Új hozzászólás Aktív témák
-
vicze
félisten
A hibát a Google júniusban jelezte a gyártóknak, mindenkinek, akik informálták a OS gyártókat is, tegnap a PoC-ok és azok eredményei kerültek ki.
Azt kiemelném, hogy Windows kleins oldalra csak jövő héten kerül ki a patch, server oldalon viszont minden termék patchelve van, illetve január 10-ig minden Azure host OS patchelve lesz, akinek jelenleg patcheletlen szervere van a VM-e az át kell mozgassa egy redeploy-jal kötelezően január 10-ig.Pár extra link:
AMD
ARM Ez sajnos elég siralmas lista.
Microsoft.
MS kleins oldal + PowerShell ellenőrzés.
MS server oldali patchek.
Ubuntu
Red Hat[ Szerkesztve ]
-
vicze
félisten
Qualcomm esetében a CPU-k többsége érintett. A kivételek lehetnek. A nem stock ARM magokat használó Krait SoC-k mint pl. S800/805 lehetnek kivételek, de ezek is az ARM TrusZone-t implementálják(bár módosítják), így elég nagy eséllyel érintettek. S820 és Kryo architektúrára épülő SoC-k módosított ARM stock magok, így szinte biztos hogy érintetettek.
Apple estében, nagy eséllyel soha nem fog kiderülni, hacsak nem lesz rá direkt exploit, mivel OS és az architektúra is teljesen zárt, illetve az Apple se szeret nagyon nyilatkozni ilyenekről. Ha van is az OS patchelve lesz/van, így nem tekinthető sérülékenynek.
-
vicze
félisten
válasz xeon forever #74 üzenetére
"érdekes hogy meg bitlocker is átment"
Miért ne menne? Az is csak adat. Más kérdés, hogy kulcs nélkül nem tudod megnyitni a BitLockeres meghajtót.
-
vicze
félisten
válasz xeon forever #83 üzenetére
Nem vagy tisztában vele, hogy miről beszélsz...
-
vicze
félisten
Win7 és 8 még hiányzik. Ahogy a 1703 és a extended suportban lévő Enterprise 1511 is, de LTSB 2015 is.
A szerver oldali patch + regisztry beállítások, ugyan azt csinálják, mint a kliens oldalni, a "branch target injection"-t nem tudom aktiválni, legalábbis a PowerShell ellenőrző alapján.
Mást a KB nem ír úgyhogy még túrnom kell akkor...
-
vicze
félisten
Minden Azure admin kapott értesítést, ha jól emlékszek 23.-án, ha egy VM-et mozgatni kell. Start/stop nem elég, redeploy kell. Az időpont sajnos elég szerencsétlen ezzel nem nagyon lehet mit kezdeni, a Google határozta meg a publikálást.
Amúgy ha egy VM nem elérhető akkor az MS is először redeployt ajánlja. szerencsére még nem futottam ilyenbe. -
vicze
félisten
Microsoft figyelmeztetés:
PowerShell ellenőrzés(Admin mód):
#Install the PowerShell module
PS > Install-Module SpeculationControl
#Run the PowerShell module to validate protections are enabled
PS > Get-SpeculationControlSettingsAki nem akar PS-ezni annak ezt ajánlom.
[ Szerkesztve ]
-
vicze
félisten
válasz gabor7th #222 üzenetére
A Meltdown ellen biztos véd, az aktív. Egyedül a "PCID optimization" nem aktív nálam valamiért.
A Spectre ellen ott a OS szintű patch de nem tudom aktiválni, ehhez lehet kell mikrokód frissítés, amit majd az alaplap gyártó kell kiadjon BIOS frissítéssel. Ez nem supportált gépeknél lesz érdekes. -
vicze
félisten
Lenovo kirakta az érintett gépek listáját és több ThinkPad-hez már van BIOS frissítés. 26.-áig kijön a többséghez.
