Sicherheitslücken in CPUs von Intel/AMD/anderen (Microcode+App+OS fixes notwendig)

[Angst]

Hier Infos zum Bios 2.70 für T430s (https://pcsupport.lenovo.com/de/de/...ies-laptops/thinkpad-t430s/downloads/ds029724)

Auf CVE-2017-5754 (Meltdown) wirkt sich das BIOS-Update wohl nicht aus? Wie kann ich Meltdown auf meiner Kiste noch patchen?

 

[mcb]

Hier Infos zum Bios 2.70 für T430s (https://pcsupport.lenovo.com/de/de/...ies-laptops/thinkpad-t430s/downloads/ds029724)

Auf CVE-2017-5754 wirkt sich das BIOS-Update wohl nicht aus? (Würde hier das Microcodeupdate von Microsoft Abhilfe schaffen?)

Version 2.70
UEFI: 2.70 / ECP: 1.15

[Important] Enhancement to address CVE-2017-5715.

^^ Anscheinend doch ^^

 

[Helios]

Auf CVE-2017-5754 wirkt sich das BIOS-Update wohl nicht aus? (Würde hier das Microcodeupdate von Microsoft Abhilfe schaffen?)

Nein. CVE-2017-5754 aka Meltdown wird/wurde bereits durch den Januar-Patch geschlossen.

In der Registratur müssen folgende beiden Werte gesetzt werden, damit die Gegenmassnahmen für Meltdown und Spectre aktiv.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" -> FeatureSettingsOverride --> auf 0 setzen.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session  Manager\Memory Management" -> FeatureSettingsOverrideMask --> auf 3 setzen."

Danach System neu starten und du müsstest vor Meltdown geschützt sein.


LG Uwe

 

[Angst]

Danke. Werde ich gleich versuchen.
Diese Maßnahme muss man aber selbst händisch vornehmen?

Ich hab diese beiden Schlüssel nicht:
FeatureSettingsOverride
FeatureSettingsOverrideMask

Welcher Januar-Patch (von Microsoft?) war das?

 

[Helios]

Nein. Unter folgendem Link findest du die beiden Registratureinträge. Die Command Shell als Admin öffnen und beide Einträge mittels Copy & Paste ausführen. Aber nur diese beiden.

reg add  "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session  Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0  /f
reg add  "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session  Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD  /d 3 /f

https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution#switch

- - - Beitrag zusammengeführt - - -

Welcher Januar-Patch (von Microsoft?) war das?

Ja, korrekt.

 

[Angst]

Danke. Hab die Schlüssel nun von Hand angelegt... jetzt neu starten...

Die Registryeinträge wirken sich bei mir auf die Ergebnisse von SpecuCheck zu CVE-2017-5754 nicht aus!

Ok, sehe gerade das die "Get-SpeculationControlSettings"-Info eigentlich auch zu CVE-2017-5754 etwas postives ausgibt. SpecuCheck aber mit dem roten yes/no mich etwas in die Irre geführt hat.

 

[mcb]

Danke. Hab die Schlüssel nun von Hand angelegt... jetzt neu starten...

Die Registryeinträge wirken sich bei mir auf die Ergebnisse von SpecuCheck zu CVE-2017-5754 nicht aus!

Ok, sehe gerade das die "Get-SpeculationControlSettings"-Info eigentlich auch zu CVE-2017-5754 etwas postives ausgibt. SpecuCheck aber mit dem roten yes/no mich etwas in die Irre geführt hat.

Sorry ging dir ja um Meltdown und nicht um Spectre2, habe ich alsoQuatsch geschrieben ...

 

[Helios]

@Angst

Mit InSpectre kannst du dein System ebenfalls testen.

Sieht bei mir dann so aus:





LG Uwe

 

[Angst]

@Helios/Uwe: Danke.

Nun sieht es bei mir (nach Bios-Update und nach eintrag in die Registry) so aus:

 

[mcb]

@Helios/Uwe: Danke.

Nun sieht es bei mir (nach Bios-Update und nach eintrag in die Registry) so aus:

Besser könnte es nicht seien - full patched

 

[woleska]

Ich nutze Windows ja eigentlich nur noch zur Bildbearbeitung und Steuerklärung, alles andere mache ich unter Linux (Manjaro).
Nach dem Update des BIOS auf die Vers. 1.44 bei meinem W520 (i7-2820QM, Nvidia Quadro 2000M, 32 GB RAM, Samsung SSD 850 EVO 500GB) waren unter Windows doch merkbare Leistungseinbußen vorhanden (unter Windows 10 höhere als unter Windows 7 - siehe Beitrag #418). Gestern habe ich Geekbench dann auch unter Manjaro Linux ausgeführt und war über das Ergebnis ziemlich überrascht

	Single-Core	Multi-Core
Windows 7	3231	10255
Windows 10	3112	9337
Manjaro Linux	3523	11049

Das Ergebnis bestätigt mein Empfinden, dass unter Manjaro vieles einfach flotter und flüssiger läuft, keine Ahnung warum.

 

[Angst]

...dann kann ich mit meinem T430s ja noch ein paar Jahre ausharren...

 

[Harry_W]

BIOS v1.47 für T520 und T520i: https://support.lenovo.com/ch/en/downloads/ds018810

Wurde das Update zurück gezogen? Ich finde nur die Version 1.46 bei Lenovo.
Für das X220 ist in der Liste von Lenovo auch ein neues Bios für den 20.03.2018 gelistet. Im Download Bereich finde ich es aber ebenfalls noch nicht.

