Falha de segurança da Intel [RESOLVIDO]

37. Re: Falha de segurança da Intel [RESOLVIDO]

Mauriciodez
Mauriciodez

(usa Debian)

Enviado em 04/01/2018 - 20:55h


-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512

- -------------------------------------------------------------------------
Debian Security Advisory DSA-4078-1 security@debian.org
https://www.debian.org/security/ Yves-Alexis Perez
January 04, 2018 https://www.debian.org/security/faq
- -------------------------------------------------------------------------

Package : linux
CVE ID : CVE-2017-5754

Multiple researchers have discovered a vulnerability in Intel processors,
enabling an attacker controlling an unprivileged process to read memory from
arbitrary addresses, including from the kernel and all other processes running
on the system.

This specific attack has been named Meltdown and is addressed in the Linux
kernel for the Intel x86-64 architecture by a patch set named Kernel Page Table
Isolation, enforcing a near complete separation of the kernel and userspace
address maps and preventing the attack. This solution might have a performance
impact, and can be disabled at boot time by passing `pti=off' to the kernel
command line.

We also identified a regression for ancient userspaces using the vsyscall
interface, for example chroot and containers using (e)glibc 2.13 and older,
including those based on Debian 7 or RHEL/CentOS 6. This regression will be
fixed in a later update.

The other vulnerabilities (named Spectre) published at the same time are not
addressed in this update and will be fixed in a later update.

For the oldstable distribution (jessie), this problem will be fixed in a
separate update.

For the stable distribution (stretch), this problem has been fixed in
version 4.9.65-3+deb9u2.

We recommend that you upgrade your linux packages.

For the detailed security status of linux please refer to
its security tracker page at:
https://security-tracker.debian.org/tracker/linux

Further information about Debian Security Advisories, how to apply
these updates to your system and frequently asked questions can be
found at: https://www.debian.org/security/

Mailing list: debian-security-announce@lists.debian.org
-----BEGIN PGP SIGNATURE-----

iQEzBAEBCgAdFiEE8vi34Qgfo83x35gF3rYcyPpXRFsFAlpOqZMACgkQ3rYcyPpX
RFuTTQf/btBqg9/I3XlnJFyGAmd4eQolTcU5cfDJqNhD4TZoyMocghvw1kYtu7z9
bYVhwCRukJym8O8AXJOxvlcsP7g0ANXqVDHpzCN8byKYgzigVP9brfOu/zDa4uYY
EYf8V3pc2QzNo5OV4G+sK5ZklkDnNIde+OxUfU0Otl9fUG2rS5JTFvaRgvGazlbb
cN5wltoHD6DBeSRnfadwYPHQR5U+KAJNImh34Y6T73i7n5dGTnNhs6E7n0wlJL9O
SQLwoqQeiDpcE7C4TZ1pb4AbFCZXaic+1ONbWy8D7erKNA7kV1U2LQDmPDw9kmua
Lc5heEX026Xfdy83v6NAPwR+NU8stg==
=GGyG
-----END PGP SIGNATURE-----


------------------------------------------| Linux User #621728 |-----------------------------------------

" Nem sempre é amigo aquele que te tira do buraco !!! ( Saddam Hussein )"

------------------------------------------| Linux User #621728 |-----------------------------------------



  


38. Re: Falha de segurança da Intel [RESOLVIDO]


oxidante

(usa Debian)

Enviado em 05/01/2018 - 20:07h

Queria testar algum POC no meu sistema para comprovar se meu processador tem a falha. Já existe algum disponível para download?


39. Re: Falha de segurança da Intel [RESOLVIDO]

Giovanni  M
Giovanni_Menezes

(usa Devuan)

Enviado em 05/01/2018 - 22:44h

Processos a vista!
https://olhardigital.com.br/fique_seguro/noticia/intel-e-processada-por-falha-de-seguranca-em-cpus/7...



--------------------------------------------------------------------------
Somente o Software Livre lhe garante as 4 liberdades.
Open Source =/= Free Software.
https://goo.gl/mRzpg3
http://www.anahuac.eu/contrarrevolucao-osi/


40. Re: Falha de segurança da Intel [RESOLVIDO]

Perfil removido
removido

(usa Nenhuma)

Enviado em 06/01/2018 - 08:58h

E as ações da Intel começam a despencar for as ações na justiça.

Carlos Filho

http://opensusebr.blogspot.com.br/


41. Re: Falha de segurança da Intel

Patrick
Freud_Tux

(usa Outra)

Enviado em 06/01/2018 - 09:42h

Pessoal!