-
vicze
félisten
Nem mintha az iOS esetében túl sok választásod lenne frissítések terén.
Windows esetén meg ugye a lassulásos hülyeséggel van mindenki "megfélemlítve".Az Intel nem tud kiadni semmit az ég világon(max. a NUC-okra), a alaplap gyártóknak kell. Épp most frissítem az egyik laptopot javított BIOS-ra, meglátjuk mit mond rá az ellenőrző.
[ Szerkesztve ]
-
vicze
félisten
A Core2Duo nem érintett, csak Core i 1gen-től felfele minden és Core M.
Teljes Intel CPU lista itt.
Amúgy Lenovónál 2 generáció esik ki a supportból (5év) az első és 2. Core iX-es gépek. pl. T410 és T420, azaz a 10-re és 20-ra végződő modellek, a 00-ások még Core2Duo-val rendelkeznek.
[ Szerkesztve ]
-
vicze
félisten
válasz Bandit79 #253 üzenetére
Pl. nem kellene mosdatni, félrebeszélni, mint a legerősebben érintett fél, nem utolsónak kéne kiadni a Security Advisory-t, ami szinte 0 információt közöl. Hebegés habogás helyett, gyártókhoz irányítani, ahogy ME esetében. Pl. saját termékeikhez kiadhatnák a szükséges javítást, van amihez augusztusi az utolsó BIOS...
Pl. nézd meg a ME Security Advisory-t és nézd meg ezt, elég drasztikus különbség van a kettő kezelése között, úgy hogy a ME sokkal enyhébb sérülékenység, és a valóságban keveseket érintett.
Így kéne kezelni...Az értelmetlen trollkodásra meg inkább nem reagálok.
-
vicze
félisten
HP-hoz csak a szerver listát találom úgy néz ki laptopokhoz nem adtak ki még.
-
vicze
félisten
#219, BIOS update nélkül sérülékeny maradsz. A OS oldalon csak a meltdown akadályozható meg.
Amúgy az a "vicces", hogy az Android oldal mennyire el van felejtve, pedig ott majd 1milliárd eszköz lesz sérülékeny amíg ki nem dobja a használója.
PC-n sokkal kisebb a gond összességében, nagyobb a füstje mint a lángja. Sokkal több Intel eszköz lesz patchelve, mint ARM. -
vicze
félisten
válasz #73749248 #377 üzenetére
Az nem érted, hogy legextrémebb estek vannak kiemelve, és sokszorosára felfújva.
Az hogy van folytatása is az már teljesen el van feledve:
"I have a bad flu, but seeing the overwhelming responses I did more #testing. The situation is not as bad as at first sight:
- @fedora and @CentOS are badly affected and it was reproduced independently
- minimal slow down on @openSUSE
- @gentoo users report no to minimal change"User szinte nem lesz senki aki észreveszi. Szerver és felhő üzemeltetőknek szívás a dolog, mert random lassulások lesznek. Majd szépen minden a patch-re fognak és az hogy estlegesen 100 másik faktor is okozója lehet az már teljesen el van felejtve.
Azt meg kötve hiszem, hogy CPU mikrokód frissítés után tesztelte bárki is, mert akkor látszik, hogy valósan milyen a helyzet. -
vicze
félisten
válasz #73749248 #380 üzenetére
Nekem meg az az érzésem, hogy minden háttér és valós bizonyíték nélküli random képek alapján pánikot keltenek egyesek, olyasmire ami nem érinti őket.
Nem vagyok érintette, mivel nem üzemeltetek elosztott virtuális platformot. Minden user gépen fenn van a patch, Windows és Linux, ahogy 1 szem fizikai szerverünkön is(Ezen mondjuk fut jó pár VM szóval akár érezhető is lehetne.), és 0 lassulást tapasztalni.
Azaz az átlagos lassulás 0.Az hogy nincs olyan program, ami esetlegesen javításra szorul, mert érinti a teljesítmény csökkenés senki se állította.
