Sicherheitslücke in Chips


#1

https://meltdownattack.com/

Gruß

Alois


#2

und die Lösung

http://www.kb.cert.org/vuls/id/584653

:laughing::laughing:


#3

Na ja, als “Lösung” würde ich diese Antwort nicht markieren. Hier steht es nochmal etwas genauer … Das ist tatsächlich ein ziemlicher GAU, würde ich sagen:

https://text.derstandard.at/2000071445192/Kritische-Prozessorluecken-gefaehrden-fast-alle-Computer-und-Smartphones


#4

Hallo Michael,

hast u die zwei :laughing::laughing: gesehen?

Gruß

Alois


#5

Nein,

eine Lösung dafür gibt’s letztlich gar nicht immer. Als Privatanwender auf deinem Laptop wird dir das auch weitestgehend egal sein, obwohl die Betriebssystempatches wohl durchaus Performance kosten werden. Aber wenn du das z.B. im industriellen Datenbankumfeld betrachtest sind 10% Performanceverlust eben eine echte Katastrophe.

Da explodiert dir dein Hardwarebudget komplett, weil du halt 6 Schränke voll Server mehr kaufen musst oder in der S3 Cloud entsprechend Kapazität zukaufen musst.

Vor dem Hintergrund ist die Aussage von Intel (“Everything works as designed”) einfach eine Frechheit. Ich werde sicherlich gucken, ob mein nächster Rechner wieder AMD Prozessoren haben kann, an der Performance scheiterts mit Ryzen ja nimmer. Die Frage ist halt, wie’s mit der Linux Kompatibilität steht. Muss man wohl noch ein halbes Jahr warten…

VG

Frank


#6

Hallo Frank,

eine Lösung dafür gibt’s letztlich gar nicht immer. Als Privatanwender
auf deinem Laptop wird dir das auch weitestgehend egal sein, obwohl die
Betriebssystempatches wohl durchaus Performance kosten werden. Aber wenn
du das z.B. im industriellen Datenbankumfeld betrachtest sind 10%
Performanceverlust eben eine echte Katastrophe.

Da explodiert dir dein Hardwarebudget komplett, weil du halt 6 Schränke
voll Server mehr kaufen musst oder in der S3 Cloud entsprechend
Kapazität zukaufen musst.

das sehe ich auch so.

Vor dem Hintergrund ist die Aussage von Intel (“Everything works as
designed”) einfach eine Frechheit. Ich werde sicherlich gucken, ob mein
nächster Rechner wieder AMD Prozessoren haben kann, an der Performance
scheiterts mit Ryzen ja nimmer. Die Frage ist halt, wie’s mit der Linux
Kompatibilität steht. Muss man wohl noch ein halbes Jahr warten…

da brauchst du keine Sorge haben: das funktioniert ohne Probleme.
In der Schule hab ich seit 15 Jahren fast nur AMD auf Server und Clients.
Der aktuelle Server ist ein 8 Kern Bulldozer, der genau so stabil läuft
wie der 8 mal so teure IntelServer im Seminar.

Und Ryzen: als ich auf das neue Mainboard vor etwas über einem Halben
Jahr mit Ryzen 1700X umgestiegen bin, hat die Soundkarte nicht
funktioniert mit dem normalen 16.04er kernel… da bin ich auf einen
4.10er Kernel umgestiegen.
Inzwischen ist es ein 4.14er und alles funktioniert.
Es gab noch BIOS BUGs die sind aber auch inzwischen behoben.
Das einzige was noch fehlt sind die Temperatursensoren … wobei ich da
mit dem 4.14er noch gar nicht geschaut habe, ob die inzwischen
funktionieren.

Viele Grüße

Holger


#7

Hallo zusammen,

ich halte es für nicht zielführend, die Welt jetzt wieder einmal in Gut und Böse zu unterteilen “Intel schlecht” AMD gut". AMDs Medienpolitik und Beschiss besonders bei den GPUs … Letztendlich sind alle Hersteller betroffen ob sie nun Intel, AMD, ARM oder … heissen. Das sichere Betriebssystem oder die sichere Hardware gibt es nicht … Wenn selbst Firmen wie Juniper Backdoors in ihr Betriebssystem bauen und sich erwischen lassen ist, muss man schon nachdenklich werden. Das eine Bibliothek wie openssl sicher ist, wage ich ernsthaft zu bezweifeln. Jeder kann Code beisteuern, aber wer hat denn die Ressourcen, dass Alles auch wirklich immer und jederzeit zu prüfen? :wink:

Grüße
Bertram


#8

Hai,

Mir geht’s nicht so sehr um gut und böse, sondern ich stelle für mich an dieser Stelle einmal mehr fest, dass es immer schlecht ist, wenn man keine Wahl hat. Und in diesem Sinne neige ich bei der nächsten Hardwarebeschaffung für meine Schultasche eben eher einer Intel-Alternative zu - damit es die halt weiter gibt, sonst geht’s uns ganz schlecht…

