Vulnerabilidades: Meltdown (descubierta en CPUs Intel), Spectre (descubierta en CPUs Intel, AMD y ARM)

26 réponses [Dernière contribution]
Daniel1000
Hors ligne
A rejoint: 07/21/2016

Páginas en Wikipedia:
https://es.wikipedia.org/wiki/Meltdown_(vulnerabilidad)
*En inglés:
https://en.wikipedia.org/wiki/Meltdown_(security_vulnerability)
https://en.wikipedia.org/wiki/Spectre_(security_vulnerability)

NOTA: a pesar de la importancia de estas vulnerabilidades, los siguientes artículos carecen de cierta información técnica para discriminar entre procesadores que tengan esas vulnerabilidades y otros que no:

https://www.xataka.com/seguridad/meltdown-y-spectre-asi-es-la-pesadilla-en-la-seguridad-de-las-cpus-de-intel-amd-y-arm

https://www.xataka.com/seguridad/detectan-un-error-masivo-en-el-diseno-de-las-cpu-de-intel-solucionarlo-ralentizara-millones-de-ordenadores

https://www.elconfidencial.com/tecnologia/2018-01-04/meltdown-spectre-protegerse-procesadores-intel_1501061/

https://www.elconfidencial.com/tecnologia/2018-01-04/meltdown-spectre-intel-amd-arm-holdings-google-apple_1501030/

Heckyel (non vérifié)
Heckyel
eliotime3000
Hors ligne
A rejoint: 06/05/2016

Echando un ojo a los bugs en cuestión, el chiste es que Libreboot dio en el clavo para contener estos bugs, los cuales radican en el modus operandi de los microcódigos:

https://libreboot.org/faq.html#intel
https://libreboot.org/faq.html#amd
https://libreboot.org/faq.html#whatcaniuse
https://libreboot.org/faq.html#what-about-arm

Y claro, para Stallman, lo de Spectre y Meltdown es periódico de ayer:

https://stallman.org/intel.html

Si tienen una PC que soporte Libreboot y/o que venga preinstalado, aprécienlo. No por gusto las PC's preconfiguradas para Libreboot y Software libre cuestan carísimo:

https://www.fsf.org/resources/hw/endorsement/respects-your-freedom

Mientras tanto, le dedico esta technoranchera a Intel:

https://www.youtube.com/watch?v=8APstxfd--A

Ignacio.Agullo
Hors ligne
A rejoint: 09/29/2009

On 05/01/18 06:04, wrote:
> Echando un ojo a los bugs en cuestión, el chiste es que Libreboot dio
> en el clavo para contener estos bugs, los cuales radican en el modus
> operandi de los microcódigos:
>
> https://libreboot.org/faq.html#intel
> https://libreboot.org/faq.html#amd
> https://libreboot.org/faq.html#whatcaniuse
> https://libreboot.org/faq.html#what-about-arm

No sabes cuánto me gustaría que tuvieses razón.

"Coreboot does distribute microcode updates for Intel and AMD CPUs, but
libreboot cannot, because the whole point of libreboot is to be 100%
free software ."

Lo que dicen los enlaces que suministras es que Libreboot bloquea
las actualizaciones de microcódigo de las CPUs Intel y AMD. Pero, ¿qué
hay del microcódigo que viene instalado de fábrica? No creo que el
problema esté solucionado, a no ser que la actualización del microcódigo
sea el vector a través del cual penetra el ataque; en ese caso, y sólo
en ése, sí estaría solucionado.

--
Ignacio Agulló · name at domain

delaforce
Hors ligne
A rejoint: 05/18/2014

Justamente esa es mi duda. Pero la tecnologia afectada por lo que han comentado en otros canales son la gestion de la memoria cache de la cpu para realizar multihilos.¿ Deberiamos entonces pasar a pentium de 1 hilo ?.

Algunas personas dicen que quieren ordenadores nuevos por completo , otros que es el fin de Intel y que sera reemplazado por Arm o Amd o ¿queda alguien mas?

Ignacio.Agullo
Hors ligne
A rejoint: 09/29/2009

On 06/01/18 17:22, Ignacio Agulló wrote:
> On 05/01/18 06:04, wrote:
>> Echando un ojo a los bugs en cuestión, el chiste es que Libreboot dio
>> en el clavo para contener estos bugs, los cuales radican en el modus
>> operandi de los microcódigos:
>>
>> https://libreboot.org/faq.html#intel
>> https://libreboot.org/faq.html#amd
>> https://libreboot.org/faq.html#whatcaniuse
>> https://libreboot.org/faq.html#what-about-arm
> No sabes cuánto me gustaría que tuvieses razón.
>
> "Coreboot does distribute microcode updates for Intel and AMD CPUs, but
> libreboot cannot, because the whole point of libreboot is to be 100%
> free software ."
>
> Lo que dicen los enlaces que suministras es que Libreboot bloquea
> las actualizaciones de microcódigo de las CPUs Intel y AMD. Pero, ¿qué
> hay del microcódigo que viene instalado de fábrica? No creo que el
> problema esté solucionado, a no ser que la actualización del microcódigo
> sea el vector a través del cual penetra el ataque; en ese caso, y sólo
> en ése, sí estaría solucionado.

