abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
dnes 00:22 | Nová verze

Google Chrome 70 byl prohlášen za stabilní (YouTube). Nejnovější stabilní verze 70.0.3538.67 tohoto webového prohlížeče přináší řadu oprav a vylepšení. Vylepšeny byly také nástroje pro vývojáře (YouTube). Opraveno bylo 23 bezpečnostních chyb.

Ladislav Hagara | Komentářů: 6
včera 22:44 | Komunita

Open source nástroj pro monitorování zabezpečení počítačových sítí Bro (Bro Network Security Monitor, Wikipedie) byl přejmenován na Zeek (Zeek Network Security Monitor). Nový název bez negativní konotace by měl být pro uživatele atraktivnější.

Ladislav Hagara | Komentářů: 9
včera 22:00 | Nová verze

Po dvou letech od vydání verze 0.4 byla vydána nová major verze 5 linuxové distribuce elementary OS (Wikipedie) vycházející z Ubuntu. Kódové jméno této nejnovější verze je Juno. Přehled novinek i s náhledy v příspěvku na Medium.

Ladislav Hagara | Komentářů: 0
včera 18:33 | Komunita

Svobodná decentralizovaná mikroblogovací platforma a sociální síť podobná Twitteru Mastodon (Wikipedie) slaví 2 roky. Krátkou historii a milníky shrnuje příspěvek na blogu.

Ladislav Hagara | Komentářů: 0
včera 11:11 | Zajímavý článek

Společnosti Microsoft, Google, Apple i Mozilla včera shodně oznámily, že z jejich webových prohlížečů Internet Explorer, Edge, Chrome, Safari a Firefox počátkem roku 2020 odstraní protokoly TLS 1.0 a TLS 1.1. Michal Špaček v článku Vypněte TLS 1.0 a 1.1 už dnes na svých stránkách informuje, že TLS 1.0 a 1.1 lze vypnout již dnes. Ověřit to lze například pomocí SSL Labs Server Testu.

Ladislav Hagara | Komentářů: 11
včera 05:55 | Humor

Banksy před několika dny šokoval umělecký svět svým obrazem, jenž se přímo v aukční síni po svém prodeji za více než 30 milionů korun sám částečně skartoval. Z obrazu Dívka s balónem vznikl obraz Láska v koši. Command Line Magic ukazuje, jak na podobného Banksyho z příkazového řádku.

Ladislav Hagara | Komentářů: 1
15.10. 16:55 | Komunita

Handshake, decentralizovaná certifikační autorita a peer-to-peer DNS aneb DNS v blockchainu, postupně rozděluje mezi svobodné a open source projekty celkově 10,2 milionu dolarů. V srpnu získalo 300 000 dolarů GNOME a 100 000 dolarů GIMP. Dnes oznámila nezisková organizace KDE e.V. zastupující komunitu kolem KDE v právních a finančních záležitostech, že od Handshake získala 300 000 dolarů, z čehož 100 000 dolarů je alokováno pro multiplatformní balík svobodných kancelářských a grafických aplikací Calligra.

Ladislav Hagara | Komentářů: 51
12.10. 15:44 | Nová verze

Po třech letech od vydání verze 5.0 byla vydána nová major verze 6.0 v Javě napsané aplikace pro komplexní návrh rozmístění nábytku a dalšího vybavení v interiérech Sweet Home 3D. Přináší celou řadu novinek. Zdůraznit lze možnost otevírání oken, dveří nebo skříněk. Zmínit lze také novou figurínu s otočnými klouby.

Ladislav Hagara | Komentářů: 32
12.10. 15:00 | Nová verze

Byla vydána nová verze 2018-10-09 linuxové distribuce Raspbian určené především pro jednodeskové miniaturní počítače Raspberry Pi. Přehled novinek v poznámkách k vydání. Společně s Raspbianem byl aktualizován také instalační nástroj NOOBS (New Out Of the Box Software). Z novinek je nutno upozornit na odstranění programu Wolfram Mathematica.

Ladislav Hagara | Komentářů: 2
11.10. 22:44 | Zajímavý projekt

V rámci projektu PRIM (Podpora rozvíjení informatického myšlení), jehož cílem je "podporovat změnu orientace školského předmětu informatika z uživatelského ovládání ICT směrem k základům informatiky jako oboru", byly na stránkách iMyšlení (informatické myšlení) představeny volně stažitelné učebnice a výukové materiály pro výuku informatiky. Videozáznam z tiskové konference na Facebooku.

