Kernel-Upgrade für Stretch nach Meltdown und Spectre?
Kernel-Upgrade für Stretch nach Meltdown und Spectre?
Hallo Ihr,
wißt Ihr, ob es für Debian Stable ein Kernel-Upgrade wegen der Sicherheitslücken geben wird?
Normalerweise bleibt Debian Stable ja doch immer bei einem Kernel und der wird nicht geupdated bis zum nächsten Release, oder?
Aber in diesem Fall wäre es ja quasi ein entscheidend wichtiges Sicherheits-Update und die werden ja schon geliefert.
Viele Grüße
desputin
wißt Ihr, ob es für Debian Stable ein Kernel-Upgrade wegen der Sicherheitslücken geben wird?
Normalerweise bleibt Debian Stable ja doch immer bei einem Kernel und der wird nicht geupdated bis zum nächsten Release, oder?
Aber in diesem Fall wäre es ja quasi ein entscheidend wichtiges Sicherheits-Update und die werden ja schon geliefert.
Viele Grüße
desputin
https://www.daswirdmanjawohlnochsagenduerfen.de
https://www.neoliberalyse.de - Über die Ökonomisierung aller Lebensbereiche. |
https://www.neoliberalyse.de - Über die Ökonomisierung aller Lebensbereiche. |
Re: Kernel-Upgrade für Stretch nach Meltdown und Spectre?
Meltdown:
Für Wheezy, Jessie, Stretch, Buster und SID schon längst passiert.
Gegen Spectre helfen Kernelupdates nur sehr bedingt. Es gibt für einige neuere Intel CPUs Microcode-Updates.
Für Wheezy, Jessie, Stretch, Buster und SID schon längst passiert.
Gegen Spectre helfen Kernelupdates nur sehr bedingt. Es gibt für einige neuere Intel CPUs Microcode-Updates.
Re: Kernel-Upgrade für Stretch nach Meltdown und Spectre?
D.h. die Updates für den Kernel sind im normalen dist-upgrade unter Stretch schon mitgekommen? Ich bin technisch nicht so versiert.... heißt daß, man kann Teile des Kernels austauschen, ohne hin vollständig neu zu installieren?
https://www.daswirdmanjawohlnochsagenduerfen.de
https://www.neoliberalyse.de - Über die Ökonomisierung aller Lebensbereiche. |
https://www.neoliberalyse.de - Über die Ökonomisierung aller Lebensbereiche. |
Re: Kernel-Upgrade für Stretch nach Meltdown und Spectre?
desputin, du stellst dir das falsch vor.
Ja, man kann den Kernel austauschen. Dabei wird er komplett neu installiert. Das ist bei dir vermutlich schon etliche Male passiert und du hast es gar nicht mitbekommen. Deswegen wird Debian Stable nicht "unstable".
Schau mal nach, du müsstest "linux-image-4.9.0-5-amd64" installiert haben in der Versionsnummer "4.9.65-3+deb9u2". Da ist der Patch gegen "Meltdown" schon enthalten.
Gegen "Spectre" gibt es noch nichts. Die knobeln noch, wie man die Sache am besten löst. Vermutlich müssen sämtliche Pakete neu kompiliert werden - das wird dann ein sehr großes Update.
Ja, man kann den Kernel austauschen. Dabei wird er komplett neu installiert. Das ist bei dir vermutlich schon etliche Male passiert und du hast es gar nicht mitbekommen. Deswegen wird Debian Stable nicht "unstable".
Schau mal nach, du müsstest "linux-image-4.9.0-5-amd64" installiert haben in der Versionsnummer "4.9.65-3+deb9u2". Da ist der Patch gegen "Meltdown" schon enthalten.
Gegen "Spectre" gibt es noch nichts. Die knobeln noch, wie man die Sache am besten löst. Vermutlich müssen sämtliche Pakete neu kompiliert werden - das wird dann ein sehr großes Update.
Never change a broken system. It could be worse afterwards.
"No computer system can be absolutely secure." Intel Document Number: 336983-001
"No computer system can be absolutely secure." Intel Document Number: 336983-001
Re: Kernel-Upgrade für Stretch nach Meltdown und Spectre?
Ok, danke für die Info, jetzt kapier ich es.
Na, zumindest bin ich dann ja mal für Meltdown nicht anfällig, habe ja einen AMD, da ist sowieso nur Spectre kein Problem...
Kann man eigentlich sagen, welche von den beiden Sicherheitslücken "schlimmer" bzw. potentiell gefährlicher bzw. besser von kriminellen Auszunutzen ist in der Praxis?