Sehr gut erklärt ist das Szenario übrigens hier:

VG

Frank


#9

Hi Frank,

spannende Frage die Sache mit der Wahl … :wink: Allerdings glaube ich kaum, dass AMD pleite gehen wird, da sie ja Ihr Geld in den diversen Spiele-Konsolen verdienen und Intel gerade dabei ist, alle Märkte (Smartphone, Tablet …) zu verschlafen. Im angesprochenen Servermarkt hat AMD in der Vergangenheit zu viel Strom verbraucht und wurde damit gegenüber Intel einfach auch unwirtschaftlich. Was ich auch noch vorhin schreiben wollte, ist die Tatsache, dass viele RZs durch den hohen Grad an Virtualisierung und der 1 Server pro Service Politik mit einer CPU-Auslastung von unter 10% fahren, womit ich nicht daran glaube, dass es bei der Masse hier zu Problemen und Investitionen kommen wird. Achja … warum nicht einmal ein Notebook mit ARM-CPU? :wink:

Grüße und schönes Wochenende,

Bertram


#10

Hallo,

Epic hat gepatcht:

https://www.epicgames.com/fortnite/forums/news/announcements/132642-epic-services-stability-update

VG
Frank


#11

Hallo Bertram,

ich halte es für nicht zielführend, die Welt jetzt wieder einmal in Gut
und Böse zu unterteilen “Intel schlecht” AMD gut".

dass will ich auch nicht: beides sind Firmen, die halt Geld verdienen
wollen.

AMDs Medienpolitik
und Beschiss besonders bei den GPUs …

… meiner Meinung nach nichts gegen das was nVidea immer mal wieder
abzieht. Ich sag nur: 4 GB Speicher auf der Karte … davon 3GB "normal"
und 1 GB extrem langsam angebunden … haben sie leider vergessen zu
sagen … und das ist nur die Spitze des Eisbergs, wenn es um nVidea geht.
Und Intel?
Da sag ich nur “NetBurst” und P4: das waren dermaßen Schrottdesigns,
dass man sie eher zum Eierkochen verwenden konnte, als zum Rechnen …
und warum hat AMD damals, als sie Technologisch um Jahre vor Intel
lagen, nicht mehr Marktanteile bekommen: weil Intel dem ein Riegel
vorgeschoben hat: mit Knebelverträgen und sehr vielen
Falschbehauptungen. Das wurde alles Gerichtlich aufgearbeiten und dann
mit einem Vergleich stumm geschaltet.
Ohne AMD wären die damals beim P4 Design geblieben und hätten keien
Notwendigkeit gehabt das sehr effizente Core Design aus Haifa in ihre
Prozessoren ein zu bauen (erstmal nur für Notebooks, weil P4s da extrem
schlecht waren: viel zu heiß).
Wißt ihr noch, wie INtel 64bit einführen wollte? Mit Itanium: ein reines
64bit Design: das wurde jetzt (endlich) begarben.
AMD hat x86/x64 erfunden und Intel hat es dann Lizensiert und ebenfalls
eingebaut.

Frank hat also genau recht wenn er sagt: wir müssen schauen dass der
andere Hersteller dabei bleibt: damit wir die Konkurenz haben: das ist
notwendig für den Verbraucher.
Und deswegen kaufe ich seit Jahren AMD und habe das nie bereut: meine
Rechner sind immer merklich günstiger als die Intel Kisten: bei
vergleichbarer Leistung.
Ja: seit einigen Jahren brauchten die AMD Kisten etwas mehr Strom: das
habe ich auch immer bedauert.

Und jetzt hat AMD mit ZEN eine sehr geniale Architektur gebracht: wenn
wir jetzt noch die 10-30% Leistungseinbußen durch Patchen der auf Intel
Systeme beschränkten! Meltdown Lücke abziehen, dann sieht INtel derzeit
tatsächlich nur noch Rücklichter von AMD, wenn es um Leistung, Leistung
pro Watt und Preis geht.
Deswegen ist es Intel ja so wichtig darauf hin zu weisen, dass alle
Prozessoren betroffen seien: das stimmt aber icht: Meltdown = Nur Intel,
Spectre = alle Out-of-Order Prozessoren.
Die 10-30 % sind aber allein für Meltdown: also nur für Intel.

Letztendlich sind alle Hersteller
betroffen ob sie nun Intel, AMD, ARM oder … heissen.