"Amikor kijön egy hír, hogy a javítás átlagosan okkz 5-30% lassulást,"
Aha hol is marad hirtelen az igen erőteljes feltételes mód? Nem okoz, hanem esetlegesen bizonyos esetben, és felhasználás mellett okozhat."Lásd syslog-ng fordítás..."
A probléma ezzel a példálózással, hogy X OS-en nem jelentkezik, Y-on pedig igen, ezt aga a Twitter bejegyzés szerzője mondja. Akkor milyen formában a patch okozza, ha nem konzisztensen lassul ugyanaz a folyamat?Egyszerűen bármilyen frissítés utáni lassulás a patchre lesz fogva, ahelyett, hogy valósan megkeresnék a hiba okát.
Az meg hogy általánosan mondasz egy random számot OS-eken átívelően, úgy hogy teljesen más hogy van implementálva 1-1 rendszerben, kb. vicc. Milyen formában érinti a Linux lassulása a Windowst?
Mindenki találgat, és ebből megye , ez a probléma.
-
vicze
félisten
válasz #73749248 #384 üzenetére
Az gondolom teljesen hidegen, hogy a teljes Azure platform minden egyes gépe 10.-től kizárólagosan patchelt rendszeren fut? Több 100ezer gépről van szó, amik közül van mi már 1 hónapja patchelve lettek első körben.
Te mit emelsz ki? Egy darab extrém esetet, mi még csak nem is általános, hanem distro specifikus, és senki se tudja, hogy a patch okozza-e.
Lehet lassulás? Lehet.
Javítható lesz akár program szinten? Javítható.
Tesztelni kell? Nyilván.
Otthoni felhasználóra lehet kihatása? Nagyon kis százalékban lehet. -
vicze
félisten
A Lenovo (és minden másik nagy gyártó) 5év teljes HW és SW supportot ad a Thinkpad sorozatra, ebből sajnos a 2. generációsok épp most estek ki. Ha esetlegesen nagyon sírnak a userek akkor lehet, hogy adnak ki régebbiekhez is, de az csak később lehet majd.
Amúgy nem a BIOS frissítés az egyetlen módszer a mikrokód frissítésére, ahogy már feljebb tárgyalva lett. Ha Intel szíveskedik kirakni publikba Linux-hoz a mikrokód frissítéséket, akkor 1. generációig visszamenőleg minden patchelhető BIOS update nélkül Linux vagy akár Windows alól is.
[ Szerkesztve ]
-
vicze
félisten
Windows 10 1511 támogatása megszűnt októberben. Jelenleg update-en keresztül csak az Enterprise verzió fog frissülni, ami áprilisig haladékot kapott. Ezért kapsz hibaüzetet, mert a linkelt frissítést csak Enterprise-ra lehet telepíteni.
Először 1709-re upgradelt, utána mehet a 2018-01-rá.
-
vicze
félisten
Olyan jó a rendszergazdák élete.
Lenovo update:"Withdrawn CPU Microcode Updates: Intel provides to Lenovo the CPU microcode updates required to address Variant 2, which Lenovo then incorporates into BIOS/UEFI firmware. Intel recently notified Lenovo of quality issues in two of these microcode updates, and concerns about one more. These are marked in the product tables with “Earlier update X withdrawn by Intel” and a footnote reference to one of the following:
*1 – (Kaby Lake U/Y, U23e, H/S/X) Symptom: Intermittent system hang during system sleep (S3) cycling. If you have already applied the firmware update and experience hangs during sleep/wake, please disable sleep (S3) mode on your system, and then apply the improved update when it becomes available. If you have not already applied the update, please wait until the improved firmware level is available.
*2 – (Broadwell E) Symptom: Intermittent blue screen during system restart. If you have already applied the update, Intel suggests continuing to use the firmware level until an improved one is available. If you have not applied the update, please wait until the improved firmware level is available.
