Archivi categoria: spectre

SPARC e Solaris: neanche Oracle si salva da Spectre

Facebooktwittergoogle_plusredditlinkedin

In questi giorni anche la californiana Oracle ha -finalmente- rilasciato le patch per fixare i problemi Meltdown/Spectre sulle sue CPU x86.

Insieme a questo, gli utenti delle sue piattaforme SPARC (ricordiamo che un tempo Solaris girava solo su quell’OS) sono stati avvisati che anche questa architettura hardware soffre degli stessi problemi di design che ha causato il problema Spectre su Intel (e le altre x86).

Quanto scovato da The Register, in un documento accessibile solo dal portale clienti, e comunque ben nascosto, indica quanto segue:

Oracle believes that certain versions of Oracle Solaris on SPARCv9 are affected by the Spectre vulnerabilities. […] Oracle is working on producing the patches for all affected versions that are under Premier Support or Extended Support.

Oracle crede che alcune versioni di Oracle Solaris su SPARCv9 sono affette dalle vulnerabilità Spectre. […] Oracle sta lavorando alla produzione delle patch per tutte le versioni affette che siano sotto supporto Premium o Esteso

Il tutto senza la minima indicazione sul quando queste patch saranno rilasciate, se non “una volta che i test sulle patch saranno completati“.

Questi avvisi avvengono qualche giorno dopo il rilascio delle patch per i propri sistemi Oracle Linux ed Oracle Virtualization, avvenuti comunque con estremo ritardo rispetto agli altri OS mainstream disponibili sul mercato (l’uscita ufficiale risale ad un paio di giorni fa).

Le patch contengono inoltre più di altri 200 bug fix per problemi anche grossi dei prodotti Oracle, dalla CVE-2017-10352 legata ad Oracle WebLogic, pubblicata il 19 Ottobre scorso e che permette ad un utente non autenticato tramite una mera chiamata HTTP di mandare in crash il server, alla CVE-2017-5645 che, grazie ad un bug di Log4j, permette di eseguire codice arbitrario da remoto sui sistemi.

Ovviamente Oracle da dei consigli su come affrontare la situazione in attesa dell’arrivo delle patch, che vanno da il “non installare software di cui non si conosce la fonte” sui propri sistemi a “limitare il numero di utenti privilegiati” su di essi; insomma, regole più che altro di buon senso che specifiche per i propri clienti.

La base hardware di installato Oracle è ancora molto forte, essendo sul mercato da parecchio tempo (prima come Sun) e fornendo, in anni in cui non era così facile averli, sistemi parecchio potenti e specializzati, ingegnerizzati molto bene.

Gli ultimi anni hanno portato l’azienda a puntare più sul software e sui servizi che sul “mero ferro”, ma la gestione di queste problematiche è stata comunque non buona.

Che gli irriducibili debbano iniziare a pensare a qualcosa di alternativo?

Patch Meltdown/Spectre: tuning da rifare sui server

Facebooktwittergoogle_plusredditlinkedin

Si torna a parlare di Meltdown e Spectre che nelle ultime settimane hanno travolto il mondo dell’IT e dai quali quasi nessuno è riuscito a salvarsi.

Le maggiori distro Linux hanno già rilasciato una serie di patch per arginare il problema ma, come c’era da aspettarsi, le performance del sistemano calano non indifferentemente.

Questo discorso si applica poco alle workstation mentre lato server la situazione è certamente più critica.

Ma di quanto vengono realmente impattate le performance? Dopo i test di Phoronix di cui abbiamo parlato qui (svolti su CentOS, Ubuntu, Debian e Clear Linux) risponde anche RedHat che ha eseguito dei benchmark su RHEL 7/6/5 dopo aver applicato le patch:

  • Alto impatto: cache memoria, buffer I/O e carico sui database OLTP impattati del 8-19%;
  • Medio impatto: Analytics sui database e macchine virtuali Java subiscono un calo del 3-7%;
  • Basso impatto: HPC (High Performance Computing) e carichi di lavoro elevati sulla CPU sono impattati del 2-5%, molti dei job vengono eseguiti nello user space;
  • Impatto minimo: le tecnologie che bypassano il kernel in favore dell’accesso diretto allo user space subiscono un impatto inferiore al 2%.