Spectre: ja
Meltdown: nein

Spectre ist schwerer zu patchen, aber auch viel schwerer auszunutzen.
Meltdown bringt aber das gro an Performanceeinbußen: man muss schon sehr
genau hinschauen.
Der Artikel von Andreas Stiller war wie zu erwarten: einfach nur super.
Das hat das ganze mal deutlich erklärt: vor allem was genau der BUG ist,
und wie er nun gepatched wird und dass er eigentlich ein Fehler im Out
of Order Design von Intel ist und eigentlich in Hardware gefixed werden
müßte. Und: hat Intel nach über 6 Monaten ein neues CPU Design, dass das
behebt? Davon hab ich noch nichts gehört …

Man darf nicht übersehen, dass Intel den BUG seit Juli 2017 kennt: das
ist über ein halbes Jahr: und jetzt wird erst fieberhaft gepatched: aber
nicht durch Intel, sondern die Betriebsysteme müssen den BUG (mit
Performanceinbußen) umschiffen.
Was macht der Oberboss von Intel? Im November hat er alle seien Intel
Aktienanteile abgestoßen: bis zu dem Mindestmaß, dass er halten muss, um
weiterhin Intel Oberboss zu sein.
Klar: hat mit dem BUG und dessen Folgen nichts zu tun …

AMD macht auch mal Mist: unbestritten: im Shitscore fahren die für mich
aber in einer anderen Liga als Intel oder nVidea.

So sehe ich die Geschichte: hab aber nichts dagegen, wenn ihr das anders
seht :slight_smile:

Viele Grüße

Holger


#12

Hallo Frank,

Ich habe im Dezember Clients mit AMD-A8 bekommen. Alles funktioniert problemlos.
Außerdem habe ich als neuen Server einen Ryzen 1900x auf einem ASUS Prime X399 gekauft (ich weiß, Desktop Hardware, dafür günstig und schnell, aber mal sehen, ob sie es 5 Jahre macht), den hab ich gerade angschalten und mal ein Test-Ubuntu installiert.
Netzwerk / Video / Audio geht schonmal, Jetzt werde ich mal den Prozessor auslasten und gucken, was dann passiert.
Kernel 4.4.0.31

LG
Max


#13

Hallo zusammen,

btw … eine Lücke, die ich für Viele auch als gravierend einstufe, ist z.B. diese hier, die m.E. in vielen Geräten vor allem Smartphones … mindestens genauso bedenklich war, ist … :wink: , wenn man nicht gerade Besitzer eines Google Smartphones ist. Mein Tablet z.B. wurde schon Ende diesen Jahres gepatcht …

Mal Glück für alle iPhones … :wink:

Grüße


#14

Hi,

  BlueBorne: Android, Linux und Windows über Bluetooth angreifbar

drum hat man grundsätzlich jeden Dienst aus, der aktuell nicht gebraucht
wird. :wink:

Das schließt zwar nicht die Lücke, minimiert aber das
Angreiferpotential. Leider kenne ich nicht wenige, die ständig alles an
haben: WLAN, GPS, Bluetooth, NFC, …

Viele Grüße
Steffen


#15

Gerade gefunden:
https://liliputing.com/2018/01/know-whats-not-affected-meltdown-spectre-raspberry-pi.html
Also verkauft alle Geräte!!! Kauft einen Pi!!!
Läuft eigentlich lm7 auf einem Pi? :wink:


#16

Hallo,

da es ja gar nicht soooo einfach ist, die Lücken (aus der Ferne)
auszunutzen - zumindest wenn so was wie BS und Browser gepatcht sind),
stellt sich schon die Frage, ob man angesichts solcher Meldungen

das Risiko von Firmware/Microcode-Updates bei Privat-PCs (oder auch päd.
Netz-Servern) wirklich auf sich nehmen soll.

Ich halte es erst mal wie bisher auch schon:
BS und Software-Updates, die per apt kommen werden von mir umgehend
eingespielt.

Alle anderen Patchereien, die mir ggf. die HW lahmlegen, davon lasse ich
die Finger und gehe das (imho überschau- und vertretbare) Restrisiko ein.

Viele Grüße
Steffen


#17

Hey,

hier mal ein checker, den ich getestet habe:

macht das schön bunt :slight_smile:VG, tobias


#18

Hi.
Und hier mal der Vergleich zu einem aktuellen Kernel unter 16.04:

Wenn es bei jedem kritischen Kernel-Bug so ein schönes buntes Tool gäbe… ich hätte keine Zeit mehr für andere dinge…

vG, Tobias


#19

Moin!

… wenn man dann so etwas findet, wie das Folgende, dann hast Du bestimmt recht!!! :rofl:

Intel warnt vor eigenen Microcode-Updates

Lieben Gruß

Thorsten


#20

So, zum Schluss ? noch mal ein screenshot -

ich hab auf den Clients aus den befürchteten oder nachgewiesenen Performanceeinbrüchen den kernel mit spectre und meltdown gelassen. Ich warte noch, bis es wirklich exploits gibt.

VG, Tobias