Názory k článku
Intel vydal aktualizaci mikrokódu pro Linux

povedlo se nekomu tenhle update nainstalovat?

Nic na tom není, jen to zakompiluješ do jádra a necháš pracovat early update driver. Necháš si najít bundle:

# iucode_tool -S -l /lib/firmware/intel-ucode/*
iucode_tool: system has processor(s) with signature 0x000806e9
[...]
microcode bundle 068: /lib/firmware/intel-ucode/06-8e-09
microcode bundle 069: /lib/firmware/intel-ucode/06-8e-0a
[...]
selected microcodes:
068/001: sig 0x000806e9, pf_mask 0xc0, 2018-01-04, rev 0x0080, size 98304
069/001: sig 0x000806ea, pf_mask 0xc0, 2018-01-04, rev 0x0080, size 98304


Pod selected microcodes ti vypíše kompatibilní, tak si jejich cesty v předešlém seznamu vyhledáš podle čísel (68, 69) a dáš do jádra:

CONFIG_FW_LOADER=y
CONFIG_FIRMWA­RE_IN_KERNEL=y
CONFIG_EXTRA_FIR­MWARE="intel-ucode/06-8e-09 intel-ucode/06-8e-0a"
CONFIG_EXTRA_FIR­MWARE_DIR="/lib­/firmware"


Rebuild, reboot... a pak by to měla být první věc, co jádro udělá:

# dmesg | head -n 1
[ 0.000000] microcode: microcode updated early to revision 0x80, date = <b>2018-01-04</b>


Nevím jistě, ale podle mě tohle není linking, takže to neovlivní GPL status jádra, tj. takové jádro lze dál distribuovat.

diky, tohle bylo pohodlnejsi a slo to bez problemu

Toto udělá změnu "napevno" v procesoru nebo když nabootuji jiný linux (bez opravy) bude tato tam zase tato zranitelnost?

Většina distribucí umí "magii", že stačí nainstalovat balíček intel-ucode, který se postará o přidání parametrů do loaderu.

Případně lze přidat nahrávání microcode ručně jako parametr přímo kernelu (stejně jako se předává initramfs) a on se postará o zavedení do procesoru.

initrd=/boot/intel-ucode.img initrd=/boot/initramfs-linux.img

V dmesg se pak objeví hned na začátku:

[    0.000000] microcode: microcode updated early to revision 0x7, date = 2013-08-20

...jo jo, mám Core i5 co dávno patří do šrotu, takže na něj aktuální mikrokód není.

Mna tesi, ze v tom zozname su aj 10 rokov stare procesory.

Tak to je smola. Som random vyklikal asi 20 cpu z toho zoznamu a len jeden mal aktualizaciu z 2017. Vsetky ostatne 8.1 2018. A to tam boli aj Pentia III.
Aky mate CPU?

iucode-tool -k -S microcode.dat
iucode-tool: cpuid kernel driver unavailable, cannot scan system processor signatures
iucode-tool: Uploading selected microcodes to: /dev/cpu/microcode

CVE-2017-5753 [bounds check bypass] aka 'Spectre Variant 1'
> STATUS: VULNERABLE (heuristic to be improved when official patches become available)

CVE-2017-5715 [branch target injection] aka 'Spectre Variant 2'
> STATUS: VULNERABLE (IBRS hardware + kernel support OR kernel with retpoline are needed to mitigate the vulnerability)

Vybere vsechny.

Proc neexistuje /dev/cpu/x/cpuid.

CPU je Intel Xeon Processor E5-2690 v4

Jedna se o debian old stable (8) - Linux diamond 3.16.0-5-amd64 #1 SMP Debian 3.16.51-3+deb8u1 (2018-01-08) x86_64 GNU/Linux

iucode-tool -lSvvv microcode.dat
iucode-tool: /dev/cpu/0/cpuid: returned error status on open(): No such file or directory
iucode-tool: cpuid kernel driver unavailable, cannot scan system processor signatures
iucode-tool: microcode bundle 1: microcode.dat (1613824 bytes)
iucode-tool: processed 164 valid microcode(s), 164 signature(s), 164 unique signature(s)
selected microcodes:
...
...
iucode-tool: selected 164 microcode(s), 164 signature(s)

Timto se chci Intelu omluvit jen tak jsem koukl na seznam v sekci ke stazeni(odkaz v clanku) na strankach intelu. Uvidel jsem svuj (i5-2540M), ale moc jsem nejasal, kdo si tu psal ze tam jsou i procesory bez opravy. Nedalo mi to kliknul jsem na nej a u "Microcode data file" datum posledni aktualizace 1.8.2018. Tak jsem to stahl updatenul a v clanku uvadeny nastrol po rebootu napsal ze mam ochranu aspon pro Meltdown(spectre zatim nic :/).

Tak s tím omlouváním ještě počkej, než si ověříš že u toho mikrokódu se změnilo i něco jiného než jenom datum :-D