Atualização de microcódigo para o Specter?

3

Todos nós conhecemos Espectro e fusão neste momento. O take away é o tempo em que o Meltdown pode ser resolvido / trabalhado com um patch de kernel (complexo e invasivo) (nomeadamente o KAISER / PTI), o Specter requer um microcódigo atualizado com controlo avançado de ramificações.

Até alguns dias atrás, a Red Hat enviava um pacote microcode_ctl atualizado que, em alguns ( but not all ), tinham o microcódigo apropriado para corrigir / atualizar (no início do processo de boot) a base microcódigo do processador.

No entanto, parece que o microcódigo atualizado causa instabilidade no sistema, reinicialização inesperada e até mesmo sistemas não inicializáveis. Assim, a Red Hat reverteu o pacote microcode_ctl para não carregar a atualização do microcódigo necessária para corrigir o Spectre. Agora, sua sugestão oficial é "para entrar em contato com seu fornecedor de silício para obter o microcódigo mais recente para seu processador específico" .

Embora compreensível, essa postura apenas desloca o "provedor de instabilidade" para do SO para o BIOS / firmware em si .

Então, minha pergunta é: como você se sente sobre a atualização do microcódigo? Você aplicou o novo BIOS / firmware aos sistemas de produção? Alguma instabilidade de relatar / comentar? Por fim, devo esperar por uma nova "rodada de patches" ou aconselho a aplicar imediatamente a correção do BIOS / firmware?

    
por shodanshok 23.01.2018 / 08:14

2 respostas

1

Eu não acho que é o que eles estão realmente dizendo. Não há menção de atualizações de UEFI / BIOS ou fornecedores de sistemas / fornecedores de placas-mãe (embora essa seja certamente uma boa opção quando disponível, e se o novo microcódigo estiver funcionando de forma confiável).

Pelo menos para mim, "Os clientes são aconselhados a entrar em contato com seu fornecedor de silício para obter o microcódigo mais recente para seu processador em particular" lê: "baixe e use o microcódigo atual por sua conta e risco ou instale a Intel em uma versão fixa".

Eu também imagino que a decisão de Redhat é para esta versão com problemas de estabilidade conhecidos especificamente, uma vez que eu tenha uma atualização eu imagino que eles irão reavaliar (provavelmente dando um pouco mais de tempo antes de distribuir para todos).

Existem outros fornecedores de sistema operacional que, da mesma forma, lançaram a atualização do microcódigo que agora revertia suas atualizações (veja, por exemplo, anúncio da VMware ).

Tudo somado, minha impressão é que, com a versão atual do microcódigo (empacotada pela Intel como 20180108 ), parece que há um trade-off de "problemas de estabilidade com poucas informações preciosas sobre o que os aciona" versus "possibilidade de mitigação de espectro", e que os principais fornecedores de SO parecem estar tomando a "estabilidade" enquanto os problemas estão sendo abordados.

    
por 23.01.2018 / 08:33
0

Ok, parece que vários fornecedores têm aposentado sua atualização do BIOS, então a opção de atualização de firmware é quase inexistente no momento. Por exemplo, do site da DELL :

Patch Guidance (update 2018-01-22): Intel has communicated new guidance regarding "reboot issues and unpredictable system behavior" with the microcode included in the BIOS updates released to address Spectre (Variant 2), CVE-2017-5715. Dell is advising that all customers should not deploy the BIOS update for the Spectre (Variant 2) vulnerability at this time. We have removed the impacted BIOS updates from our support pages and are working with Intel on a new BIOS update that will include new microcode from Intel.

If you have already deployed the BIOS update, in order to avoid unpredictable system behavior, you can revert back to a previous BIOS version. See the tables below.

As a reminder, the Operating System patches are not impacted and still provide mitigation to Spectre (Variant 1) and Meltdown (Variant 3). The microcode update is only required for Spectre (Variant 2), CVE-2017-5715.

Isso é confirmado por documentação da própria Intel

Basicamente, o único método para obter o código necessário é baixá-lo manualmente do site da Intel

TL; DR: esperarei e verificarei a queda da atualização do microcódigo que falhou. O Meltdown e o Specter variant n.1 podem ser corrigidos simplesmente atualizando o kernel, felizmente.

    
por 23.01.2018 / 12:56

Tags