Il 21/02/2018 19:31, Davide Prina ha scritto: > scoperte nuove varianti per Spectre e Meltdown[1]. Schneier dice che a > livello software la mitigazione attuale blocca anche questi (ma i > ricercatori da lui indicati dicono in realtà che "is largely the same", > cioè è per la maggior parte simile, quindi è possibile che ci devono > essere delle modifiche lievi a quanto già distribuito), ma il problema > principale è la mitigazione da applicare alle CPU tramite microcode che > deve essere espansa (ricordando che le mitigazione per microcode sono > state tolte[2] da un po' tutti i sistemi operativi per l'instabilità su > diversi tipi di processore... non ho notato se sono uscite nuove > versioni che superano questi problemi). > > Interessanti anche i commenti, ad esempio nel primo e nel secondo "who" > dice che ha provato su Ubuntu con le patch e con lo script > spectre-meltdown-checker che dice che è tutto a posto, ma che dalle > prove (PoC) risulta ancora vulnerabile. Inoltre dice, quello che già > ipotizzavo io, che non crede ci vorranno meno di 5 anni per avere > processori sicuri contro Spectre e Meltdown e che lui non si fiderà di > quelli che usciranno fra qualche mese e saranno indicati come resi più > sicuri contro di essi. > > Ciao > Davide
L'altro giorno ho cercato in modo generico sul web:"Debian sicurezza stretch". In una pagina di debian : https://www.debian.org/releases/stable/errata.it.html Consigliano di usare anche il repo proposed-updates # proposed additions for a 9 point release deb http://archive.debian.org/debian stretch-proposed-updates main contrib non-free Io ho provato a seguire questo consiglio. Dopo l'aggiornamento mi aggiorna il kernel e all'avvio mette anche alcuni messaggi riguardo a Spectre V2. Con il comando dmesg vedo anche questi warning : 0.014618] Spectre V2 mitigation: LFENCE not serializing. Switching to generic retpoline [ 0.014699] Spectre V2 mitigation: Vulnerable: Minimal generic ASM retpoline [ 0.014700] Spectre V2 mitigation: Filling RSB on context switch Ciao. > > [1] https://www.schneier.com/blog/archives/2018/02/new_spectremelt.html > > [2] > $ apt show intel-microcode > Package: intel-microcode > Version: 3.20180108.1+really20171117.1 > > infatti visto che si era arrivati a distribuire la versione 3.20180108.1 > e non è possibile indicare una versione inferiore si è aggiunto quel > +really20171117.1 per indicare che in realtà si è tornati indietro di > due versioni >