Questi cali di performance valgono sia per le installazioni bare metal che per le applicazioni containerizzate (visto che sono trattate come processi Linux generici) anche se quest’ultime sicuramente sono più impattate a causa della frequenza più elevata di operazioni user-to-kernel.

RedHat ha anche rilasciato una serie di indicazioni sui fix applicati sui propri sistemi per consentire agli utenti un tuning post-patch più rapido.

La situazione resta comunque grave su innumerevoli macchine ed appliance che utilizzano distribuzioni datate e non patchabili, inclusi tutti i vari dispositivi IoT… che comunque non se la sono mai passata particolarmente bene!

Intel, Meltdown e Spectre: un bollettino di guerra sempre più preoccupante

Facebooktwittergoogle_plusredditlinkedin

Quella di Meltdown e Spectre non è una falla leggera, e lo si è capito subito, proprio per via della sua origine, il processore.

Ne abbiamo scritto e continueremo a farlo perché ogni giorno nuove scoperte vengono rese pubbliche e pare sempre più che l’ambito dei processori, sino ad oggi ritenuto sacro e involabile, sia tutt’altro che sicuro.

Prendiamo il caso di questa nuova falla scoperta da dei ricercatori Finlandesi: è possibile bypassare il processo di login di un laptop a livello di BIOS in meno di 30 secondi. Risultato, completo controllo remoto. La componente esposta è la

L’entità di quel che sta succedendo è tutta da scoprire.

Si analizzano per le Storage Area Network gli impatti delle patch mitiganti e si scopre che alcuni produttori ritengono i loro device sicuri e la diatriba è aperta: è vero? Non lo è? Come ci si organizza per applicare patch su infrastrutture di larga scala?

Si analizzano poi per le distribuzioni gli impatti in termini di performance. Cosa succede alle distrubuzioni patchate? È vero che si è riscontrato ovunque un calo delle perfomance? Ebbene, la risposta è sì. Come dimostra lo studio condotto da Phoronix non vi è mai, in nessun caso, in nessun benchmark alcun miglioramento. La perdita è contenuta, ma ben visibile, come si diceva tra il 5 ed il 20% e riguarda tutte le distribuzioni. La comparazione è stata fatta tra Debian, CentOS, Ubuntu e Clear linux.

È una guerra quella in corso e non c’è nient’altro da fare che proteggersi, usare cautela e fare in modo da limitare il più possibile i danni. Qualcuno ha scritto Backup?

Problemi su Ubuntu dopo le patch per Spectre e Meltdown

Facebooktwittergoogle_plusredditlinkedin

Negli ultimi ultimi giorni Spectre e Meltdown sono al centro di praticamente ogni articolo del mondo IT. I bug, in tre varianti, affliggono tutte le CPU Intel ed AMD (sì, alla fine anche AMD ha ammesso di essere affetta dalle due varianti di Spectre) e trattandosi di falle a livello hardware, i produttori di software stanno correndo ai ripari rilasciando patch su base quasi giornaliera.

Tutta questa fretta sta generando non pochi disagi agli utenti che spesso si ritrovano con macchine che non fanno più boot. Inizialmente c’è stata Microsoft con una patch che rendeva inutilizzabili i computer con CPU Athlon ed ora anche Ubuntu sembra avere qualche inghippo.

Non è un gran momento per la distribuzione di Canonical, infatti questo nuovo problema segue a ruota il bug che impattava i BIOS di alcuni Lenovo per il quale venne inibito il download di ISO per il paio di settimane necessario a risolvere il problema.