*3 – (Broadwell E, H, U/Y; Haswell standard, Core Extreme, ULT) Symptom: Intel has received reports of unexpected page faults, which they are currently investigating. Out of an abundance of caution, Intel requested Lenovo to stop distributing this firmware."
-
vicze
félisten
Illetve még megjegyezném, hogy bekerült a Lenovo listába a ThinkPad T420, X220, és a legtöbb 2. generációs Core i(február vége), valószínű majd jön az 1. generáció is. Nem hinném, hogy bárki panaszkodhat a Lenovora jelenleg.
Szerk: Még annyi, hogy a Linuxra kiadott mikrókódok felrakását se ajánlom a fent említett CPU-kra, a fenti okok miatt, még ugyan úgy a hibás mikrokód került a Linuxra kiadottak közé. Februárig várni kell az újra.
[ Szerkesztve ]
-
vicze
félisten
Épp most próbáltam, de ne zavarjon. A nem vPro-s gépeken alapból eleve nincs semmilyen opció a AMT-be lépésre, hiába van ott.
vPro esetében, meg lehet változtatni az admin jelszót valóban, hisz alapon van beállítás nélkül, de ebben az állapotban az ég világon semmit nem lehet az eszközzel tenni, mivel a provisoning fázisba kerül és nem aktivált az AMT, remote control meg pláne nincs. Ehhez még kell egy provision folyamat, amit csak a gépen belépve lehet elérni, illetve SCS esetében remote-ba, de ahhoz már server infrastruktúra kell.Eleve még a vállalati gépek kis százaléka rendelkezik vPro-val, user szinten meg 1% alatti az arány. Ezen keresztül végrehajtani bármilyen támadást, felér egy nagyon komplex bűvész mutatvánnyal, és a siker esélye még így is alacsony.
-
vicze
félisten
válasz velizare #449 üzenetére
Mivel minden processzor és nVidia esetében lájuk, hogy akár a GPU is ugyan úgy működik, így szinte biztos, hogy minden Out of Order CPU architektúra érintett. Max nem foglalkozott vele senki, mert nem elérhető széleskörűen. Pl. MIPS. De egy Spark vagy egy IBM Power sérülékenysége kb. lényegtelen, mert a támadó elég nehezen fog tudni kódot futtatni egy kritikus szerveren, ha meg tud akkor már úgy is mindegy.
Ezek a sérülékenységek leginkább letöltött és user által futtatott malwerekre jók, felhős szolgáltatókat kivéve nem sok kihatása van szerverkörnyezetben.
-
vicze
félisten
Hát a mi szolgáltatónk, azt csinálja, hogy befogja a fülét jó hangosan kiabál és beledugja a fejét homokba.
Nincs másik eszközük üzleti ügyfeleknek és úgy látom hogy nem is akarnak másikat, úgyhogy élvezem, hogy heti 1x kiesik random időre. Liberty Media(nem M.o.) én így szeretlek...[ Szerkesztve ]
-
vicze
félisten
Mondjuk kíváncsi leszek mikorra javítják, amúgy Gen 6-hez nem lett visszahívva sehol, szóval az "jó"(?).
Lenovo az első javítottakat jan. 26.-ra írja, kíváncsi vagyok... Sajnos a 2 tesztgépen jönnek elő a furcsaságok, és nem reboot vagy lassulás, hanem inkább be se kapcsolás... Mondjuk az tutira orvosolja a sebezhetőséget.
Új hozzászólás Aktív témák
- Milyen TV-t vegyek?
- Honda topik
- No Voice in the Galaxy
- gban: Ingyen kellene, de tegnapra
- KERÉKPÁR / BRINGA / ALKATRÉSZ beárazás
- Call of Duty: Modern Warfare III (2023)
- VR topik (Oculus Rift, stb.)
- Poco X6 Pro - ötös alá
- Kerékpárosok, bringások ide!
- Szevam: Érzelmi magabiztosság/biztonság - miért megyünk sokan külföldre valójában?
- További aktív témák...