Ladislav Hagara | Komentářů: 2
Přispíváte osobně k vývoji svobodného softwaru?
 (41%)
 (42%)
 (24%)
 (23%)
 (11%)
 (35%)
Celkem 223 hlasů
 Komentářů: 11, poslední dnes 16:32
Rozcestník

Proč je tolik povyku s meltdownem mezi normálními usery

26.1. 12:03 | Přečteno: 1290× | Linux

Tento blogový zápisek je spíše otázka proč je tolik povyku kvůli chybě, která je vlastně kritická pouze pro servery, které mají veřejnou IP adresu a normálních uživatelů se vlastně ani nedotýká, protože jsou schovaní ve valné většině případů minimálně za jedním NATem, takže se nikdo na jejich PC nedostane.

Pouze na serveru a VPSkách na něm, kde jsem měl nádherný uptime skoro 2 roky bez jediného restartu a aktualizace jádra, jsem musel ihned jádro aktualizovat a restartem tento nádherný bezproblémový uptime přerušit, protože toto by ani SELinux, který mám nasazený a tímnto server a VPSky zabezpečené, asi neochránil kdyby k něčemu přišlo.

Jediné co může omezit obyčejné usery na PC je horlivost distribucí v nasazování patchů zpomalujících CPU. Dokud nenavstěvují stránky porna, malvaru či podobné, tak ani přes js se k nim nemůže nikdo dostat, navíc toto by mělo být věcí Firefoxu, aby byl JS bezpečný a ne jádra. Naštěstí používám na PC Gentoo, kde si volby v jádře nezapínám a co se týče jádra Fedory(používám jí na ntb), tak uvažuju, že si udělám vlastní repo, kde budu distribuční jádra Fedoru překompilovávat s vypnutou ochranou.

       

Hodnocení: 14 %

        špatnédobré        

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

Komentáře

Vložit další komentář

vlastikroot avatar 26.1. 12:15 vlastikroot | skóre: 24 | blog: vlastikovo | Milevsko
Rozbalit Rozbalit vše Re: Proč je tolik povyku s meltdownem mezi normálními usery
IMHO to je jen medialne zajimave a urcite to bude mit vliv na marketing a akcie.
Sg1-game | We will destroys the Christian's legion ... and the cross, will be inverted | IP 80.188.182.6
26.1. 13:30 alkoholik | skóre: 36 | blog: Alkoholik
Rozbalit Rozbalit vše Re: Proč je tolik povyku s meltdownem mezi normálními usery
Protoze se jich to tyka: Meltdown means that userland code, such as JavaScript running in a web browser, can read kernel memory.
26.1. 13:41 deda.jabko | skóre: 23 | blog: blog co se jmenuje "každý den jinak" | za new york city dvakrát doleva a pak už se doptáte
Rozbalit Rozbalit vše Re: Proč je tolik povyku s meltdownem mezi normálními usery
Meltdown means that userland code, such as JavaScript running in a web browser, can read kernel memory.
Jeste bych dodal, ze jadro ma namapovanou celou fyzickou pamet do adresniho prostoru jadra, to znamena, ze jakykoliv proces (vcetne JS v prohlizeci) muzes cist pamet jakehokoliv procesu. Treba hesla nactena jinym prohlizecem/aplikaci do pameti, ...
Asi před rokem se dostali hackeři na servry Debianu a ukradli jim zdrojové kódy.
26.1. 14:31 CIJOML
Rozbalit Rozbalit vše Re: Proč je tolik povyku s meltdownem mezi normálními usery
Tohle je trochu zavadejici. Problem je, ze kazdy proces ma mapovanou svou pamet a i pamet jadra(respektive celou fyzickou pamet). To z duvodu aby nemuselo dochazet tak casto k prepnuti kontextu a vyliti kesi. Melo se za to, ze ochrana v CPU ze dana stranka je nepristupna je dostatecna. To se ukazalo jako omyl a s urcitymi triky je mozne aby proces precet i pamet jadra, kterou by nemel. Resenim je vypnuti mapovani cele pameti do pametoveho prostoru procesu a diky tomu i castejsi prepinani kontextu.