Na, zumindest bin ich dann ja mal für Meltdown nicht anfällig, habe ja einen AMD, da ist sowieso nur Spectre kein Problem...
Kann man eigentlich sagen, welche von den beiden Sicherheitslücken "schlimmer" bzw. potentiell gefährlicher bzw. besser von kriminellen Auszunutzen ist in der Praxis?
https://www.daswirdmanjawohlnochsagenduerfen.de
https://www.neoliberalyse.de - Über die Ökonomisierung aller Lebensbereiche. |
https://www.neoliberalyse.de - Über die Ökonomisierung aller Lebensbereiche. |
Re: Kernel-Upgrade für Stretch nach Meltdown und Spectre?
Jein.desputin hat geschrieben:19.01.2018 18:07:34Kann man eigentlich sagen, welche von den beiden Sicherheitslücken "schlimmer" bzw. potentiell gefährlicher bzw. besser von kriminellen Auszunutzen ist in der Praxis?
Es wird gesagt, Meltdown sei schlimmer, weil es sehr einfach auszunutzen sei und vollen Zugriff auf den (Kernel)-Speicher bietet. Aus Sicht des Systemadministrators ist das auch "schlimmer".
Spectre sei nicht so schlimm, weil es "nur" Zugriff auf den Speicher des ausführenden Benutzers bietet. Außerdem sei Spectre schwerer auszunutzen.
Dem üblichen Heimanwender dürfte es allerdings egal sein, über welche der beiden Lücken der Angreifer an sein Online-Banking-Passwort kommt. Dem Angreifer auch.
Und zu Spectre existiert bereits eine sehr einfache Demonstration (nur für Intel?), die immerhin den gesamten Speicher deines Browsers ausliest. Für den einfachen Heimanwender ist bereits das "der SuperGAU".
Never change a broken system. It could be worse afterwards.
"No computer system can be absolutely secure." Intel Document Number: 336983-001
"No computer system can be absolutely secure." Intel Document Number: 336983-001
- Animefreak79
- Beiträge: 299
- Registriert: 25.11.2017 12:29:51
- Lizenz eigener Beiträge: GNU General Public License
Re: Kernel-Upgrade für Stretch nach Meltdown und Spectre?
Ich bin nach wie vor der Meinung, dass in Sachen Meltdown und Spectre unnötig viel Panik verbreitet wird. Um wirklich sicherzugehen, dass das Problem gefixt wird, dürften wir ja unsere PCs jahrelang nicht mehr ins Internet lassen, denn die nächste Chipgeneration die auf den Markt gebracht wird, wird in Sachen Design sicher noch nicht soweit sein. Den Browser gut abzusichern, kann hingegen nie verkehrt sein. Ich nutze Chromium und unter diesen selbstverständlich entsprechende AddOns wie ScriptBlock als auch AdblockPlus. Darüberhinaus habe ich unter der URL die Option Strict side isolation aktiviert (ist eher experimentell, hat bisher bei mir jedoch keine Probleme gemacht), welches bis zum nächsten großen Browserupdate wohl auch eingeschaltet bleibt. Auch Firefox und Konsorten lassen sich bestimmt in ähnlicher Weise absichern, und mit NoScript als auch AdblockPlus ist ebenfalls ein Sicherheitsbonus gewonnen. Das ist natürlich alles kein Allheilmittel, aber man tut, was man kann.
Code: Alles auswählen
chrome://flags/#enable-site-per-process
Ja, die relevanten Kernelupdates hast du, zumindest in Sachen Meltdown. Darüberhinaus ist die Wahrscheinlichkeit statistisch gesehen wohl sehr gering, dass eine der beiden Lücken in absehbarer Zeit ausgenutzt wird, und dadurch ausgerechnet dein System erfolgreich kompromittieren wird. Also: Keep calm, and don't be worried.desputin hat geschrieben:D.h. die Updates für den Kernel sind im normalen dist-upgrade unter Stretch schon mitgekommen? Ich bin technisch nicht so versiert.... heißt daß, man kann Teile des Kernels austauschen, ohne hin vollständig neu zu installieren?
~ Never change a flying system ~
Re: Kernel-Upgrade für Stretch nach Meltdown und Spectre?
Leider nutzt Adblock Plus eine Whitelist, sodass nicht alle Werbung blockiert wird (Quelle: https://www.heise.de/newsticker/meldung ... 46033.html)Animefreak79 hat geschrieben:19.01.2018 20:54:12Den Browser gut abzusichern, kann hingegen nie verkehrt sein. Ich nutze Chromium und unter diesen selbstverständlich entsprechende AddOns wie ScriptBlock als auch AdblockPlus.
