е отделна дистрибуция.

Да, от там съм го свалил. Тъкмо проверявах чексумите на имиджа. Но вие май откакто сте ги инсталирали не сте обновявали кернела. А при мен като съм цъкал профилактично веднъж седмично на Актуализационен център ми е излизало предложение за ъпгрейд на кернела и съм се съгласявал. Подчертавам че не съм кликал на избор на кернел, на dev options и прочие из конфигурациите на системата. Ако на някой му е интересно мога да му пусна няколко извадки от логовете на apt

ДНо вие май откакто сте ги инсталирали не сте обновявали кернела.

4.4.0-109-generic е обновлението от вчера. Ако си инсталирал вчера, около обяд, наистина може да не си обновявал.

Цитат на: petar258 в Jan 11, 2018, 11:45

ДНо вие май откакто сте ги инсталирали не сте обновявали кернела.

4.4.0-109-generic е обновлението от вчера. Ако си инсталирал вчера, около обяд, наистина може да не си обновявал.

от снощи е:

Start-Date: 2018-01-10  21:04:55
Commandline: aptdaemon role='role-commit-packages' sender=':1.60'
Install: linux-image-4.13.0-26-generic:amd64 (4.13.0-26.29~16.04.2, automatic), linux-headers-4.13.0-26:amd64 (4.13.0-26.29~16.04.2, automatic), linux-signed-image-4.13.0-26-generic:amd64 (4.13.0-26.29~16.04.2, automatic), linux-image-extra-4.13.0-26-generic:amd64 (4.13.0-26.29~16.04.2, automatic), linux-headers-4.13.0-26-generic:amd64 (4.13.0-26.29~16.04.2, automatic)
Upgrade: linux-libc-dev:amd64 (4.4.0-108.131, 4.4.0-109.132), linux-image-generic-hwe-16.04:amd64 (4.10.0.42.44, 4.13.0.26.46), linux-signed-generic-hwe-16.04:amd64 (4.10.0.42.44, 4.13.0.26.46), linux-generic-hwe-16.04:amd64 (4.10.0.42.44, 4.13.0.26.46), linux-signed-image-generic-hwe-16.04:amd64 (4.10.0.42.44, 4.13.0.26.46), linux-headers-generic-hwe-16.04:amd64 (4.10.0.42.44, 4.13.0.26.46)
End-Date: 2018-01-10  21:06:27

след което чекера на makeme показа че е закърпен Meltdown
към момента не ми излиза друг ъпдейт дори и с команда от конзола

@petar258, май не ме разбра.

Взе да ми се избистря. Просто виж какво се получава:

Машина 1 инсталирана оригинално с 16.04.0:

Към днешна дата, само със официалните ъпдейти:

Цитат

DISTRIB_ID=Ubuntu
DISTRIB_RELEASE=16.04
DISTRIB_CODENAME=xenial
DISTRIB_DESCRIPTION="Ubuntu 16.04.3 LTS"

Демек, вече е 16.04.3 , но

Цитат

# uname -r
4.4.0-108-generic

Машина 2 инсталирана оригинално с 16.04.2 (дойде с 4.8 ):

Към днешна дата, само със официалните ъпдейти:

Цитат

DISTRIB_ID=Ubuntu
DISTRIB_RELEASE=16.04
DISTRIB_CODENAME=xenial
DISTRIB_DESCRIPTION="Ubuntu 16.04.3 LTS"

Пак пише "Ubuntu 16.04.3 LTS", но:

Цитат

# uname -r
4.10.0-42-generic

Да обобщя:
Ако си си инсталирал твоя Мате, когато най-новия е бил 16.04.0 или 16.04.1, нямаше да имаш по подразбиране включено обновление за HWE ядрата:
https://wiki.ubuntu.com/Kernel/RollingLTSEnablementStack
Ако обаче (както е твоя случай и моя от Машина 2) си си инсталирал 16.04.2+ по подразбиране взимаш HWE. Казвам по подразбиране понеже съм на 99% сигурен, че не ме е питало при инсталирането.

към момента не ми излиза друг ъпдейт дори и с команда от конзола

А аз съм още с това от 10ч.
https://s25.postimg.org/64l357d0v/ubuntu-kernel.png
Срам ме е, но търпя.

Лаптопа е инсталиран мисля с 16.04.2 щото беше към юни 2017. Но към момента показва 16.04.3 Настолния май е инсталиран с 16.04.3 щото тоя имидж последно съм теглил наскоро и го инсталирах преди няколко дни.

16.04.3 е с HWE ядро и драйвъри за видеото. Това са ядрата на краткосрочните версии, излезли след LTS.
https://s25.postimg.org/v48c94sdb/hwe.png
Както коментирахме по- горе с оригиналната за Xenial конфигурация са само версия 16.04 и 16.04.1 за десктоп изданията. Сървърните образи след 16.04.1 са с оригиналната конфигурация, но с добавено HWE ядро, което можеш да избереш, ако имаш желания.

https://downloadcenter.intel.com/download/27431/Linux-Processor-Microcode-Data-File

To update the intel-ucode package to the system:
- 1. Ensure the existence of /sys/devices/system/cpu/microcode/reload
- 2. Copy intel-ucode directory to /lib/firmware, overwrite the files in /lib/firmware/intel-ucode/
- 3. Write the reload interface to 1 to reload the microcode files, e.g. echo 1 > /sys/devices/system/cpu/microcode/reload

don't forget to update your initramfs, else on reboot it won't be applied
on debian: update-initramfs -u
check with dmesg | grep microcode

И кво сега .... пачовете били дефектни и пълен боклук. :o

https://www.rt.com/news/416712-intel-bug-fix-problems/

И кво сега .... пачовете били дефектни и пълен боклук. :o

https://www.rt.com/news/416712-intel-bug-fix-problems/

Напълно нормално. Линус Торвалдс пак ще показва средни пръсти :)

Днес на 16.04 ми дойде ъпдейт на ядрото (4.4.0-112-generic) и сега чекера дава, че CVE-2017-5753 Spectre е оправено. Остава само "CVE-2017-5715 [branch target injection] aka 'Spectre Variant 2'" Тук съм със стари процесори и се надявам да не се рескат :)

Напълно нормално. Линус Торвалдс пак ще показва средни пръсти :)

Добре че е педант и държи на качеството и правилните решения - иначе кернела отдавна да е заприличал на бозата.

Intel from inside  :D

Цитат на: makeme в Jan 23, 2018, 11:37

Напълно нормално. Линус Торвалдс пак ще показва средни пръсти :)

Добре че е педант и държи на качеството и правилните решения - иначе кернела отдавна да е заприличал на бозата.

И какво като не е, като всичко отгоре е?

п.п. А аз казах ли ви моята версия за Интел??? НЕ СИ ГО ПОЖЕЛАВАЙТЕ!

spectre-meltdown-checker е вече в хранилищата на Дебиан

(https://imgur.com/a/XwysW)