Mit Interesse sehe ich gerade, dass mir Zypper Microcode-Updates einspielt. Dachte eigentlich, der Prozessor in meinem Lenovo Thinkpad T400 sei dafür schon zu alt (Intel will ja offiziell nur die letzten fünf Jahre patchen)? Wo setzt Microcode genau an? Dachte, das liefe auf BIOS-Ebene? Wusste bislang nicht, dass Linux ein BIOS updaten kann?
–
Vielen Dank für die Aufmerksamkeit,
Fips
Keine Ahnung, ob dein Prozessor ein Update bekommen hat.
Aber das ucode-intel Paket enthält Microcode für alle Intel CPUs, nicht nur deinem.
Wo setzt Microcode genau an? Dachte, das liefe auf BIOS-Ebene?
Nein.
Das ist die “Firmware” der CPU.
Und ja, die kann zur Laufzeit aktualisiert werden, muss aber bei jedem Booten geschehen…
Jetzt wird mir gerade ucode-intel auf einem älteren AMD-System installiert. Macht das überhaupt Sinn? Inwieweit bin ich denn jetzt mit meinen Thinkpads T400 bzw. AMD Athlon 5050e gegen Meltdown bzw. Spectre geschützt (unter Linux)? Firefox in der ESR-Version ist vielleicht auch noch nicht auf dem neuesten Stand (rein sicherheitstechnisch)?
Unter Windows 7 kamen mir diese Woche zum Pachday übrigens bloß zahlreiche Office-Updates rein. Ist es richtig, dass die Security-Patches gegen Meltdown und Spectre von Microsoft wieder zurückgezogen wurden wg. Installationsproblemen unter Windows 10?
–
Besten Dank,
F.
OT: gerade scheinen die Security-Updates reinzulaufen unter Windows 7!? – F.
Tja, das wird halt einfach nicht benutzt.
Dafür wird dein System auch funktionieren (ohne Neuinstallation) falls du auf eine intel CPU migrieren würdest…
Du wirst wahrscheinlich auch eine Reihe anderer Treiber installiert haben, die du an sich nicht brauchst.
Inwieweit bin ich denn jetzt mit meinen Thinkpads T400 bzw. AMD Athlon 5050e gegen Meltdown bzw. Spectre geschützt (unter Linux)?
Das kann wohl niemand so genau sagen.
openSUSE sollte alle verfügbaren Fixes veröffentlicht haben, denke ich.
Kann aber sein dass es noch Folgeupdates in den nächsten Tagen/Wochen gibt. (vor allem auch um Probleme mit den momentanen Updates zu beheben)
Firefox in der ESR-Version ist vielleicht auch noch nicht auf dem neuesten Stand (rein sicherheitstechnisch)?
Die ESR Version ist von der Sicherheitslücke nicht betroffen, soweit ich weiß.
Unter Windows 7 kamen mir diese Woche zum Pachday übrigens bloß zahlreiche Office-Updates rein. Ist es richtig, dass die Security-Patches gegen Meltdown und Spectre von Microsoft wieder zurückgezogen wurden wg. Installationsproblemen unter Windows 10?
Keine Ahnunng, ich verwende kein Windows.
Aber es gab in der Tat Probleme mit den Sicherheits-Updates, auch unter Linux.
Vor allem wurde auch von Intel ein Microcode-Update zurückgezogen, weil es Probleme machte.
Folgende “Heise” Liste ist eine gute Basis: <https://www.heise.de/newsticker/meldung/Meltdown-und-Spectre-Die-Sicherheitshinweise-und-Updates-von-Hardware-und-Software-Herstellern-3936141.html>.
Ist wegen Abhängigkeiten in “Erweitertes Basissystem” passiert.
Laut Mozilla, Firefox ESR wird am 23. Januar 2018 eine Reparatur erhalten: <https://blog.mozilla.org/security/2018/01/03/mitigations-landing-new-class-timing-attack/>.
Günter Born hat eine Hinweis: <https://www.borncity.com/blog/2018/01/04/kritische-sicherheitsupdates-fr-windows-7-8-1-3-1-2018/>.
<https://www.borncity.com/blog/>.
Hallo, ich hänge mich hier mal rein. 
Was würdet ihr empfehlen. Wenn ich meine OpenSuse Installation zum Arbeiten brauche und im Moment keine Zeit habe, allfälligen Problemen hinterherzurennen, sollte ich dann mit dem Update (Kernel/Firmware) eher noch zuwarten?
Oder ist das Kernelupdate unbeenklich und nur das ucode-intel Update problematisch?
Danke für Tipps.
Tja, das musst du wohl selbst entscheiden.
Ich persönlich sehe da jetzt keinen Grund nervös zu werden, die “aktuellen” Sicherheitslücken gibts ja zum Teil schon seit über 20 Jahren…:sarcastic:
Andererseits gabs absolut keine Probleme auf meinen Systemen, und auch sonst hielt sich die Zahl der Leap Benutzer, die über Probleme geklagt haben, hier in Grenzen (die meisten benutzten Tumbleweed).
Oder ist das Kernelupdate unbeenklich und nur das ucode-intel Update problematisch?
Im Prinzip sind beide unbedenklich.