Después de leer la siguiente serie de artículos, sospecho que
Libreboot no sólo no representa protección alguna contra Meltdown y
Spectre sino que además *bloquea los parches necesarios para protegerse
de ellos*. O sea que poseer un ordenador con Libreboot se ha convertido
de súbito en la peor noticia posible.

*Processor/CPU Speculative Execution Patching on Linux Tutorial* series:

1. How to patch Meltdown CPU Vulnerability CVE-2017-5754 on Linux

2. How to patch Spectre Vulnerability CVE-2017-5753/CVE-2017-5715 on
Linux

3. How to check Linux for Spectre and Meltdown vulnerability

4. How to install/update Intel microcode firmware on Linux

--
Ignacio Agulló · name at domain

vita_cell
Hors ligne
A rejoint: 07/19/2015

Procesadores x86 vienen con microcodigo ya grabado, y FSF lo conside como parte del hardware. Ese microcodigo ya grabado no se puede modificar. Las actualizaciones de microcodigo se cargan al iniciar sistema operativo, pero no se actualiza ni se graba el microcodigo que ya viene en la CPU.

ADFENO
Hors ligne
A rejoint: 12/31/2012

Podes atualizar o kernel para última versão (estável e instável) usando
os repositórios de Jason "jxself" Self, um dos colegas nossos que fica
no fórum inglês de Trisquel (ou na lista de discussão/e-mail
trisquel-users).

2018-01-11T23:39:05+0100 name at domain wrote:
> Procesadores x86 vienen con microcodigo ya grabado, y FSF lo conside
> como parte del hardware. Ese microcodigo ya grabado no se puede
> modificar. Las actualizaciones de microcodigo se cargan al iniciar
> sistema operativo, pero no se actualiza ni se graba el microcodigo que
> ya viene en la CPU.

--
- https://libreplanet.org/wiki/User:Adfeno
- Palestrante e consultor sobre /software/ livre (não confundir com
gratis).
- "WhatsApp"? Ele não é livre. Por favor, veja formas de se comunicar
instantaneamente comigo no endereço abaixo.
- Contato: https://libreplanet.org/wiki/User:Adfeno#vCard
- Arquivos comuns aceitos (apenas sem DRM): Corel Draw, Microsoft
Office, MP3, MP4, WMA, WMV.
- Arquivos comuns aceitos e enviados: CSV, GNU Dia, GNU Emacs Org, GNU
GIMP, Inkscape SVG, JPG, LibreOffice (padrão ODF), OGG, OPUS, PDF
(apenas sem DRM), PNG, TXT, WEBM.

vita_cell
Hors ligne
A rejoint: 07/19/2015

Tardo, pero salio por fin:

https://www.phoronix.com/scan.php?page=news_item&px=AMD-PSP-2018-Vulnerability

AMD menudos ignorantes de la vida.

deshecho humano
Hors ligne
A rejoint: 10/15/2016

¿Alguien sabe si ha sido parcheado ya en el kernel de Linux?

vita_cell
Hors ligne
A rejoint: 07/19/2015

Ha habido tanto revuelo y tanta indecicion, que creo que aun no tienen nada definitivo. Se hablaba de que no se parcheara al AMD, pero no se yo.

gnutastyc
Hors ligne
A rejoint: 11/13/2017

Meltdown sí, https://fedoramagazine.org/kpti-new-kernel-feature-mitigate-meltdown/ pues si has sido parcheado en fedora debería haber sido parcheado más arriba y si en última versión de Linux libre todavía no está disponible, no debería tardar mucho.