Ich nehme die Browsereinstellungen anhand der folgenden Empfehlung vor: https://www.kuketz-blog.de/empfehlungsecke/
Bei dem Abschnitt "Empfehlenswerte Addons [Einsteiger]" hat man einen guten Überblick welche Addons genutzt werden können.
Den Blog verfolge ich schon seit über einem halben Jahr und es ist immer wieder lesenswert.
Quelle: https://www.heise.de/ct/artikel/Die-Neu ... 00646.htmlNAB hat geschrieben:19.01.2018 17:07:08Gegen "Spectre" gibt es noch nichts. Die knobeln noch, wie man die Sache am besten löst. Vermutlich müssen sämtliche Pakete neu kompiliert werden - das wird dann ein sehr großes Update.
Auszug:
"Zum Ende der zweiten Januarwoche integrierten die Entwickler dann ein überarbeitetes Retpoline. Das blockt einige der Schwachpunkte, die zur zweiten Spectre-Variante gehören."
und weiter unten in dem Text heißt es:
"Wie bei PTI wird auch der Retpoline-Schutz in Stable- und Longterm-Kernel zurückportiert. Er ist in Linux 4.14.14 und 4.9.77 eingeflossen, die am 17. Januar erscheinen sind. Im parallel veröffentlichten 4.4.112 ist er aber nicht enthalten. "
"An Maßnahmen gegen die erste Spectre-Variante schrauben die Entwickler noch. Ähnlich wie Retpoline sind dazu Änderungen bei Kernel und Compilern nötig."
Also sollte Meltdown und Spectre v2 gepatched sein und an Spectre v1 wird noch gearbeitet.
Re: Kernel-Upgrade für Stretch nach Meltdown und Spectre?
Mmmh, ja, weiss nicht. Wenn nicht mal der Meister selbst einen richtig gepatchten kernel hat,Thomas141 hat geschrieben:20.01.2018 00:46:10Also sollte Meltdown und Spectre v2 gepatched sein und an Spectre v1 wird noch gearbeitet.
vgl. sein Blog-post von gestern:
http://kroah.com/log/blog/2018/01/19/meltdown-status-2/
4.14.14 gibt es ja desweiteren noch nicht unter sid:
Code: Alles auswählen
# grep . /sys/devices/system/cpu/vulnerabilities/*
grep: /sys/devices/system/cpu/vulnerabilities/*: No such file or directory
# uname -a
Linux host 4.14.0-3-amd64 #1 SMP Debian 4.14.13-1 (2018-01-14) x86_64 GNU/Linux
Re: Kernel-Upgrade für Stretch nach Meltdown und Spectre?
Sorry, aber Heise hat da echt keinen Durchblick. Schon die Bezeichnungen "Spectre Variante 1" und "Spectre Variante 2" sind falsch. Es gibt "Variante 1" bis 3 hier:Thomas141 hat geschrieben:20.01.2018 00:46:10"An Maßnahmen gegen die erste Spectre-Variante schrauben die Entwickler noch. Ähnlich wie Retpoline sind dazu Änderungen bei Kernel und Compilern nötig."
Also sollte Meltdown und Spectre v2 gepatched sein und an Spectre v1 wird noch gearbeitet.
https://googleprojectzero.blogspot.de/2 ... -side.html
Die beschreiben alle drei eine Methode, um unerlaubt an Kernel-Speicher zu kommen. Da geht es um den Kernel und die drei Varianten werden jetzt auch im Kernel gepatched. "Fertig" im Sinne von "bei Debian Stretch angekommen" ist da für Variante 1 und 2 noch NICHTS.
Spectre gibt es hier:
https://spectreattack.com/
Da wird genüsslich beschrieben, wie ein Userspace-Programm das andere belauschen kann und wie ein Tab im Webbrowser den anderen per JavaScript belauschen kann. Das hat mit dem Kernel und seinem Speicher gar nichts zu tun. Und nach meinen bisherigen Kenntnisstand kann der Kernel da auch nicht helfen - es muss jedes Programm, das du nutzt, einzeln angepasst werden. Davon in Debian bisher erledigt: NICHTS.
Heise beschreibt das für den Kernel auch sehr anschaulich: "Außerdem ist das ganze aufwendig: Die Entwickler versuchen Codestellen im Kernel zu eliminieren, die gegen die Lücke anfällig sind. Dazu müssen sie den gesamten Kernel-Code nach kritischen Stellen absuchen und auch in Zukunft darauf achten, keine neuen Angriffspunkte einzubauen.". Die gleiche Arbeit ist auch für jeden Code außerhalb des Kernels notwendig.