Das aktuelle ucode-intel Update (20180108) sollte sowieso keine Probleme machen. Das Kernel-Update hat Probleme auf manchen AMD Systemen verursacht (hauptsächlich in Verbindung mit 32bit Software).
Die Security-Patches lassen sich aber mit bestimmten Kernel-Optionen abschalten, nopti und nospec.
Außerdem behält openSUSE per default ZWEI Kernel, du kannst jederzeit im Fall von Problemen den vorigen booten (“Erweiterte Optionen” im Bootmenü).
Ich glaube du hast recht. Die Probleme sind ja wirklich schon alt, deshalb warte ich einen geeigneten Moment ab für die Updates.
Danke!
Hallo zusammen,
ich hänge mich hier auch noch mit an, weiß nicht, ob ich das ganze richtig verstanden habe…
Den Microcode oder auch die Firmware von der CPU könnte ich durch ein Bios Update (falls eines zur Verfügung gestellt wird) updaten.
Da ein Bios Update meist nicht zur Verfügung steht, wird beim Systemstart der microcode, der in dem Fall durch die openSUSE Updates reinkommt,
in den temporären Speicher der CPU geladen (Initrd) und werkelt dann solange bis ich den PC halt wieder ausmache. Das heißt die CPU läuft zu der Zeit mit aktuellem microcode.
Der microcode ist proprietär von z.B. Intel und wird durch openSUSE mit den Updates ausgeliefert.
Falls ich ein anderes Betriebssystem ohne microcode “Mitgabe” starten würde, wird wieder der microcode CPU Status von der Bios Version gestartet.
Wo befindet sich eigentlich der microcode nach einem Bios Update? Ist das ein Teil des Bios Update und wird dann auch in den flüchtigen Speicher des Prozessors geladen?
Habe ich das generell so richtig verstanden?
Ich weiß, dass die Lücke bereits mehrere Jahre besteht, aber kann ich, nachdem ucodeintel (ich hab 'nen i5 4460) installiert wurde, auf einfache Weise prüfen,
ob man auf Meltdown und Spectre noch anfällig ist?
Danke
Nein, das hat nichts mit dem BIOS zu tun.
wird beim Systemstart der microcode, der in dem Fall durch die openSUSE Updates reinkommt,
in den temporären Speicher der CPU geladen (Initrd) und werkelt dann solange bis ich den PC halt wieder ausmache. Das heißt die CPU läuft zu der Zeit mit aktuellem microcode.
Der microcode ist proprietär von z.B. Intel und wird durch openSUSE mit den Updates ausgeliefert.
Stimmt im wesentlichen, allerdings die initrd ist was komplett anderes.
Die wird beim Booten von Linux/openSUSE verwendet und enthält nötige Treiber und andere Systemsachen, damit z.B. die Root-Partition überhaupt erst gemountet werden kann.
Falls ich ein anderes Betriebssystem ohne microcode “Mitgabe” starten würde, wird wieder der microcode CPU Status von der Bios Version gestartet.
Richtig.
Aber nicht BIOS, sondern halt der der im Prozessor integriert ist.
Ich weiß, dass die Lücke bereits mehrere Jahre besteht, aber kann ich, nachdem ucodeintel (ich hab 'nen i5 4460) installiert wurde, auf einfache Weise prüfen,
ob man auf Meltdown und Spectre noch anfällig ist?
Es gibt da ein paar Testprogramme, die Frage ist ob und wie sehr aussagekräftig die sind.
Aber: du brauchst auch das aktuelle Kernel-Update um “geschützt” zu werden.
Das Microcode-Update allein bringt überhaupt nichts, ist aber teilweise für die Funktion der anderen Fixes (im Kernel) notwendig.
Danke wolfi für die Rückmeldung.
Ich lese das halt immer wieder im Zusammenhang mit Spectre und Meltdown, dass auch der Mainboard Hersteller im Rahmen eines Biosupdates (bzw. Firmwareupdate) Microcode liefern kann.
Ist so etwas denn nicht auch möglich? Falls ja, wo wird denn nach einem solchen Update der Microcode gespeichert?
Klar. Ich mach’ natürlich alle Sicherheitsupdates.
Naja, prinzipiell könnte wohl genauso das BIOS den CPU Microcode updaten.
Allerdings wenn ich mir die typische Größe eines BIOS-Chips (auf dem intel-System hier ist er laut dmidecode 1024 kB) und die Größe des ucode-intel (oder gar ucode-amd) Pakets so anschaue, halte ich das für unwahrscheinlich…
Vielleicht ist die Sache bei (U)EFI anders, keine Ahnung.
Allerdings wird der CPU-Microcode (in der CPU) sowieso beim Booten des Betriebssystems “überschrieben”, zumindest im Fall von Linux, also ists eigentlich irrelevant und unnötig.
Falls ja, wo wird denn nach einem solchen Update der Microcode gespeichert?
Im Fall von BIOS müsste es eben auf dem BIOS Flash (gemeinsam mit dem eigentlichen BIOS Code) gespeichert werden.
Bei (U)EFI könnte es wahrscheinlich von der EFI-Bootpartition (/boot/efi/) geladen werden, denke ich.
Das finde ich im Fall von Linux echt 'ne sinnvolle und super Sache.
Danke + Grüße