[Eisfair_dev] [e64] eiskernel 3.34.0 (Status 'stable') verfügbar - 3.16er Kernel für eisfair-64
Thomas Bork
tom at eisfair.org
Fr Nov 16 21:02:58 CET 2018
Hi @all,
es ist eine Version 3.34.0 von eiskernel mit dem Status 'testing' für
eisfair-64 verfügbar.
Achtung, es gibt inkompatible Änderungen durch entfernte
Module/Funktionen, siehe unten!
Intern wird hierfür der Kernel 3.16.60 aus der Longterm-Kernel-Serie
3.16 verwendet.
Siehe dazu:
https://www.kernel.org/category/releases.html
Der Kernel enthält die PTI-Patches. Diese sind bei uns aktiv, da die
Implementation bei 64-Bit-Kerneln greift (im Gegensatz zu den
32-Bit-Kerneln von eisfair-1).
https://de.wikipedia.org/wiki/Kernel_page-table_isolation
Es wird die Verwundbarkeit durch Spectre (v1/v2) in dieser
Kernel-Version und mit Hilfe das gcc 8.1.1 vermindert.
https://de.wikipedia.org/wiki/Spectre_(Sicherheitsl%C3%BCcke)
Ausserdem ist ein Schutz gegen L1TF eingebaut.
https://www.heise.de/security/meldung/Linux-Kernel-und-Distributionen-schuetzen-vor-Prozessorluecke-Foreshadow-L1TF-4137264.html
Das sieht dann mit meiner CPU unter 64 Bit so aus:
eis64dev # uname -r
3.16.60-eisfair-64-VIRT
eis64dev # dmesg | grep -i spectre
[ 0.011797] Spectre V2 : Mitigation: Full generic retpoline
[ 0.011867] Spectre V2 : Spectre v2 / SpectreRSB mitigation: Filling
RSB on context switch
eis64dev # ls -l /sys/devices/system/cpu/vulnerabilities/
total 0
-r--r--r-- 1 root root 4096 Nov 3 17:46 l1tf
-r--r--r-- 1 root root 4096 Nov 3 17:46 meltdown
-r--r--r-- 1 root root 4096 Nov 3 17:46 spec_store_bypass
-r--r--r-- 1 root root 4096 Nov 3 17:46 spectre_v1
-r--r--r-- 1 root root 4096 Nov 3 17:46 spectre_v2
eis64dev # cat /sys/devices/system/cpu/vulnerabilities/l1tf
Mitigation: Page Table Inversion
Unterstützung ist im Kernel. Die Gefahr wird abgemildert.
eis64dev # cat /sys/devices/system/cpu/vulnerabilities/meltdown
Mitigation: PTI
PTI für 64 Bit ist in unserem Kernel 3.16.60 aktiv.
Die Gefahr wird abgemildert.
eis64dev # cat /sys/devices/system/cpu/vulnerabilities/spec_store_bypass
Vulnerable
Wir sind verwundbar, wenn ein Intel-Prozessor im System steckt, für den
es keinen neuen Microcode gibt oder wenn der Microcode nicht geladen
wird, wenn eisfair-1 virtualisiert läuft.
eis64dev # cat /sys/devices/system/cpu/vulnerabilities/spectre_v1
Mitigation: __user pointer sanitization
Unterstützung ist im Kernel. Die Gefahr wird abgemildert.
eis64dev # cat /sys/devices/system/cpu/vulnerabilities/spectre_v2
Mitigation: Full generic retpoline
Der Kernel wurde mit einem gcc mit retpoline-Support gebaut. Die Gefahr
wird abgemildert.
Dieser Kernel wird nur als VIRT-Variante angeboten. Aufgrund der
Eigenschaften des 64-bit-Kernels sind verschiedene Varianten (SMP, PAE
und VIRT) nicht mehr notwendig.
Dieses Kernel-Paket lässt sich auf allen Systemen mit normaler Hardware
und laufendem Kernel 3.16.xx-eisfair-64-VIRT installieren.