Je zrejme ze v pameti budou ulozene klice, hesla...

Ano je to problem ktery se tyka i uzivatelu hlavne tech, kteri pouzivaji PC k pristupu k bankovnictvi.
Heron avatar 27.1. 11:24 Heron | skóre: 51 | blog: root_at_heron | Olomouc
Rozbalit Rozbalit vše Re: Proč je tolik povyku s meltdownem mezi normálními usery
a s urcitymi triky
Což o to, s určitými triky dostupnými a zneužitelnými jen přes přesně poskládané instrukce, to bych ještě chápal. (Tj. bylo by nutné spustit přesně upravenou binárku na daném stroji.) Ale zarazilo mě, že se k těm trikům dostane i JS, který by měl běžet v podstatě interpretovaně v jakémsi virtuálním prostředí v prohlížeči.

Prostě z mého pohledu tahle nepříjemnost v CPU odhalila další chybu v konceptu a evidentně (soudě podle reakcí v podstatě všech co na to ve světě chtěli reagovat), se nikdo moc nemá k tomu vyřešit koncepční problém a spoléhá se jen na to, že to "někdo" v CPU opraví a svět bude zase krásný.

Prostě tady se desítky let tvořilo relativně bezpečné prostředi, oddělovaly se programy, uživatelé, sítě, řešily se podpisy a autentičnost balíčků (vůbec je pikantní, že dbáme na to, aby balíček s prohlížečem byl podepsán a ověřitelně přeložen a potom v něm dovolíme spustit libovolný kód) a kde co a potom si do "prohlížečů" strčíme spouštěč libovolného kódu, který ochotně a s nadšením spustí vše, co po síti přileze a budeme dokonce ještě řešit, jak tomu dát plný přístup k HW (třeba k GPU).

V podstatě to ani nijak jinak než průserem dopadnout nemohlo, ale nezdá se, že by se z toho někdo poučil.
27.1. 18:42 filbar | skóre: 36 | blog: Denicek_programatora | Ostrava
Rozbalit Rozbalit vše Re: Proč je tolik povyku s meltdownem mezi normálními usery
Stejně nejvíce nechápu to jak se JS může dostat k paměti procesoru. Vždyť přece běží v prohlížeči a dělá jenom to co mu prohlížeč dovolí, ne? :-O. Jsem už před 10 let www vývojař a ještě jsem se v JS nesetkal s příkazem pro čtení paměti. Můžu jenom manipulovat s DOMem v prohlížeči a maximálně si ajaxnout pro část stránky.
27.1. 19:03 ehm
Rozbalit Rozbalit vše Re: Proč je tolik povyku s meltdownem mezi normálními usery
Achjo... Je takový problém si o tom něco přečíst? Asi holt je jednodušší napsat blog a nic o tom nevědět.
28.1. 12:43 pc2005 | skóre: 36 | blog: GardenOfEdenConfiguration | liberec
Rozbalit Rozbalit vše Re: Proč je tolik povyku s meltdownem mezi normálními usery
Co je to "paměť procesoru". Uvažuješ na moc abstraktní úrovni. JS samozřejmě paměť potřebuje pro uložení samotnýho kódu a pro proměnný jako například pole. Ty data jsou samozřejmě ve stejným RAM modulu jako kernel paměť.

Spectre je ale hlavně o tom, že přinutíš cizí program, aby četl paměť kterou nemá, ale ta informace se rovnou nečte, ta se luští z vedlejšího chování běhu kódu. Konkrétně se měří čas jak dlouho trvá nějaké vlákno (protože procesor čeká desítky až stovky taktů na čtení z RAM).