O patch para o kernel é esse:

https://lkml.org/lkml/2017/12/4/709

Informações dele no kernel:

https://git.kernel.org/pub/scm/linux/kernel/git/stable/linux-stable.git/log/?h=v4.14.12
https://cdn.kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.14.12

Alguém saberia dizer, se rola aplicar o patch sem esperar a boa vontade das equipes das distros? Tipo, se rola algum efeito colateral e tals?
Por exemplo, o pessoal do Debian, tá nesse enrosco aqui (já foram melhores), até agora só a versão estável e o sid receberam atualização ( 4.9.65-3+deb9u2). Tô com uma das máquinas aqui usando jessie (4.9.65-3+deb9u1). Tô pensando em baixar o kernel do strech e compilar pra ver o que vai dar ><.

https://security-tracker.debian.org/tracker/source-package/linux
https://security-tracker.debian.org/tracker/CVE-2017-5753
https://security-tracker.debian.org/tracker/CVE-2017-5754
https://security-tracker.debian.org/tracker/DSA-4078-1

T+

-------------------------------------------------------------------------------------------------------------------------------------------------
Noob: "[...]Sou muito noob ainda usando o terminal, então preciso de ajuda "mastigada", pra operá-lo."
zhushazang: "Sou velho e meus dentes desgastados. Estude linux www.guiafoca.org";


42. Re: Falha de segurança da Intel

Perfil removido
removido

(usa Nenhuma)

Enviado em 06/01/2018 - 13:15h

Interessante notar algumas coisas...

A comunidade Linux sempre se gabou de ter as soluções de segurança mais rápidas e eficazes em relação aos principais sistemas operacionais do mercado. Porém, não é isso que eu estou percebendo agora.

E realmente, o kernel 4.14.11(.12) já teve a falha corrigida (e eu concordo que foi em tempo recorde!).

Mas peraí: quem está utilizando o kernel 4.14 agora? Praticamente ninguém! Então, tecnicamente, não resolveu muita coisa.

A MS, muito mal falada por usuários de Linux, já distribuiu a correção tanto para o sistema quanto para os navegadores dela própria (IE e Edge).

O mesmo com a Apple: ela já liberou as correções para os seus dispositivos.

Concordo que as soluções da MS e da Apple com certeza devem ter sido muito mais fáceis, já que se trata apenas de 1 (um) sistema operacional. Já no caso do Linux, são diversas distribuições e versões diferentes de kernel, então, o trabalho é imensamente maior.

Agora, quem possui Windows pirata, provavelmente nunca irá ver essas atualizações no sistema. Já existe um costume muito antigo no Windows de não atualizar o SO de forma alguma. Vejo uma grande parcela de computadores com Windows que nunca serão corrigidos e que podem se tornar uma massa de computadores vulneráveis. Talvez as atualizações obrigatórias do Windows 10 ajudem em alguma coisa.

A Canonical se manifestou, dizendo que a correção será liberada apenas no dia 09/01, e apenas para alguns kernel específicos, como o 3.13, 4.4 e 4.13. O Debian atualizou apenas a atual versão 9. A SUSE atualizou apenas as versões pagas, SLE, o openSUSE ainda não recebeu correção.

Não tenho ideia sobre como andam as correções para as distros RPM, como o Fedora, openMandriva, Mageia e etc...

Não estou de forma alguma desmerecendo o Linux ou qualquer distribuição! Tanto é que continuarei a usar Linux em meus computadores, sem dual boot nenhum com o sistema da MS. Mas é de se parabenizar a MS pela iniciativa de adiantar a atualização para os seus usuários (que também iria sair no dia 09/01), e também como forma de alertar que as atualizações de Linux podem não ser tão rápidas assim, como todos acreditam....

Da mesma forma, não podemos cobrar nada das distribuições, pois a grande maioria delas funciona em trabalho colaborativo e acredito que a grande parcela dos usuários nunca fez uma doação para as próprias equipes que fazem a distribuições (eu me incluo).

De forma ALGUMA quero gerar polêmia ou discussão sobre o que eu acabei de escrever. Só quero dizer que, o Linux é excelente, mas depende da boa vontade dos mantenedores das distros. O mesmo vai ocorrer com o Android, onde as atualizações para o Meltdown e o Spectre vão ser liberadas só quando a fabricante quiser.

É complicado.


43. Re: Falha de segurança da Intel [RESOLVIDO]

Perfil removido
removido

(usa Nenhuma)

Enviado em 06/01/2018 - 13:37h

Para mim, a atualização saiu ontem... Uso o kernel 4.9


44. Re: Falha de segurança da Intel [RESOLVIDO]

Perfil removido
removido

(usa Nenhuma)

Enviado em 06/01/2018 - 14:36h

A comunidade Linux sempre se gabou de ter as soluções de segurança mais rápidas e eficazes em relação aos principais sistemas operacionais do mercado. Porém, não é isso que eu estou percebendo agora.