MatíasSand
Hors ligne
A rejoint: 08/01/2015

Hola, según lo que he leído, el sacrificio del 30% del procesador de la máquina es una condición indispensable para no ser vulnerable, pero, definitivamente, no hay una solución a futuro sin prescindir de esa escandalosa cantidad de procesador? Es entonces una jugada extremadamente sucia de intel sin solución?

gnutastyc
Hors ligne
A rejoint: 11/13/2017

En principio debería poder desactivarse esa característica de seguridad, pero la reducción del 30% de la capacidad del procesador... No aparece mencionado en ningún momento en los artículos en los que lo publicaron y depende muchísimo del programa que se utilice para probarlo, fundamentalmente de las syscalls que haga el programa. La única forma de comprobarlo es probar un kernel que ya tenga esa funcionalidad incluida y ver si notas alguna diferencia en la velocidad de ejecución.

vita_cell
Hors ligne
A rejoint: 07/19/2015

Lo peor de todo sera para ordenadores portatiles, igual pueden calentarse algo mas.

delaforce
Hors ligne
A rejoint: 05/18/2014

¿Por que no ponemos aquellos casos de invulnerabilidad de nuestros equipos? Creo mejor eso q los q son vulnerables.

Corriendo la aplicacion de intel a traves de windows (solo para pruebas) la INTEL SA 00075 Detection Tool dice : Unable to detect ME or SMBIOS information.

vita_cell
Hors ligne
A rejoint: 07/19/2015

Cabe mencionar que PowerPC tambien estan afectados, aunque los mas viejos son mas seguros. Aqui mas info:

http://tenfourfox.blogspot.com.es/

Sr.Jacky
Hors ligne
A rejoint: 01/12/2018

Hola, buenas noches.

Ya habéis dejado links sobre este tema de Meltdown y Spectre, pero aquí os dejo otro más, por si os interesa: https://www.linuxadictos.com/algo-podamos-no-perder-tanto-rendimiento-los-parches-meltdown-spectre.html

Hace un par de días Ubuntu Mate 16.04 (es la versión que yo utilizo), actualizo su kernel al 4.13 y aun con ese kernel actualizado es vulnerable al Spectre, y no al Meltdown (dejo captura de pantalla abajo para que lo veáis). Si queréis saber si vuestra distribución es vulnerable: https://raw.githubusercontent.com/speed47/spectre-meltdown-checker/master/spectre-meltdown-checker.sh

Con esa actualización de kernel tuve problemas con VirtualBox, por lo menos con la versión 5.0 que es la que viene en los repositorios de Ubuntu. Con la última versión de VirtualBox que es la 5.2.4, ya no tengo el problema que se congelaba todo el sistema al arrancar o crear una máquina virtual. Así que si algunos de ustedes utilizáis VirtualBox desde los repositorios principales de la distribución (si es que usáis Ubuntu o derivadas) os recomiendo instalar la última versión disponible.

Se que Ubuntu y VirtualBox no son libres, así que no quiero comentarios negativos ni despectivos. Fui usuario de Trisquel durante un tiempo, y seguramente cuando salga Trisquel 8, me la instalaré en mis equipos. Por ahora seguiré usando Ubuntu Mate.

También os dejo otro link de la noticia sobre las nuevas imágenes iso actualizadas de Ubuntu 17.10, que ya no presentan el problema de la BIOS: https://www.muylinux.com/2018/01/12/ubuntu-17-10-1/

Soy nuevo en el foro, así que un saludo de mi parte a todos/as.
Espero aportar todos mis conocimientos y ayudar en todo lo posible.

captura_pantalla.png
vita_cell
Hors ligne
A rejoint: 07/19/2015

Que yo sepa, VirtualBox es software libre, la base, el paquete de extensiones con soporte para USB3.0 no son libres. Pero el programa base si. El problema es que a partir de la version 5, decidieron compilar la BIOS con "Open Watcon" que es gratis pero de "open" no tiene nada, el codigo fuente esta disponible. Y por algun motivo GCC no logra compilar la BIOS.

Mas informacion:

https://www.virtualbox.org/pipermail/vbox-dev/2012-November/011091.html

https://www.virtualbox.org/ticket/12011

Si no necesitas programas no libres, puedes usar Parabola o Hyperbola GNU/Linux, es rolling release, tendras software actual y un amplio control contra software no libre.

Sr.Jacky
Hors ligne
A rejoint: 01/12/2018

Hola usuario vita_cell.

VirtualBox base como tu bien dices creo que si es software libre, pero yo tengo agregado el ExtensionPack. Ojala pudiera vivir solo con software libre, en principio solo estoy "sujeto" a VirtualBox y aunque se que hay alternativas libres como Qemu, Kvm y su interfaz Virt-Manager, no me ofrecen lo mismo que VirtualBox. (VirtualBox si ofrece conectividad con usb 2.0 y 3.0, mas opciones de red para la máquina virtual, compartir archivos desde la máquina anfitrión, pantalla completa, etc...).

De todas formas cuando salga Trisquel 8 (que espero que sea pronto), lo instalaré en mis equipos. Si me instalo Trisquel 8 tengo claro que dejaré de usar cualquier programa no libre.

