Для FreeBSD выпущено (https://lists.freebsd.org/pipermail/freebsd-announce/2018-Ma...) официальное обновление с исправлениями для блокирования атак Spectre V2 и Meltdown (https://www.opennet.me/opennews/art.shtml?num=47856). Исправление доступно в ветках FreeBSD stable/11, 11.1-STABLE, releng/11.1 и 11.1-RELEASE-p8. Защита пока реализована только для архитектуры x86_64. Обновление для FreeBSD 10.x и других архитектур, включая
i386, планируется сформировать позднее.Защита от Meltdown (CVE-2017-5754) базируется на применяемой во многих ОС технике PTI (Page Table Isolation), основанной на разделении таблиц страниц памяти ядра и пространства пользователя при переключении контекста во время системного вызова. Патч также включает оптимизации при помощи инструкции PCID, позволяющие снизить негативное влияние на производительность при включении PTI.
Защита от второго варианта атаки Spectre (CVE-2017-5715) основана на использования режима IBRS (Indirect Branch Restricted Speculation), представленного компанией Intel в недавнем обновлении микрокода. IBRS позволяет во время работы в зависимости от ситуации разрешать и запрещать спекулятивное выполнение косвенных переходов, например, запрещать во время обработки прерываний, системных вызовов и переключений контекста. Для применения защиты от Spectre обязательно требуется наличие обновлённого микрокода (https://www.opennet.me/opennews/art.shtml?num=48046) для процессоров Intel.
Применение IBRS может быть отключено через sysctl hw.ibrs_disable, а PTI отключается через sysctl vm.pmap.pti в /boot/loader.conf (по умолчанию PTI включен, но его применение не всегда целесообразно из-за существенного (https://www.opennet.me/opennews/art.shtml?num=47880) негативного виляния на производительность, который во многих ситуация не сопоставим с риском).
URL: https://lists.freebsd.org/pipermail/freebsd-announce/2018-Ma...
Новость: https://www.opennet.me/opennews/art.shtml?num=48259
Как насчёт Retpoline? Ах да, они же не любят GCC...
> Как насчёт Retpoline? Ах да, они же не любят GCC...LMDDGTFY https://duckduckgo.com/?q=Retpoline+llvm+freebsd
=>https://reviews.freebsd.org/D14242
=>
" Wed, Feb 28, 2:58 PM
Closed by commit rS330110: Add kernel retpoline option for amd64 (authored by emaste, committed by ). "
Что ж, это недурно. В моём линуксе GCC 7.3 всё ещё на стадии тестирования.
В Debian 8 уже gcc-4.9 портировали.
В январе 2017 года было так , угу.
>представленного компанией Intel в недавнем обновлении микрокодаага, почти у всех процессор виснет :)))))))))))))), т.к. микрокод кривой
процессор повис — фрибсд не взломаешь
перевожу: замерженный в stable MFC наконец-то добрался и до RELENG.
Очень удачно, что при этом они сделали (что последнее время случается крайне редко) патч, для тех, кто не может почему-то обновляться из svn. Я и не надеялся уже.Ну вы поняли, для чего он на самом деле вменяемым людям нужен? ;-)
> Очень удачно, что при этом они сделалиСам не похвалишь - никто BSD не похвалит.
беда хейтеров - они даже не понимают, что читают.это была не похвала, ни разу.
> Ну вы поняли, для чего он на самом деле вменяемым людям нужен? ;-)Наверное вопить из-под икспы что все зашибись, прекрасная маркиза.
>> Ну вы поняли, для чего он на самом деле вменяемым людям нужен? ;-)
> Наверное вопить из-под икспы что все зашибись, прекрасная маркиза.А нужно из под макоси, как в соседней новости про гном?
Молодцы. Сейчас накатим и ежедневную дозу таблеток от паранойи можно немного уменьшить.