Nelle ultime ore gli utenti hanno iniziato a segnalare sia sui forum sia su Launchpad come dopo aver aggiornato Ubuntu 16.04 con kernel 4.4.0-108-generic, la macchina non riesca più ad eseguire il boot.

Canonical suggerisce di procedere come segue:

  1. Avviare con l’ultima versione funzionante del kernel
  2. Rimuovere la patch buggata
  3. Installare l’ultima versione del kernel, la 4.4.0-109-generic tramite apt

State veramente riscontrando problemi dopo Spectre/Meltdown?

Runecast Analyzer 1.6.5 rileva i chip affetti da MeltDown e Spectre

Facebooktwittergoogle_plusredditlinkedin

Runecast Analyzer 1.6.5 rileva i chip affetti da MeltDown e Spectre

runecast-analyzer-meltdown-spectre-01

Runecast ha rilasciato la versione 1.6.5 del tool Runecast Analyzer aggiungendo la funzione per rilevare e notificare i chip affetti dal bug MeltDown e Spectre negli host ESXi e vCenter.

La recente scoperta del più grosso bug nella storia dei computer ha imposto alle aziende di correre ai ripari per prevenire possibili problemi dovuti ai chip affetti dal bug MeltDown e Spectre.

Con questo nuovo aggiornamento, Runecast Analyzer è ora in grado di rilevare se gli host ESXi e i vCenter presenti nella propria infrastruttura sono affetti da questo bug.

 

Meltdown e Spectre

Meltdown e Spectre sfruttano delle vulnerabilità critiche nei moderni processori. Queste vulnerabilità dell’hardware permettono ai programmi di rubare i dati che sono correntemente processati dal computer.

runecast-analyzer-meltdown-spectre-02

 

Analizzare l’infrastruttura

Dopo avere effettuato l’aggiornamento di Runecast Analyzer, accedere alla Dashboard e cliccare sul bottone Analyze Now.

runecast-analyzer-meltdown-spectre-03

Dopo pochi secondi, l’analyzer completa la scansione della rete visualizzando le problematiche rilevate.

runecast-analyzer-meltdown-spectre-04

Dalla Dashboard, cliccare sulla voce Critical per verificare le problematiche critiche riscontrate nella propria infrastruttura.

runecast-analyzer-meltdown-spectre-05

Nella Issue List, Runecast Analyzer mostra che l’infrastruttura scansionata è vulnerabile al bug MeltDown e Spectre.

runecast-analyzer-meltdown-spectre-06

Espandendo l’alert, è possibile visualizzare maggiori dettagli sul problema. Installare quanto prima le patch VMware ESXi host per assicurare che le applicazioni e i dati degli utenti non vengano compromessi.

runecast-analyzer-meltdown-spectre-07

 

Aggiornare Runecast Analyzer

Per aggiornare Runecast Analyzer, aprire il browser preferito e digitare l’indirizzo https://IP_address:5480. Inserire le credenziali corrette (default rcadmin/admin) e cliccare su Login.

runecast-analyzer-meltdown-spectre-08

Posizionarsi nella sezione Update e verificare se è disponibile una nuova versione. Cliccare su Install Updates per procedere con l’aggiornamento di Runecast.

runecast-analyzer-meltdown-spectre-09

Cliccare su OK per confermare l’installazione.

runecast-analyzer-meltdown-spectre-10

L’aggiornamento viene installato nel sistema.

runecast-analyzer-meltdown-spectre-11

L’appliance Runecast è stata correttamente aggiornata.

runecast-analyzer-meltdown-spectre-12

Poichè la problematica MeltDown e Spectre impatta i chip Intel, AMD ed ARM, è realistico supporre che quasi tutti i computer siano affetti da questo bug.

L’ultima versione di Runecast Analyzer è disponibile per il download come 14-day trial.

signature

Copyright Nolabnoparty. All Rights Reserved.