Für generelle Diskussionen der beiden Lücken gibt's übrigens schon einen Thread:
viewtopic.php?f=37&t=168134
Hier war ja die Frage, was bereits in Stretch angekommen ist oder noch ankommen wird. Für "Variante 1" ist das noch ungewiss (Backports Kernel mal außen vor). Und für Spectre auch.
Never change a broken system. It could be worse afterwards.
"No computer system can be absolutely secure." Intel Document Number: 336983-001
"No computer system can be absolutely secure." Intel Document Number: 336983-001
Re: Kernel-Upgrade für Stretch nach Meltdown und Spectre?
Ja, und wenn Du einen Absatz weiter liest, wirst Du entdecken:NAB hat geschrieben:20.01.2018 05:17:57Sorry, aber Heise hat da echt keinen Durchblick. Schon die Bezeichnungen "Spectre Variante 1" und "Spectre Variante 2" sind falsch. Es gibt "Variante 1" bis 3 hier:Thomas141 hat geschrieben:20.01.2018 00:46:10"An Maßnahmen gegen die erste Spectre-Variante schrauben die Entwickler noch. Ähnlich wie Retpoline sind dazu Änderungen bei Kernel und Compilern nötig."
Also sollte Meltdown und Spectre v2 gepatched sein und an Spectre v1 wird noch gearbeitet.
https://googleprojectzero.blogspot.de/2 ... -side.html
Die beschreiben alle drei eine Methode, um unerlaubt an Kernel-Speicher zu kommen. Da geht es um den Kernel und die drei Varianten werden jetzt auch im Kernel gepatched.
Spectre (variants 1 and 2)
Meltdown (variant 3)
Also ist es absolut ok von "Spectre Variante 1" und "Spectre Variante 2" zu sprechen, sorry.
Das sagt auch das "checker-script":
Code: Alles auswählen
# sh spectre-meltdown-checker.sh
<snip>
CVE-2017-5753 [bounds check bypass] aka 'Spectre Variant 1'
<snip>
CVE-2017-5715 [branch target injection] aka 'Spectre Variant 2'
<snip>
CVE-2017-5754 [rogue data cache load] aka 'Meltdown' aka 'Variant 3'
<snip>
Re: Kernel-Upgrade für Stretch nach Meltdown und Spectre?
Ja, aber klar ist es absolut okay Klammern wegzulassen ... die sind da bestimmt nur aus Schikane drin. Kommata sollten wir auch gleich weglassen - es ist doch immer schön etwas mehr Interpretationsspielraum zu haben.dufty2 hat geschrieben:20.01.2018 07:58:44Spectre (variants 1 and 2)
Meltdown (variant 3)
Also ist es absolut ok von "Spectre Variante 1" und "Spectre Variante 2" zu sprechen, sorry.
Never change a broken system. It could be worse afterwards.
"No computer system can be absolutely secure." Intel Document Number: 336983-001
"No computer system can be absolutely secure." Intel Document Number: 336983-001
Re: Kernel-Upgrade für Stretch nach Meltdown und Spectre?
Kernel 4.15.2 scheint dann vollständig gepatcht zu sein.
siehe: https://sparkylinux.org/linux-kernel-4-15-2/
siehe: https://sparkylinux.org/linux-kernel-4-15-2/
Re: Kernel-Upgrade für Stretch nach Meltdown und Spectre?
Hab mir mal den spectre-meltdown-checker.sh von https://github.com/speed47/spectre-meltdown-checker
runter-geladen. Da wird man wohl noch eine Weile warten müssen bis der Kernel 4.15.2 in Buster erscheint
Hier mal die Terminal-Ausgabe:
runter-geladen. Da wird man wohl noch eine Weile warten müssen bis der Kernel 4.15.2 in Buster erscheint
Hier mal die Terminal-Ausgabe:
Code: Alles auswählen
Kernel is Linux 4.14.0-3-amd64 #1 SMP Debian 4.14.13-1 (2018-01-14) x86_64
CPU is AMD FX(tm)-6300 Six-Core Processor
Re: Kernel-Upgrade für Stretch nach Meltdown und Spectre?
Und was ist Deiner Empfehlung nach die richtige Distro?
Re: Kernel-Upgrade für Stretch nach Meltdown und Spectre?
Na Siduction, Steht doch in der Ausgabe
Re: Kernel-Upgrade für Stretch nach Meltdown und Spectre?
Zuletzt geändert von desputin am 15.02.2018 15:58:10, insgesamt 1-mal geändert.
https://www.daswirdmanjawohlnochsagenduerfen.de
https://www.neoliberalyse.de - Über die Ökonomisierung aller Lebensbereiche. |
https://www.neoliberalyse.de - Über die Ökonomisierung aller Lebensbereiche. |
Re: Kernel-Upgrade für Stretch nach Meltdown und Spectre?