> Молодцы. Сейчас накатим и ежедневную дозу таблеток от паранойи можно немного уменьшить.За эти три месяца вас сколько раз ломали?
Погодь, дай угадаю, 127.0.0.1 ... угу примерно -200 раз,
из них -199 - попыткы скомпилить рабочий эксплойт.
Кстати, а Шланге jmp *(rax) добавили?
% sysctl vm.pmap.pti
vm.pmap.pti: 0
% sysctl hw.ibrs_disable
hw.ibrs_disable: 1
- по умолчанию. Специально ничего не менял.
я бы на твоем месте, прежде чем праздновать, взял бы да и померял, чем приходится за это платить.
А то измеризмы, проведенные под линуксами, показали что тонна кривого плохо протестированного кода, лезущего внутри каждого системного вызова проверять "а не включен ли у нас pti" (вместо нормального ifdef) даже если он и не включен, ведет к ощутимым потерям производительности.(ну а на своем просто откачу эти патчи, не глядя и не тестируя. Пользы с них ноль, отсутствие вреда не доказано.)
> (ну а на своем просто откачу эти патчи, не глядя и не
> тестируя. Пользы с них ноль, отсутствие вреда не доказано.)Ну что, ловим на слове? Так что когда это тело придет вопить что линукс реwwето, все похакали злыдни-хакиры - ткнуть тело в его же сообщение, гласящее что он положил на безопасность системы с прибором и гордится этим.
Дорогой ребёнок, безопасность и установка всех существующих патчей не взирая на последствия это два разных процесса.Когда выйдешь за пределы локалхоста, тебе объяснят и про управление рисками и про непрерывность бизнеса и про то бубны с решётами.
А если в твоей голове появились позывы ловить кого-то - лови себя за руку, когда пишешь очередную чушь на опеннет.
С приветом, Кэп.
> я бы на твоем месте, прежде чем праздновать, взял бы да и
> померял, чем приходится за это платить.[14.03.2018][22:59:27]
% sysctl vm.pmap.pti
vm.pmap.pti: 0
% 7z b7-Zip [64] 16.02 : Copyright (c) 1999-2016 Igor Pavlov : 2016-05-21
p7zip Version 16.02 (locale=ru_RU.UTF-8,Utf16=on,HugeFiles=on,64 bits,6 CPUs x64)x64
CPU Freq: 2177 2176 2181 2180 2181 3212 3272 3272 3272RAM size: 3546 MB, # CPU hardware threads: 6
RAM usage: 1323 MB, # Benchmark threads: 6Compressing | Decompressing
Dict Speed Usage R/U Rating | Speed Usage R/U Rating
KiB/s % MIPS MIPS | KiB/s % MIPS MIPS22: 13824 486 2766 13449 | 195668 596 2798 16687
23: 13564 496 2778 13821 | 192394 595 2798 16648
24: 13406 499 2888 14415 | 189685 597 2789 16649
25: 13147 499 3007 15011 | 186986 598 2779 16641
---------------------------------- | ------------------------------
Avr: 495 2860 14174 | 596 2791 16656
Tot: 546 2825 15415[14.03.2018][23:02:46]
% sysctl vm.pmap.pti
vm.pmap.pti: 1
% 7z b7-Zip [64] 16.02 : Copyright (c) 1999-2016 Igor Pavlov : 2016-05-21
p7zip Version 16.02 (locale=ru_RU.UTF-8,Utf16=on,HugeFiles=on,64 bits,6 CPUs x64)x64
CPU Freq: 3276 3290 3274 3290 3289 3286 3290 3288 3289RAM size: 3546 MB, # CPU hardware threads: 6
RAM usage: 1323 MB, # Benchmark threads: 6Compressing | Decompressing
Dict Speed Usage R/U Rating | Speed Usage R/U Rating
KiB/s % MIPS MIPS | KiB/s % MIPS MIPS22: 13795 490 2734 13420 | 195911 597 2795 16707
23: 13476 500 2744 13731 | 192823 598 2786 16685
24: 13323 504 2842 14325 | 189066 597 2779 16595
25: 13165 506 2970 15032 | 185887 598 2762 16543
---------------------------------- | ------------------------------
Avr: 500 2822 14127 | 598 2780 16633
Tot: 549 2801 153807zip - тут не показатель. Тогда что ещё?