Und da ich ungern nochmal sämtliche >400 Beiträge lesen möchte ... wie finde ich unter Linux (Debian Jessie) heraus, ob mein System gefixed ist? Gibt es etwas vergleichbares zu InSpectre unter Windows?

 

[Helios]

Wurde das Update zurück gezogen? Ich finde nur die Version 1.46 bei Lenovo.

Nein. Ist schon da. Stelle oben rechts die Sprache auf Englisch um, dann erscheint v1.47. Auf Deutsch erscheint stets noch Version 1.46.

 

[Harry_W]

Danke für den Hinweis.

 

[harpo]

Das Ergebnis bestätigt mein Empfinden, dass unter Manjaro vieles einfach flotter und flüssiger läuft, keine Ahnung warum.

Vielleicht verwendet Dein aktuell genutzter Kernel ReTPoline D) statt IBRS zur Spectre2-Absicherung? Hatte bei mir auch das Gefühl (keine Benchmarks gemacht), dass einiges wieder viel flüssiger lief, seit Ubuntu mit einem Kernelupdate von IBRS auf Retpoline umgestellt hatte. Unter Windows wird eben die je nach System mehr oder weniger bremsende Hardwarelösung genutzt.

Kannst bei Interesse auch mit dem spectre-meltdown-checker prüfen, welche Variante aktiv ist.

 

[woleska]

Vielleicht verwendet Dein aktuell genutzter Kernel ReTPoline D) statt IBRS zur Spectre2-Absicherung? Hatte bei mir auch das Gefühl (keine Benchmarks gemacht), dass einiges wieder viel flüssiger lief, seit Ubuntu mit einem Kernelupdate von IBRS auf Retpoline umgestellt hatte. Unter Windows wird eben die je nach System mehr oder weniger bremsende Hardwarelösung genutzt.

Kannst bei Interesse auch mit dem spectre-meltdown-checker prüfen, welche Variante aktiv ist.

Erst mal Danke für den Tipp mit dem spectre-meltdown-checker, hatte schon überlegt, wie man das unter Linux testen kann. Du hast Recht, Manjaro verwendet einen Kernel der RetPoline zur Spectre2-Absicherung nutzt. Das viele "Rot" ist ja erst einmal etwas irritierend, aber im Ergebnis ist alles gut :thumbsup:

 

[der_ingo]

Gestern habe ich Geekbench dann auch unter Manjaro Linux ausgeführt und war über das Ergebnis ziemlich überrascht

Die Spectre Problematik schlägt sich an sich nicht so sehr auf die reine Rechenleistung nieder. Das was problematisch wird, ist die I/O Leistung. Das scheint den Geekbench ja nicht zu beeinflussen.
Ich hab grad mal nacheinander zwei Messungen mit Geekbench auf dem gleichen System laufen lassen, für den zweiten Test nur einige Hintergrundtasks beendet. Der Multi-Core Bench hatte dabei in beiden Läufen gut 500 Punkte Unterschied.
Insofern würde ich die Messung als "nett, aber nutzlos" ansehen. Auf deinem Manjaro System dürfte schlicht weniger im Hintergrund aktiv sein.

Die Spectre 2 Verluste zu bewerten und den Vergleich zwischen Retpoline und IBRS zu ziehen wird man damit wohl nicht hinbekommen.

 

[harpo]

Die Spectre 2 Verluste zu bewerten und den Vergleich zwischen Retpoline und IBRS zu ziehen wird man damit wohl nicht hinbekommen.

Ich hatte das weder gemessen noch mich intensiver mit dem Hintergrund beschäftigt. Ich hatte eben nur festgestellt, dass unter Ubuntu mit entsprechendem Microcode und aktiviertem IBRS das System schlicht und einfach in einigen Situationen extrem langsamer lief, ja teilw. geradezu zu "hängen" schien. Das war z.B. schon beim Hochfahren der Fall, dass nach Eingabe des Passworts und Enter-Drücken erst einmal mehrere "Gedenksekunden" folgten bis der Bildschirm sich änderte und der Desktop geladen wurde. Und in einigen anderen Fällen war es ähnlich, z.B. beim Start bestimmter Programme.

Direkt mit dem ersten Kernelupdate, dass Retpoline stattdessen nutzte, waren diese Phänomene verschwunden und alles lief wieder gewohnt schnell. Das waren wie erwähnt halt nur Beobachtungen. Kann natürlich auch an zig anderen Änderungen am Kernel gelegen haben, die Changelog war da ja jedes Mal enorm lang, gerade auch was die drei Lücken betraf...

 

[woleska]

Ich hatte auch vor dem Update schon lange Zeit das Gefühl, das viele Dinge unter Manjaro deutlich flüssiger ablaufen als unter Windows, egal ob Windows 7 oder Windows 10 und das völlig unabhängig von der ganzen Problematik um Spectre und Meltdown. Nach dem Update war es dann noch deutlicher, vor allem wurde der Systemstart und auch der Start von einigen Programmen unter Windows deutlich langsamer.
Bei Manjaro habe ich das so eigentlich nicht wahrgenommen (Manjaro lief bei mir auch flüssiger als Mint/Ubuntu - zumindest gefühlt ).