Meltdown pak tohle používá ve spojení s architektonickou chybou x86 od Intelu, kde ti CPU leakuje informaci i rychlosti při čtení kernel paměti.
little.owl avatar 27.1. 19:34 little.owl | skóre: 22 | Brighton/Praha
Rozbalit Rozbalit vše Re: Proč je tolik povyku s meltdownem mezi normálními usery
V podstatě to ani nijak jinak než průserem dopadnout nemohlo, ale nezdá se, že by se z toho někdo poučil.
ARM ted prekopava kvuli temto problemum architekturu dalsi generace jader, takze se poucil, ale vysledky budou viditelne tak za dva roky.
$ man rtfm
Mark Stopka avatar 27.1. 19:36 Mark Stopka | skóre: 58 | blog: Paranoidní blog | European Economic Area
Rozbalit Rozbalit vše Re: Proč je tolik povyku s meltdownem mezi normálními usery
Jojo, z průseru do průseru :D
28.1. 12:47 pc2005 | skóre: 36 | blog: GardenOfEdenConfiguration | liberec
Rozbalit Rozbalit vše Re: Proč je tolik povyku s meltdownem mezi normálními usery
Spíš ještě dýl. Leda by všem zákazníkům o licenci dali update zdarma. U ARMu je AFAIK jedna z licencí přece ta, že ti prodají netlist a můžeš ho po předem dohodnutý čas vyrábět.
26.1. 15:28 R
Rozbalit Rozbalit vše Re: Proč je tolik povyku s meltdownem mezi normálními usery
Kedze bezny uzivatel spusta nezname nedoveryhodne programy z webu s pravami administratora, tak si neviem predstavit, ako by ho tato diera mohla ohrozit este viac.
26.1. 13:58 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Proč je tolik povyku s meltdownem mezi normálními usery
která je vlastně kritická pouze pro servery, které mají veřejnou IP adresu

Tuhle informaci máte odkud?

Dokud nenavstěvují stránky porna, malvaru či podobné, tak ani přes js se k nim nemůže nikdo dostat

Myslel jsem - asi naivně - že téhle mantře nemůže nikdo, kdo má aspoň trochu představu o fungování věcí, věřit.

a co se týče jádra Fedory(používám jí na ntb), tak uvažuju, že si udělám vlastní repo, kde budu distribuční jádra Fedoru překompilovávat s vypnutou ochranou

Když vás to baví, proč ne, ale nebylo by o chloupek jednodušší to prostě vypnout příslušnými command line parametry?