Beim Update von einem älteren Kernel als 3.16.60-eisfair-64-VIRT aus
wird *bei genügend Platz in /boot* ein lilo-Start-Eintrag für diesen
Kernel erzeugt, wenn noch kein Backup unter /boot existiert, um
problemlos diesen alten stabilen Kernel booten zu können. Beim Update
von 3.16.60-eisfair-64-VIRT aus werden alle alten Kernel samt der
Fallbacks gelöscht, wenn dieser Kernel den stabilen Status erreicht.
Zu den angegebenen eiskernel-Namen (z.B. 3.16.60-eisfair-64-VIRT) und
den darin enthaltenen Versionen siehe [1].
Denkt daran, eventuell bei Euch installierte kernel-abhängige Treiber
(z.B. die AVM- und Dahdi-Module) für diesen Kernel vorher zu
installieren, da der Name sich geändert hat!
Änderungen zum stabilen eiskernel 3.32.0:
=========================================
- Name auf 3.16.60-eisfair-64-VIRT geändert
(war 3.16.58-eisfair-64-VIRT).
- Alle Patches bis zu 3.16.60 integriert (war 3.16.58).
- Die Unterstützung für aufs wurde entfernt, denn diese kollidierte
mit Sicherheitspatches.
- Die Unterstützung für ppp_mppe_mppc wurde entfernt, denn diese
kollidierte mit Sicherheitspatches. MS-CHAPv2 ist seit 1999
verwundbar, seit spätesten 2012 komplett geknackt.
Die Entfernung des Patches macht es notwendig, dass sich User
mit einer selbstgebastelten Lösung zur Einwahl mittels
Windows-internem VPN eine Alternative suchen.
Dieses Paket bei https://pack-eis.de:
=====================================
VIRT: https://www.pack-eis.de/index.php?p=27810
Gleichzeitig wird wie gewohnt auch das Paket eiskernel-dev mit den
Quellen passend zu diesem Kernel freigegeben.
Änderungen zum vorherigen stabilen eiskernel-dev 3.32.0:
========================================================
- Basiert auf 3.16.60 (war 3.16.58).
- Setzt installierten eiskernel 3.33.0 voraus.
- Lädt 3.16.60 herunter (war 3.16.58).
- Die Unterstützung für aufs wurde entfernt, denn diese kollidierte
mit Sicherheitspatches.
- Die Unterstützung für ppp_mppe_mppc wurde entfernt, denn diese
kollidierte mit Sicherheitspatches. MS-CHAPv2 ist seit 1999
verwundbar, seit spätesten 2012 komplett geknackt.
Die Entfernung des Patches macht es notwendig, dass sich User
mit einer selbstgebastelten Lösung zur Einwahl mittels
Windows-internem VPN eine Alternative suchen.
Dieses Paket bei https://pack-eis.de:
=====================================
https://www.pack-eis.de/index.php?p=27811
Der Kernel 3.16.60:
===================
https://git.kernel.org/pub/scm/linux/kernel/git/stable/linux-stable.git/log/?id=refs/tags/v3.16.60
[1]
Übersicht der 3.16er eiskernel-64-Pakete:
=========================================
eiskernel-Vers.| eiskernel-Name | Patchlevel Vanilla
______________________________________________________
3.34.0 | 3.16.60-eisfair-64 | 3.16.60
3.33.0 | 3.16.60-eisfair-64 | 3.16.60
3.32.0 | 3.16.58-eisfair-64 | 3.16.58
3.31.0 | 3.16.58-eisfair-64 | 3.16.58
3.30.1 | 3.16.57-eisfair-64 | 3.16.57
3.30.0 | 3.16.57-eisfair-64 | 3.16.57
3.27.0 | 3.16.56-eisfair-64 | 3.16.56
3.26.0 | 3.16.54-eisfair-64 | 3.16.54
3.25.0 | 3.16.54-eisfair-64 | 3.16.54
3.23.0 | 3.16.53-eisfair-64 | 3.16.53
3.21.0 | 3.16.50-eisfair-64 | 3.16.50
Ich danke allen Mitgliedern des Teams für Tests und Unterstützung und
wünsche allen Anwendern weiterhin viel Spass mit eisfair!
Das Posting geht parallel an spline.eisfair und spline.eisfair.dev.
Produktive Rückmeldungen bitte an spline.eisfair.
--
der tom
[eisfair-team]
Mehr Informationen über die Mailingliste Eisfair_dev