Názory k článku
Od jádra Linux 6.16 bude zastaralý mikrokód CPU Intel považován za zranitelnost

Pro uplny pocit bezpeci chybi uz jenom expiracni doba kazdeho vydani kernelu, proste - Linux zraje jako mleko :D Neupdatnes vcas, tak se stroj preventivne vypne.

Divné já o preventivním vypínání nic nečtu, jen o označení takového CPU flagem, který se dá přečíst přes /sys.

Jakýkoli *) soft zraje jako mlíko. A konkrétně u bezpečnosti se prostě jakékoli útoky na něj v čase budou jen zlepšovat.

Vypínání je debilní slaměný panák.

*) s miniaturními výjimkami

A jelikoz je se 100% jistotou deravej kazdej stroj, mel by se preventivne hned pri prvnim spusteni spustit mechanismus autodestrukce, idealne s velkym vybuchem.

S tou expiraci snad radsi ani nahlas nezertujte, on to nekdo od CA/B nejspis brzo zkusi obslehnout.

Uz i prvni QA toho patche je vtipne - aktualizuje se ne kvuli konkretnim kritickym aktualizacim, ale aby Windows Update bylo zelene ;-).

Q: Does this tell me if my system is secure or insecure?
A: No. It only tells you if your microcode was old when the
system booted.

Chapu situaci spravne, ze v pripade CPU se zastaralym microcode pribude v /proc/cpuinfo novy flag, ktery o teto skutecnosti informuje a je uz na kazdem jednotlivem sw jak s touto informaci nalozi?

23. 4. 2025, 08:15 editováno autorem komentáře

Ano, samo o sobě to nebude dělat nic, jen to bude hlásit

Takže potencionální škodlivý SW se nejprve spustí s uživatelskými právy, přečte si jaké má ten stroj zranitelnosti a stáhne si exploit na míru. Genitální!

V laboratornich podminkach ano. V realnem svete s aktualizovanym kernelem jdou ty exploity dost tezko. Mozna by se dalo souhlasit pokud by byl primy pristup k infrastrukture - ve smyslu chlapik v datacentru a nezabezpecene pripojeni periferii.

Navic pro detekci cpu muzete pouzit jiny nastroj nez cteni z /proc/cpuinfo a to i z userspace.

Zbytecna blbost. Staci, aby na ty CPU Intel psal "vulnerable" uz ve fabrice, je to stejne jen otazka casu. Obchazeni chyb se ztratou 30% vykonu neni zadne reseni.

Mně to naopak jako docela dobré řešení přijde.

Na trhu se mi objeví CPU s chybou, a já ji můžu opravit za cenu jen 30% výkonu. To je pecka.
Obzvlášť v dobách, kdy 30% je rozdíl mezi dvěma generacemi. To už dneska neplatí, naopak nová generace může být i pomalejší než předchozí - což jasně dokládá, že ten výkon nepotřebujeme :-)

Líbilo by se mi zatržítko "ignorovat CPU bezpečnostní chyby" například v případě, že běží jen ověřený software, nebo je to třeba čistě výpočetní node někde oddělený od sítě. Když by mi chyběl výkon, tak bych si to mohl zapnout, abych ignoroval záplatky v programech i mikrokódu, a běžel jako za mlada :-)

Ale vždyť to ignorovat jde, přidej si do grubu mitigations=off

A to uz ... staci? ... nospectre_v2 nospectre_v1 ...a urcite je toho vic.

Tohle právě řeší všechny ty záplaty jednoduše jedním flagem...

Pak je samozřejmě možné si zapínat/vypínat jenom jednotlivé zranitelnosti, to se dá všechno dohledat.

Hlavne vsechny ty chyby jsou o tom, ze ten root, coz je ve vetsine pripadu jedinej uzivatel, si bude sam sobe stovky hodin cist nejaky klice z cache cpu ... misto toho, aby si je za ns precet z disku ...

Už ae těším, až na to naši bezpečáci budou reagovat svým obvyklým "tady je zranitelnost, vyřešte to" :-D.

Jojo. Mame jedny takove bezpecaky "z Brna". Nebo to co je po skolenich z uradu prace. Bal jsem se toho kdy lidi bez jakehokoliv hlubsiho backgroundu v IT budou delat bezpecaky a musi se resit vsechno. A uz je to tady. Workload 50% tech teoretickych bezpecnostnich hovadin.

Už ale těším, až na to naši bezpečáci budou reagovat svým obvyklým "tady je zranitelnost, vyřešte to" :-D.

A na tomhle je špatné ... co? Já nevím jak ty, ale já když se každý den přihlásím na své servery, tak automaticky udělám apt update && apt upgrade;systemctl reboot (nebo freebsd-update fetch install; reboot). Tedy každý den mám up to date servery a i s jádrem.

V práci samozřejmě někdo řeší padesát devítek dostupnosti (protože to někdo někdy možná napsal do nějaké možná i podepsané smlouvy), monitoring má nastavené na 10s, takže reboot kontejneru (nspawn, jail), který trvá do 1s, ten jeho monitoring ani nepozná. Dneska mi min.io sdělilo, že už je moc staré, že kdysi dávno před týdnem vyšla nová verze. Tak jsem udělal git pull, go install a během 10s jsem měl zbrusu nové minio.

Takže pokud mi zítra bezpečák pošle email: zabezpeč kernel, tak se napiju kávy a odpovím mu, že hotovo již v úterý (ve skutečnosti v pondělí, ale to je státní svátek a prej nemám pracovat).

Je v tom nějaký problém? Až budu mít kornatění tepen a karpální tunel, tak na to napíšu systemd timer nebo ve FreeBSD další řádek do cronu.

- takze kdyz ti apt upgrade skoci na nejakej problem i tak automaticky reboot? ;-)
- reboot casto neni potreba, staci mit vhodne nastavenej "needrestart" a v pripade *buntu serveru aktivni livepatch

Co to znamená zastaralý mikrokód? Proti čemu se to vztahuje?

Poslední stabilní Debian? Fedora? Ubuntu? Arch Linux?

To bude zase podobný scénář jako s DXVK a doporučenými ovladači. Debian má aktuálně Mesa stable: 22.3.6-1+deb12u1.

Jenže DXVK požaduje doporučenou verzi Mesa 24.0.

Takže ačkoliv budu mít na Debianu nejnovější Mesa ovladače, hry či jiné 3D programy nezapnu, protože toto distro má definici nejnovější stabilní verze odlišnou od ostatních. Ovšem na Fedoře a Arch Linuxu ano.

Takže jsem zmatený, co to znamená nejnovější mikrokód, nebo tedy zastaralý.

https://git.kernel.org/pub/scm/linux/kernel/git/tip/tip.git/commit/?h=x86/microcode&id=4e2c719782a84702db7fc2dc07ced796f308fec7

proc bys hry nezapnul? si myslis ze budou sodovat v dmesg, jeslti kernel hodil warning "zastaralej microcode" ? :-)