Migilenik avatar 26.1. 14:30 Migilenik | skóre: 58 | blog: Mig_Alley
Rozbalit Rozbalit vše Re: Proč je tolik povyku s meltdownem mezi normálními usery
A já měl za to, že už se všeoběcně ví, že NAT je asi taková uroven ochrany, jako petlice ze špagátu.
GIMP 2.8 Cage Transformation - what is it good for? http://www.youtube.com/watch?v=S4whULCb8t0
26.1. 14:43 chrono
Rozbalit Rozbalit vše Re: Proč je tolik povyku s meltdownem mezi normálními usery
KPTI (ochrana proti Meltdown) sa dá bez problémov zakázať pri štartovaní OS (prípadne kedykoľvek po spustení OS), takže nie je potrebné čokoľvek kompilovať.
limit_false avatar 26.1. 16:02 limit_false | skóre: 23 | blog: limit_false
Rozbalit Rozbalit vše Re: Proč je tolik povyku s meltdownem mezi normálními usery
2 roky uptime bez updatu jadra? Tak to skonci se adminovanim serveru. Behem tech dvou let se objevilo vicero local exploitu jak local privilege escalation na linux samotny, nejznamejsi asi dirtycow (coz pak plati i na kontejnerove virtualizace) a dalsi privilege escalationy i na dalsi nekontejnerove virtualizacni reseni.
When people want prime order group, give them prime order group.
Mark Stopka avatar 26.1. 16:53 Mark Stopka | skóre: 58 | blog: Paranoidní blog | European Economic Area
Rozbalit Rozbalit vše Re: Proč je tolik povyku s meltdownem mezi normálními usery
A proč by mě local exploty na (některých) serverech měly znepokojovat? To snad záleží na use-case toho serveru, ne?
27.1. 18:44 filbar | skóre: 36 | blog: Denicek_programatora | Ostrava
Rozbalit Rozbalit vše Re: Proč je tolik povyku s meltdownem mezi normálními usery
To aby se někdo dostal na server a mohl zneužít chybu jádra, to by musel nejprve přece prolomit ssh, postfixe, bo apache a něco jím podstrčít. A ty služby mám chráněné pomocí SELinuxu, dokonce ještě přísněji než je výchozí politika.
Mark Stopka avatar 27.1. 18:46 Mark Stopka | skóre: 58 | blog: Paranoidní blog | European Economic Area
Rozbalit Rozbalit vše Re: Proč je tolik povyku s meltdownem mezi normálními usery
Nebo třeba wordpress ;-)
27.1. 18:52 filbar | skóre: 36 | blog: Denicek_programatora | Ostrava
Rozbalit Rozbalit vše Re: Proč je tolik povyku s meltdownem mezi normálními usery
Apache toho mám obzvlášť chráněného pomocí SELinuxu - mám pro něj napsanou dokonce i vlastní pravidla SELinuxu, které jsou ještě přísnější než standartní, tak tudy se doufám nikdo nedostane. A navíc mám na serveru pouze provéřené klienty s Joomlou, nebo Nette, čímž nechci říct, že by se v Joomle nemohla vyskytnout taková chyba, ale že znám nainstalované rozšíření.
28.1. 01:07 MadCatX
Rozbalit Rozbalit vše Re: Proč je tolik povyku s meltdownem mezi normálními usery
Koncept Security by ignorance?
Mark Stopka avatar 28.1. 01:13 Mark Stopka | skóre: 58 | blog: Paranoidní blog | European Economic Area
Rozbalit Rozbalit vše Re: Proč je tolik povyku s meltdownem mezi normálními usery
Fillbar už své porzumění problematice IT bezpečnosti tady prezentoval dostatečně k tomu aby sis na tohle udělal názor, nemyslíš? :) Ignorance is bliss :)
28.1. 02:10 Kkt1
Rozbalit Rozbalit vše Re: Proč je tolik povyku s meltdownem mezi normálními usery
Dej URL, nasdilim nejaky soubor z tveho servru...
26.1. 17:38 MadCatX | skóre: 19 | blog: dev_urandom
Rozbalit Rozbalit vše Re: Proč je tolik povyku s meltdownem mezi normálními usery
Obávám se, že jsi vůbec nepochopil, v čem je Meltdown tak kritický. Nějaký vlastní JS je možné propašovat kamkoliv, stačí se jen zamyslet, kolik webů je postavených na různých neaktualizovaných Drupalech a Wordpressech. Po prohlížečích je rozumně možné chtít jen to, aby zajistily, že se JS nedostane mimo sandbox a případně nevyzrazovaly informace ve vyšších detailech, než je nutné. Další problém je, že výkonnostní dopady KPTI, retpoline apod. se i těch běžných uživatelů mohou nepříjemně dotknout at už jsou reálně napadnutelní nebo ne.
26.1. 18:26 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Proč je tolik povyku s meltdownem mezi normálními usery
To, že ten JavaScript může číst (libovolnou) paměť jádra, je také běžné i bez Meltdownu?
27.1. 02:54 pc2005 | skóre: 36 | blog: GardenOfEdenConfiguration | liberec
Rozbalit Rozbalit vše Re: Proč je tolik povyku s meltdownem mezi normálními usery
No povyku je mezi normálními usery i proto, že Meltdown svezl i se Spectrem (i mě chvíli trvalo než jsem pochopil rozdíly). Záplaty Meltdownu zpomalují počítač komukoliv (flush TLB, ale i PCID (?)) a spectre záplaty pak zamrzají windowsy.
Firefoxu, aby byl JS bezpečný a ne jádra.
Meltdown je architektonická chyba CPU, rušící rozdělení privilegovaných okruhů běhu kódu. Libovolný software obvykle není schopen běžet na nedůvěryhodném HW důvěryhodně.
27.1. 07:10 Radovan
Rozbalit Rozbalit vše Re: Proč je tolik povyku s meltdownem mezi normálními usery
To už by rovnou mohl chtít, aby FF byl stejně bezpečný i kdyby běžel na 8086 :-D
1.2. 00:31 D-Evil | skóre: 25 | Praha
Rozbalit Rozbalit vše Re: Proč je tolik povyku s meltdownem mezi normálními usery
Texty tohohle typu jsou přesně ten důvod, proč si myslim, že je blogování to nejhorší, co Internet mohlo potkat. Pevně doufám, že tohle uvidí co nejmíň lidí a že si nikdo z nich nebude myslet, že máte pravdu.

Založit nové vláknoNahoru

ISSN 1214-1267   www.czech-server.cz
© 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.