Evas 44 Опубликовано 4 февраля, 2018 (изменено) Основано на информации от товарища n3k0nation (ZG) и дополнено мной По факту это три уязвимости. Их нужно боятся, если у вас виртуальный сервер или же вы хостер, который предоставляет виртуальные сервера в аренду. Для тех, у кого выделенный сервер боятся нечего, а подобные патчи лишь уменьшают производительность… Список уязвимых процессоров: Intel (Server/Desktop) https://www.techarp.com/guides/complete-meltdown-spectre-cpu-list/4/ https://www.techarp.com/guides/complete-meltdown-spectre-cpu-list/5/ Hide AMD (Server/Desktop) https://www.techarp.com/guides/complete-meltdown-spectre-cpu-list/#server https://www.techarp.com/guides/complete-meltdown-spectre-cpu-list/2/ Hide Версии ядра популярных дистрибутивов, начиная с которых присутствуют патчи для устранения уязвимостей: RHEL 6/ CentOS 6 - 2.6.32-696.18.7 RHEL 7/ CentOS 7 - 3.10.0-693.11.6 Debian 7 - 3.2.0-5-amd64 Debian 8 - 3.16.0-5-amd6 Debian 9 - 4.9.0-5-amd64 Ubuntu 14.04 - 3.13.0-139-generic Ubuntu 16.04 - 4.4.0-109-generic/ 4.13.0-26-generic Ubuntu 17.10 - 4.13.0-25-generic Также ряд хостеров поставляет в своих образах ядра, которые им же и модифицированы, например OVH. В таком случае версия ядра может отличатся о тех, которые описаны выше и там уже могут быть вшиты эти патчи. Для того чтобы проверить вашу систему берём специальный bash скрипт: https://github.com/speed47/spectre-meltdown-checker Сохраняем к себе на сервер и выполняем (от root): sh spectre-meltdown-checker.sh Если ваш сервер уязвим, то будет написано VULNERABLE, если нет, то NOT VULNERABLE соответственно. Пример Hide ВНИМАНИЕ! Дальнейшие действия только для владельцев выделенных серверов, т.к эти уязвимости не несут никакой опасности для них (как и написано выше) и патчи, которые их закрывают можно смело отключить. ВНИМАНИЕ! Если вы не понимаете, что делаете, то действовать самостоятельно не рекомендуется! Прежде чем редактировать загрузчик рекомендую проверить наличие VNC/KVM консоли, дабы в случае проблем с загрузкой сервера вы смогли зайти и вернуть всё обратно. Никто кроме вас не несёт ответственности за последствия. Все действия вы совершаете на свой страх и риск. Итак, для того, чтобы отключить патчи необходимо добавить два аргумента в загрузчик ядра Редактируем файл: /etc/default/grub Нужный нам параметр: GRUB_CMDLINE_LINUX_DEFAULT Добавляем в конец pti=off spectre_v2=off должно получится так: GRUB_CMDLINE_LINUX_DEFAULT=".............. pti=off spectre_v2=off" (где .............. аргументы, которые там были изначально) Например так: GRUB_CMDLINE_LINUX_DEFAULT="noquiet nosplash pti=off spectre_v2=off" Затем сохраняем файл и выполняем: update-grub перегружаем сервер. Проверяем утилитой spectre-meltdown-checker.sh, что сервер уязвим (VULNERABLE) по всем 3 вариантам, а значит патчи успешно отключены. Изменено 4 февраля, 2018 пользователем Evas 1 Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
Evas 44 Опубликовано 14 февраля, 2018 (изменено) Ещё более интересные новости: Разработчики СУБД MariaDB предупредили о существенном снижении производительности хранилища MyISAM при использовании ядра Linux с патчами KPTI, блокирующими уязвимость Meltdown. Замедление операций сканирования строк в MyISAM после применения патчей KPTI составляет около 40%, а при отсутствии поддержки PCID может достигать 90%. Для избавления от подобного эффекта требуется полный редизайн MyISAM. Судя по всему это касается всех версий mysql и не только форков... https://mariadb.org/myisam-table-scan-performance-kpti/ Изменено 14 февраля, 2018 пользователем Evas Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