Mmmh, ja, die ersten Zeilen der Ausgabe des Skriptes (die man auch ohne screenshot hinbekommt hier zu posten) hast Du evtl. übersehen, die da - vermutlich - lauten:
Code: Alles auswählen
$ ./spectre-meltdown-checker.sh
Spectre and Meltdown mitigation detection tool v0.34+
Note that you should launch this script with root privileges to get accurate information.
We'll proceed but you might see permission denied errors.
To run it as root, you can try the following command: sudo ./spectre-meltdown-checker.sh
<snip>
Re: Kernel-Upgrade für Stretch nach Meltdown und Spectre?
Na gut, mein System ist dann wohl doch recht anfällig, trotz AMD:
http://investorenarchitektur.de/wp-cont ... 155640.png
http://investorenarchitektur.de/wp-cont ... 155640.png
https://www.daswirdmanjawohlnochsagenduerfen.de
https://www.neoliberalyse.de - Über die Ökonomisierung aller Lebensbereiche. |
https://www.neoliberalyse.de - Über die Ökonomisierung aller Lebensbereiche. |
-
- Beiträge: 2468
- Registriert: 06.12.2005 10:38:46
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: Baustelle
Re: Kernel-Upgrade für Stretch nach Meltdown und Spectre?
Bin ich irgendwie zu doof?
Ich habe meine Maschine gerade mit einem update und upgrade beglückt, trotzdem:
sollte da nicht "4.9.65-3+deb9u2" bei rauskommen?
so sieht die sources.list aus:
übersehe ich irgendwas?
Bei der Inst. habe ich ja irgendwann die Wahl zwischen genauer Kernel version und nur Main Version. Normal nehme ich da natürlich die Main Version, um updates zu bekommen. Wo finde ich eigentlich hinterher diese Einstellung wieder?
Ich habe meine Maschine gerade mit einem update und upgrade beglückt, trotzdem:
Code: Alles auswählen
uname -a
Linux eline 4.9.0-4-amd64 #1 SMP Debian 4.9.65-3+deb9u1 (2017-12-23) x86_64 GNU/Linux
so sieht die sources.list aus:
Code: Alles auswählen
deb http://ftp.de.debian.org/debian/ stretch main non-free contrib
deb-src http://ftp.de.debian.org/debian/ stretch main non-free contrib
deb http://security.debian.org/debian-security stretch/updates main contrib non-free
deb-src http://security.debian.org/debian-security stretch/updates main contrib non-free
# stretch-updates, previously known as 'volatile'
deb http://ftp.de.debian.org/debian/ stretch-updates main contrib non-free
deb-src http://ftp.de.debian.org/debian/ stretch-updates main contrib non-free
# backports
deb http://ftp.debian.org/debian stretch-backports main
Bei der Inst. habe ich ja irgendwann die Wahl zwischen genauer Kernel version und nur Main Version. Normal nehme ich da natürlich die Main Version, um updates zu bekommen. Wo finde ich eigentlich hinterher diese Einstellung wieder?
Re: Kernel-Upgrade für Stretch nach Meltdown und Spectre?
Nein. Da sollte 4.9.82-1+deb9u3 bei rauskommen:
https://packages.debian.org/stretch/lin ... .0-6-amd64
Dein Kernel hängt bei linux-image-4.9.0-5 (und sollte in der Tat inzwischen bei 4.9.65-3+deb9u2 sein). Inzwischen gibt's aber linux-image-4.9.0-6.
Ist "linux-image-amd64" installiert?
Never change a broken system. It could be worse afterwards.
"No computer system can be absolutely secure." Intel Document Number: 336983-001
"No computer system can be absolutely secure." Intel Document Number: 336983-001
-
- Beiträge: 2468
- Registriert: 06.12.2005 10:38:46
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: Baustelle
Re: Kernel-Upgrade für Stretch nach Meltdown und Spectre?
es ist (nachdem ich apt statt apt-get benutzt habe , ist auch der "fast" aktuelle Kernel da. Was habe ich denn da wieder verpasst?)
Code: Alles auswählen
dpkg -l |grep linux-image-amd64
ii linux-image-amd64 4.9+80+deb9u4 amd64 Linux for 64-bit PCs (meta-package)
Code: Alles auswählen
uname -a
Linux eline 4.9.0-6-amd64 #1 SMP Debian 4.9.82-1+deb9u3 (2018-03-02) x86_64 GNU/Linux