UPD:
До этого: https://www.linux.org.ru/news/ubuntu/13952945/page3#comment-...
не показатель. реальная нагрузка это когда прерывания, ввод-вывод сеть-диск и ядра процессора под 99.9.
> не показатель. реальная нагрузка это когда прерывания, ввод-вывод сеть-диск и ядра
> процессора под 99.9.99.9 в реальной жизни это уже авария, но в целом верно: нужны конкурентные тесты ключевых подсистем с пиковой нагрузкой.
>> не показатель. реальная нагрузка это когда прерывания, ввод-вывод сеть-диск и ядра
>> процессора под 99.9.
> 99.9 в реальной жизни это уже авария, но в целом верно: нужны
> конкурентные тесты ключевых подсистем с пиковой нагрузкой.с пиковой не нужны, нужны с рабочей. Если внезапно рабочая стала пиковой - ну опаньки, приехали значит.
Если нет - можно жевать сопли дальше - ну, типа, электричество же бесплатное, видимость какой-то защщщыты дана, резерв мощностей есть.ну или для домашних систем - не видны ли тормоза в каких-то банальных местах, типа видео с ютрупа.
> 7zip - тут не показатель. Тогда что ещё?зависит от того, для чего эта фря. если для ничего (а на то похоже, раз вообще возник такой тест) - вполне показатель. да, при таком использовании - вреда нет.
если же, скажем, с нее какой веб раздавать, то и тестировать надо req/s vs cpu load.и, если тут такие еще остались - я намекал, что тестировать надо с патчем и без патча, а не патченную с отключеным - можно, внезапно, получить довольно грустные результаты, как показал опыт коллеги с линуксом.
>> 7zip - тут не показатель. Тогда что ещё?
> зависит от того, для чего эта фря.Настольный мультимедийный компьютер.
> Настольный мультимедийный компьютер.ну то есть - порнуху посмотреть, "кровосток" послушать, и вот, на опеннет иногда зайти?
типовой la 0.01.так что тест вполне показателен - для этой задачи.
включать при этом необязательно, ибо и тырить с такого компьютера - нечего, да и попытка будет замечена.
Ну всё. Я спокоен.UPD:
А как заметить попытку?
> А как заметить попытку?оно прожорливое.
Ну вот, не прошло и года!
> Ну вот, не прошло и года!Чуть менее 3 месяцев с момента репорта уязвимостей. А не полгода, как в этих ваших пингвинах.
Просто "бздуны", в отличие от, видимо стали недостаточно хорошо проприерастам и другим старшим платиновым Папикам^W Партнерам подмах^W подыгрывать и им "забыли" сообщить заранее.
Зато анонимы опеннета, несомненно - или лично нашли дыры и писали патчи. Или же хотя бы привлекали виляним попы^W грамотной рекламой Платиновых Друзей, которые и способствовали своевременному оповещению!
Поэтому теперь с полным правом могут важно надувать щеки и вещать с важным видом "Мы пахали!" )
> Чуть менее 3 месяцев с момента репорта уязвимостей. А не полгода, каксущественно меньше - потому что новость, если кто не понял, о том, что патчи попали уже и в окаменелый releng. Те, кому было надо и кто мог это себе позволить - получили их еще в феврале.
> pussy.exe'шник, у теб подгорело.По себе судишь, WSLщик?
Нету тут никаких пуссей, только эльфы. А экзи - разве что иногда, в виртуалочке или вайне.
А вот в соседней новости про гном перепончатые пользователи putty.app пачками полезли )