Патчи устранения уязвимостей Spectre и Meltdown (Linux)

Основано на информации от товарища n3k0nation (ZG) и дополнено мной

По факту это три уязвимости. Их нужно боятся, если у вас виртуальный сервер или же вы хостер, который предоставляет виртуальные сервера в аренду. Для тех, у кого выделенный сервер боятся нечего, а подобные патчи лишь уменьшают производительность…

Список уязвимых процессоров:
Вы не можете просматривать ссылку пожалуйста воспользуйтесь следующими ссылками Вход или Регистрация

Вы не можете просматривать ссылку пожалуйста воспользуйтесь следующими ссылками Вход или Регистрация
Вы не можете просматривать ссылку пожалуйста воспользуйтесь следующими ссылками Вход или Регистрация

Вы не можете просматривать ссылку пожалуйста воспользуйтесь следующими ссылками Вход или Регистрация

Версии ядра популярных дистрибутивов, начиная с которых присутствуют патчи для устранения уязвимостей:
Код: 
RHEL 6/ CentOS 6 - 2.6.32-696.18.7
RHEL 7/ CentOS 7 - 3.10.0-693.11.6
Debian 7 - 3.2.0-5-amd64
Debian 8 - 3.16.0-5-amd6
Debian 9 - 4.9.0-5-amd64
Ubuntu 14.04 - 3.13.0-139-generic
Ubuntu 16.04 - 4.4.0-109-generic/ 4.13.0-26-generic
Ubuntu 17.10 - 4.13.0-25-generic

Также ряд хостеров поставляет в своих образах ядра, которые им же и модифицированы, например OVH. В таком случае версия ядра может отличатся о тех, которые описаны выше и там уже могут быть вшиты эти патчи.

Для того чтобы проверить вашу систему берём специальный bash скрипт:
Вы не можете просматривать ссылку пожалуйста воспользуйтесь следующими ссылками Вход или Регистрация


Сохраняем к себе на сервер и выполняем (от root):
Код: 
sh spectre-meltdown-checker.sh

Если ваш сервер уязвим, то будет написано VULNERABLE, если нет, то NOT VULNERABLE соответственно.

ВНИМАНИЕ! Дальнейшие действия только для владельцев выделенных серверов, т.к эти уязвимости не несут никакой опасности для них (как и написано выше) и патчи, которые их закрывают можно смело отключить.

ВНИМАНИЕ! Если вы не понимаете, что делаете, то действовать самостоятельно не рекомендуется! Прежде чем редактировать загрузчик рекомендую проверить наличие VNC/KVM консоли, дабы в случае проблем с загрузкой сервера вы смогли зайти и вернуть всё обратно. Никто кроме вас не несёт ответственности за последствия. Все действия вы совершаете на свой страх и риск.

Итак, для того, чтобы отключить патчи необходимо добавить два аргумента в загрузчик ядра

Редактируем файл: /etc/default/grub

Нужный нам параметр:
Код: 
GRUB_CMDLINE_LINUX_DEFAULT

Добавляем в конец
Код: 
pti=off spectre_v2=off

должно получится так:
Код: 
GRUB_CMDLINE_LINUX_DEFAULT=".............. pti=off spectre_v2=off"
(где .............. аргументы, которые там были изначально)

Например так:
Код: 
GRUB_CMDLINE_LINUX_DEFAULT="noquiet nosplash pti=off spectre_v2=off"


Затем:
Код: 
update-grub
перегружаем сервер.

Проверяем утилитой spectre-meltdown-checker.sh, что сервер уязвим (VULNERABLE) по всем 3 вариантам, а значит патчи успешно отключены.
 
Нажмите, чтобы раскрыть...
Ещё более интересные новости:

Разработчики СУБД MariaDB предупредили о существенном снижении производительности хранилища MyISAM при использовании ядра Linux с патчами KPTI, блокирующими уязвимость Meltdown. Замедление операций сканирования строк в MyISAM после применения патчей KPTI составляет около 40%, а при отсутствии поддержки PCID может достигать 90%. Для избавления от подобного эффекта требуется полный редизайн MyISAM. Судя по всему это касается всех версий mysql и не только форков...

Вы не можете просматривать ссылку пожалуйста воспользуйтесь следующими ссылками Вход или Регистрация
 
как на CentoS 6-7 отключить? там вроде нет update-grub
 
Реакции: Evas

    Evas

    Баллов: 3
    За ответ
    G

    GoGLiKK

    Баллов: -5
    Данный пользователь ведет себя не адекватно, и не может общаться с пользователями

    Psycho

    Баллов: -20
    Данный пользователь ведет себя не адекватно, и не может общаться с пользователями

    Evas

    Баллов: 0
    Данный пользователь ведет себя не адекватно, и не может общаться с пользователями
GoGLiKK, всё правильно написал. valsha, почему вы не воспользовались поиском и не нашли ответ самостоятельно?
Почему вы ждёте, чтобы другие всё сделали за вас? А даже когда сделали, вы реагируете очень и очень странно...
 
Evas я смотрю вы много сами сделали, что аж перепостили сообщение n3k0nation
с форума
Вы не можете просматривать ссылку пожалуйста воспользуйтесь следующими ссылками Вход или Регистрация
 
Evas написал(а):
Основано на информации от товарища n3k0nation (ZG) и дополнено мной
Нажмите, чтобы раскрыть...

Н-еадекват

p.s -
Жаль только -5 дал :/
 
Последнее редактирование:

Мои поздравления!
Вы делаете успехи, раз наконец смогли воспользоваться поиском. Но, к сожалению, вы плохо им воспользовались.
Внимательнее надо быть, внимательнее. Если полистать тему на ZG, которую вы нашли, можно увидеть, что первое сообщение было дополнено моей информацией.

P.S. - Конкретно в данном случае речь шла о вас. Вам всё разжевали, даже нашли решение конкретно вашего вопроса, а вместо благодарности вы ведёте себя как даже не знаю кто ....
 
Я знаю

GoGLiKK написал(а):
Н-еадекват
Нажмите, чтобы раскрыть...
 
Кстати, работает не только с GRUB. Достаточно к параметрам загрузки ядра указать pti=off spectre_v2=off.
К примеру, в systemd-boot я эти опции добавил к options в /boot/loader/entries/имя_пресета.conf.
 
Войдите или зарегистрируйтесь для ответа.
Меню
Вход
Регистрация