Spectre & Meltdown Checker

  • Welche Tools/Scripts verwendet ihr, um den Status eurer Maschinen in Bezug auf Absicherungsmaßnahmen gegen Meltdown & Spectre zu prüfen?


    Bei mir im Einsatz:

    Linux: https://github.com/speed47/spectre-meltdown-checker

    Windows: Get-SpeculationControlSettings (PowerShell Script, siehe https://support.microsoft.com/…ontrolsettings-powershell)


    Gibt es andere Empfehlungen, wenn ja welche und warum?


    Eine meiner Debian 8 VMs hatte übrigens den gepatchten Kernel 3.16.0-5-amd64 korrekt installiert, die Maschine wurde nach dem Kernel-Update auch korrekt neu gebootet - allerdings war das PAGE_TABLE_ISOLATION Feature (wie mir der spectre-meltdown-checker verriet) nicht aktiv. Config in /boot/config-3.16.0-5-amd64 war jedoch korrekt, und nach einem abermaligen Start nutzte der Kernel das PTI-Feature dann auch.


    Ich war eigentlich der Meinung, dass seitens Netcup die nötigen Microcode CPU-Updates auf den Hostnodes bereits vorsorglich aufgebracht wurden (Kernel die diese nutzen stehen zumindest für Debian und Ubuntu meines Wissens nach noch nicht bereit). Der Checker bestätigt das allerdings nicht:

  • Danke für das Shellscript.


    Für meine beiden Rootserver unter Debian fallen die Ergebnisse exakt so aus, wie deines. Lediglich Meltdown ist bisher abgesichert.

  • Mein state of the art ist derzeit:


    Intel hat diese Woche angekündigt Microcode Updates für CPUs der letzten 5 Jahre raus zu bringen.

    Diese sollen in den nächsten Tagen veröffentlicht werden.


    Nach dem Release müssen die Mainboard Hersteller hingehen und BIOS Updates raus bringen.

    Alternative: einige Linux Distribution liefern ebenfalls Microcode Updates mit, Windows jedoch nicht.


    Derzeit ist also nur Meltdown gefixt :)

  • Die Microcode-Updates für aktuellere CPUs sind eigentlich bereits seit 08.01.2018 verfügbar:

    https://downloadcenter.intel.c…essor-Microcode-Data-File


    Ob die OEM-Lieferanten (Server/Mainboad-Hersteller) diese bereits in Form von UEFI/BIOS-Updates verfügbar gemacht haben, hängt von der konkret eingesetzten Hardware ab. Im Fall von Linux können Microcode-Updates aber alternativ auch über das Software-Repository aktualisiert werden, z.B. Ubuntu: https://usn.ubuntu.com/usn/usn-3531-1/ (seit 11.01.2018 verfügbar).

  • durch die Microcode Update wird aber nur ein kleiner Teil der Specture Attacke gefixed.

    Debian Sid und Testing:

    http://metadata.ftp-master.deb…de_3.20180108.1_changelog


    Auch sind diese noch nicht wirklich getestet, DELL hat bspw. die Updates dieser Microcodes/BiosUpdates zurückgezogen.

    Da es bei einigen CPUs zu Fehlern gekommen sind.


    Meltdown Update war wesentlich wichtiger, da aus jeder VM von jeder anderen VM etwas abgefangen werden konnte.

    Specture kann nur direkt an dem jeweiligen System erfolgen.

    Auch sind noch Kernel Update notwendig.


    Achtet auch darauf, dass Microcode Update nicht in einer VM verwenden.