No quiero hablar aun sobre todo esto que voy a comentar (ya que solo es una idea), pero tal vez me convierta en voluntario para dar cursos y formación presencial en mi localidad. Si consigo ser voluntario y si me dan a elegir un temario o temática, seguramente elegiré Gnu/Linux y todo lo que conlleva (que es software libre, que es un sistema operativo, etc...). Pero ¿que pasaría si tuviera que utilizar un sistema como Windows o aplicaciones privativas?. Pues para esos casos cuento con VirtualBox, para poder virtualizar otro sistema y sus aplicaciones.

Me gustaría poder dedicarme a la enseñanza pero no puedo ya que no tengo ningún título o diploma (como el de formador de formadores, entre otros) que me acredite que pueda dar clases, ya que cuesta dinero, y ahora mismo estoy en paro y mis familiares también. Así que para ir aprendiendo a dar clases y coger soltura, tal vez sea voluntario (aunque no se lo se seguro del todo).

Un saludo a todos/as.

vita_cell
Hors ligne
A rejoint: 07/19/2015

Soy usuario de VirtualBox como tu. Y si tuviese una alternativa la usaria, pero QEMU se hace muy complicado con todo ademas de no ofrecer una interfaz oficial consistente. Aunque para mis necesidades se puede usar sin extension-pack.

Tambien por desgracia soy usuario de algun que otro software no libre mayoritario, y digo mayoritario (Android-Studio, Unity3D), porque los programitas pequeños tienen sustitutos libres todos. De tener alternativa mi eleccion seria evidente.

Si que es cierto, que lo peor que puedes hacer con tu vida es usar Windows o MacOS. Tener que aplicar hacks al sistema operativo hasta para cambiar un p..o tema, o en peor de los casos, no poder cambiar fondo de escritorio simplemente (vease Windows 7 Starter Edition, un engendro tumoroso de Windows 7 castrado), es simplemente una vergüenza.

Sr.Jacky
Hors ligne
A rejoint: 01/12/2018

Hola, buenas noches.

Estoy completamente de acuerdo contigo usuario vita_cell.

Yo usuaria QEMU pero también me resulta un poco complicado de usar. Si es verdad que hay sustitutos libres a programas privativos pero a veces por necesidad o por usabilidad uno tiene que utilizar software no libre, aunque no sea partidario de ello.

Todos mis conocidos usan Windows o MacOS, algunos por necesidad y otros por costumbre, ya que son reacios al cambio. Yo soy el único que usa un sistema Gnu/Linux. Tienes razón también en lo de Windows 7 Starter Edition, esta completamente capado de opciones y funcionalidades.

Un saludo a todos/as.

Alij
Hors ligne
A rejoint: 05/07/2012

No he entendido muy bien lo de libreboot ¿son o no seguros sus productos? he estado un poco desligado de las recientes noticias de este horror, ¿pero ya se sabe que series de intel o amd están afectadas? ¿habrá que esperar cuanto tiempo a que saquen nuevo hardware para computación domestica con correcciones? tengo entendido que incluso computadores de hace 10+ años están afectados.

vita_cell
Hors ligne
A rejoint: 07/19/2015

Las vulnerabilidad de este Enero, todo hardware en menor o mayor medida esta afectado (x86), de ARM se habla tambien, tambien en menor o mayor medida dependiendo de la serie, PowerPC tambien esta afectado, aunque los mas viejos, menos.

Computadoras con coreboot o libreboot es lo mas seguro que vas a encontrar, pero el fallo esta dentro del procesador en si, no se puede hacer gran cosa.

delaforce
Hors ligne
A rejoint: 05/18/2014

¿Que CPUS o SOCs no llevan microcodigo? RISCs puros, MIPS, ... cual usar para un uso personal? ¿Volvera a R.S. a su Yeelong?

En mi opinion Intel Me se ha convertido en lo de menos. Todo es reescribible y ¿quien impide la reescritura? El problema es el que ha existido siempre : la programacion de los todos los chips, y como algunos q no era reprogramables si lo son. El descontrol sobre el hardware no puede ser subsanado por software, solo ligeramente paliado.

El microcodigo en la cpu viene sino me equivoco de 1968 por lo menos.

vita_cell
Hors ligne
A rejoint: 07/19/2015

ARM o algunos ARM tengo entendido que no llevan microcodigo.

https://libreboot.org/faq.html#cpu-microcode

Daniel1000
Hors ligne
A rejoint: 07/21/2016

Arquitecturas no afectadas por Meltdown y/o por Spectre, y otras que sí están afectadas.
NOTA: no he contrastado todos los datos.

Enlace al artículo:
https://www.linuxadictos.com/especial-meltdown-spectre-lo-necesitas-saber-estos-problemas.html#Microprocesadores_NO_afectados_por_Spectre