Também venho percebendo isso cara


45. Re: Falha de segurança da Intel

Mauriciodez
Mauriciodez

(usa Debian)

Enviado em 06/01/2018 - 14:46h

Eu tô com o "jessie" + kernel 4.5 e não faço a menor idéia de onde encontrar esse patch.





------------------------------------------| Linux User #621728 |-----------------------------------------

" Nem sempre é amigo aquele que te tira do buraco !!! ( Saddam Hussein )"

------------------------------------------| Linux User #621728 |-----------------------------------------



46. Re: Falha de segurança da Intel [RESOLVIDO]

Giovanni  M
Giovanni_Menezes

(usa Devuan)

Enviado em 06/01/2018 - 21:27h

Eu tive que fazer "Downgrade" em uma das minhas máquinas por que os kerneis disponíveis no backport não receberam a atualização, o Kernel padrão do Stretch não casa bem com meu Hardware e o dispositivo de som não funciona com todos os recursos no kernel padrão.

Eu também esperava que a correção fosse mais abrangente.



--------------------------------------------------------------------------
Somente o Software Livre lhe garante as 4 liberdades.
Open Source =/= Free Software.
https://goo.gl/mRzpg3
http://www.anahuac.eu/contrarrevolucao-osi/


47. Re: Falha de segurança da Intel [RESOLVIDO]

Patrick
Freud_Tux

(usa Outra)

Enviado em 08/01/2018 - 11:32h

Mauriciodez escreveu:

Eu tô com o "jessie" + kernel 4.5 e não faço a menor idéia de onde encontrar esse patch.





------------------------------------------| Linux User #621728 |-----------------------------------------

" Nem sempre é amigo aquele que te tira do buraco !!! ( Saddam Hussein )"

------------------------------------------| Linux User #621728 |-----------------------------------------



Eu postei o link no meu post anterior:

"O patch para o kernel é esse:

https://lkml.org/lkml/2017/12/4/709

Informações dele no kernel:

https://git.kernel.org/pub/scm/linux/kernel/git/stable/linux-stable.git/log/?h=v4.14.12
https://cdn.kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.14.12 [...]"


Sobre a demora é o seguinte.

Esse bug faz meses que foi descoberto. E desde então, os devs tem trabalhado em uma solução decente. A história da perda de desempenho entre 5% - 30% foi feita sobre o patch do Gnu/Linux, pois os outros S.Os, não tinham nada pronto ainda.
O patch pra Gnu/Linux, foi um dos primeiros a estar pronto, e sendo exaustivamente testado. As versões mais novas do Kernel já tem a correção do Meltdown.
Agora, com a falha se tornando pública, o patch estando pronto e testado, foi upado para quem quiser usar, testar ou estudar. Muitos devs tem demorado para aplicar o patch, pois os sistemas Gnu/LInux são diferentes, o Debian mesmo, só não aplicou o patch do Meltdown, no Jessie e Testing. O rwuindows só aplicou no 10, o resto tudo dia 9 e olhe lá.

Resumindo!
O Gnu/Linux aplicou a correção antes de todo mundo como sempre, o que ocorre é que por se tratar de uma coisa bem complicada, tá todo mundo otimizando o patch pra causar menos danos possíveis no sistema, por isso a demora. Quem já compilou um kernel e aplicou patchs sabe que algumas vezes, dá problema e demora pra parametrizar. Mas falar que o rwuindos foi mais rápido.. AI é sacanagem!

T+

-------------------------------------------------------------------------------------------------------------------------------------------------
Noob: "[...]Sou muito noob ainda usando o terminal, então preciso de ajuda "mastigada", pra operá-lo."
zhushazang: "Sou velho e meus dentes desgastados. Estude linux www.guiafoca.org";


48. Re: Falha de segurança da Intel [RESOLVIDO]

Walker Luiz de Freitas
WalkerPR

(usa Deepin)

Enviado em 08/01/2018 - 12:32h

wolnerberg escreveu:
. . .
Não tenho ideia sobre como andam as correções para as distros RPM, como o Fedora, openMandriva, Mageia e etc...
. . .
.


Eu testei o Fedora 27 antes de instalar o Debian 9.3 e pelo que percebi o Fedora 27 se comportou bem com o hardware. Optei por instalar o Debian devido as atualizações a longo prazo.








Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts