Quiero actualizar mi sistema para mitigar las vulnerabilidades de Specter y Meltdown.
La página relevante de Ubuntu dice que necesito actualizar microcódigos: "Desde una perspectiva de invitado y no hipervisor, a partir de las actualizaciones del kernel del 21 de febrero, hasta donde sabemos, las mitigaciones para Spectre y Meltdown en 64 bits amd64, ppc64el y s390x tienen funciones completas siempre que se realicen todas las actualizaciones de microcódigo, firmware e hipervisor debajo del sistema ... "
Tengo intel-microcode
e iucode-tool
instalé y actualicé, sin embargo, ejecuto dmesg | grep -i microcode
y grep -i microcode /var/log/syslog*
no devuelvo nada, lo que me hace pensar que el microcódigo de la CPU no se actualiza o algo más está mal.
Los paquetes están actualizados y ha habido reinicios desde la última actualización.
sistema operativo: Lubuntu 16.04
CPU: Intel N3700 (Braswell)
repositorios de software habilitados: principal, universo
actualizaciones habilitadas: xenial-security
Editar:
La salida de grep name /proc/cpuinfo | sort -u
es
model name : Intel(R) Pentium(R) CPU N3700 @ 1.60GHz
Mi procesador no es Skylake, ni el lago Kaby.
En /proc/cpuinfo
Hyper-Threading aparece como compatible, pero esta página de Intel dice que no es compatible:
https://ark.intel.com/products/87261/Intel-Pentium-Processor-N3700-2M-Cache-up-to-2_40 -GHz
Edición 2:
corrí sudo update-initramfs -u
y reinicié. Las salidas siguen siendo las mismas.
Salida de /usr/sbin/iucode_tool -tb -lS /lib/firmware/intel-ucode/*
:
/usr/sbin/iucode_tool: system has processor(s) with signature 0x000406c3
selected microcodes:
Parece que no hay un microcódigo actualizado para mi CPU, lo cual es interesante ya que anteriormente había un microcódigo seleccionable en la Additional Drivers
pestaña (finales de 2017); ahora no lo hay.
Edición 3:
Salida de apt list --installed | grep intel-microcode
:
WARNING: apt does not have a stable CLI interface. Use with caution in scripts.
intel-microcode/xenial-security,now 3.20180108.0+really20170707ubuntu16.04.1 amd64 [installed]
Edición 4:
ahora entiendo que no hay una actualización para el microcódigo de la CPU, lo que significa que el problema original está resuelto, y lo dejaré como está.
Sin embargo, dmesg
y journalctl -b
aún debería mostrar líneas sobre la versión de microcódigo, creo.
También noté que estos registros de arranque comienzan en "5" en lugar del típico 1 o 0, y que hay un mensaje de error repetitivo que los hace truncados ( dmesg
no dice nada sobre el truncamiento, pero journalctl
dice que hay 371635 mensajes de kernel perdidos, ver más abajo) . Ignoraré esto por ahora.
March 19 06:36:40 NN systemd-journald[266]: Runtime journal (/run/log/journal/) is 8.0M, max 78.9M, 70.9M free.
March 19 06:36:40 NN systemd-journald[266]: Missed 371635 kernel messages
March 19 06:36:40 NN kernel: handle_bad_irq+0x0/0x230
March 19 06:36:40 NN kernel: ->irq_data.chip(): ffffffffbb172c40,
March 19 06:36:40 NN kernel: chv_gpio_irqchip+0x0/0x120
March 19 06:36:40 NN kernel: ->action(): (null)
March 19 06:36:40 NN kernel: IRQ_NOPROBE set
March 19 06:36:40 NN kernel: irq 115, desc: ffff9b91f5df8200, depth: 1, count: 0, unhandled: 0
March 19 06:36:40 NN kernel: ->handle_irq(): ffffffffb9ee8f70,
March 19 06:36:40 NN kernel: handle_bad_irq+0x0/0x230
March 19 06:36:40 NN kernel: ->irq_data.chip(): ffffffffbb172c40,
March 19 06:36:40 NN kernel: chv_gpio_irqchip+0x0/0x120
March 19 06:36:40 NN kernel: ->action(): (null)
March 19 06:36:40 NN kernel: IRQ_NOPROBE set
March 19 06:36:40 NN kernel: irq 115, desc: ffff9b91f5df8200, depth: 1, count: 0, unhandled: 0
March 19 06:36:40 NN kernel: ->handle_irq(): ffffffffb9ee8f70,
March 19 06:36:40 NN kernel: handle_bad_irq+0x0/0x230
March 19 06:36:40 NN kernel: ->irq_data.chip(): ffffffffbb172c40,
March 19 06:36:40 NN kernel: chv_gpio_irqchip+0x0/0x120
March 19 06:36:40 NN kernel: ->action(): (null)
March 19 06:36:40 NN kernel: IRQ_NOPROBE set
March 19 06:36:40 NN kernel: irq 115, desc: ffff9b91f5df8200, depth: 1, count: 0, unhandled: 0
March 19 06:36:40 NN kernel: ->handle_irq(): ffffffffb9ee8f70,
March 19 06:36:40 NN kernel: handle_bad_irq+0x0/0x230
March 19 06:36:40 NN kernel: ->irq_data.chip(): ffffffffbb172c40,
March 19 06:36:40 NN kernel: chv_gpio_irqchip+0x0/0x120
grep name /proc/cpuinfo | sort -u
y observe "Algunos de los procesadores en estas dos listas no se ven afectados porque carecen de soporte de hiperprocesamiento. Ejecute el siguiente comando en un shell de línea de comando (por ejemplo, xterm), y generará un mensaje si hiper -threading es compatible / habilitado: "grep -q '^flags.*[[:space:]]ht[[:space:]]' /proc/cpuinfo && echo "Hyper-threading is supported"
sudo update-initramfs -u && sudo reboot
y verificar nuevamente después de reiniciar?/usr/sbin/iucode_tool -tb -lS /lib/firmware/intel-ucode/*
Respuestas:
Según los resultados,
/usr/sbin/iucode_tool -tb -lS /lib/firmware/intel-ucode/*
no se está cargando ningún microcódigo para su CPU porque por el momento no hay ninguno. Eso no significa que no habrá en el futuro. Puede dejar instalado intel-microcode y iucode-tool instalados, si hay una actualización que contenga microcódigo para la firma de su CPU, se utilizará.fuente
Error en Meltdown / Spectre Intel Microcode
Hubo un error a principios de 2018 en la actualización del Microcódigo Intel para abordar los agujeros de seguridad de Meltdown / Spectre. Como tal, el microcódigo tuvo que revertirse a una versión anterior.
Aquí está el microcódigo que estoy usando (habiendo excluido todas las actualizaciones a partir de enero de 2018):
Cuando instale Intel Microcode Update obtendrá esta versión o algo similar:
Menú Ubuntu 16.04 LTS
No estoy seguro acerca de la estructura del menú de Lubuntu, pero para Ubuntu normal, así es como se accede a los controles de actualización de microcódigo de Intel:
La opción inferior controla las actualizaciones de microcódigo de Intel.
Instale Intel Microcode desde CLI
Para omitir los menús de la GUI por completo, puede instalar desde la línea de comandos:
dmesg
ahora muestra la salida correctaDespués de seguir los pasos de instalación,
dmesg
devuelve el resultado deseado (a diferencia de su pregunta donde no muestra nada):fuente
dmesg
salida que tenía originalmente cuando comencé a escribir la respuesta. Lo agregaré. Básicamente, después de seguir los pasos de instalación, ladmesg
salida aparece como se supone que debe.sudo update-initramfs -u && sudo reboot
update-initramfs -u
que me necesiten, ya que no está en la lista aquí: askubuntu.com/questions/545925/… . Sin embargo, nunca duele.Ubuntu había lanzado una actualización kernel fija contra este exploit. El nuevo kernal ha requerido cambios.
Referencia: SecurityTeam / KnowledgeBase / SpectreAndMeltdown | Ubuntu Wiki
Estoy en Ubuntu 16.04, usando el controlador de pantalla Nouveau. En mi caso, el microcódigo Intel se desinstaló después de instalar un nuevo núcleo.
Esta actualización se publica justo después de que Intel lanzó la corrección de errores para la vulnerabilidad de seguridad de errores de espectro.
Esto debería solucionar tu problema.
Si tienes el controlador de propiedad de Intel reemplazado como en mi lugar y aún quieres el controlador de propiedad de microcódigo de Intel
Intel lanza microcódigos de CPU de Linux para corregir errores de fusión y espectro | bleepingcomputer.com
Actualmente, los nuevos controladores no están incluidos en Ubuntu ppa. Los usuarios pueden tener que descargarlo manualmente desde el sitio web de Intel.
Advertencia: Esto puede causar conflictos de controladores o inestabilidad en su Ubuntu. Debe instalarlo bajo su propio riesgo.
Descargar el archivo de datos del microcódigo del procesador Linux | downloadcenter.intel.com
Para mí, no tengo ningún problema en mi computadora portátil ubuntu. Entonces no quiero arriesgarme. Dejé el equipo de Ubuntu para decidir qué es lo mejor de mi sistema. Estoy esperando la actualización del equipo de controladores de Ubuntu.
fuente
intel-microcode
instalado