Názory k článku Jak zjistím, jestli má můj systém záplaty na Meltdown a Spectre?

Ano, použil jsem, ale teď jsem se dozvěděl, že existuje jednodušší varianta se /sys a preferoval bych právě tu, když jsem teď viděl (po hříchu) zdrojáky toho scriptu. Ne že bych byl schopný jej posoudit z hlediska bezpečnosti, ale právě proto jsem ho použít zřejmě neměl :)

Tak Ubuntu na to nejako ser... kasle:
16.04.3 LTS: jadro 4.4.0-109-generic #132-Ubuntu SMP Tue Jan 9 19:52:39 UTC 2018 x86_64
17.10: jadro 4.13.0-25-generic #29-Ubuntu SMP Mon Jan 8 21:14:41 UTC 2018 x86_64
Vsetko aktualne updaty. Ani v jednom pripade som adresar "vulnerabilities" v /sys/devices/sys­tem/cpu/ nenasiel

Opatchovane to pravdepodobne je, ale ta indikacia cez /sys/devices/sys­tem/cpu/vulne­rabilities/ chyba.

Máte někdo seznam jakých procesorů se to tedy týká?

Zdá se, že je to poprvé co jsem rád za starou techniku (core duo) a problém se mě netýká :-D

https://www.techarp.com/guides/complete-meltdown-spectre-cpu-list/5/

Případně víte o nějakém dalším listu?

Neni nad blazenou nevedomost .... c2d se to samozrejme tyka. Jenom na to asi intel uz nebude delat zadnej patch. Tyka se to libovolnyho CPU s predikci, coz sou za poslednich 10, spis 15 let prakticky vsechny.

Navic i na tom odkazu mas vyslovene napsano, ze to by melo obsahovat pouze CPU, kterych se tykaji vsechny varianty.

To se lehko řekne, ale když přejdu na novější jádro, přestane mi fungovat touchpad.

Používam procesor ktorý to nepotrebuje. Volím peňaženkou a prajem Intelu nech skape. Do nevidenia.

Tak co mas, pochlub se ... 486? Nebo jeste nejakej ten Cyrix ? Nebo neco od AMD na socket A (i kdyz uz tady bych si nebyl tak jistej)?

ale normalni desktop, ani normalni datacentrum, si z techto procesoru opravdu nepostavis :)

jak jako nepostavis? mam ITX desku s Atom D525 (z 2010), jde o desktop, multimedialni centrum, datove uloziste, pxe server atd ;-)

Jeden z mala (relativne) modernych a (relativne) vykonnych procesorov, ktory je in-order, teda sa ho Spectre ani Meltdown netykaju, je POWER6 (ostatne procesory POWER, teda z tych novsich POWER5,7,8,9 su out-of-order).

- máš k tomu nějaký odkaz, že POWER6 není zranitelný ?
- POWER6 jsou procesory asi z roku 2007, to jen pro představu, jak jsou výkonné oproti současným procesorům
- POWER5 je starší než POWER6

Já bych nic nezjišťoval, soudruzi z Intelu jsou evidentně hluboko v řiti...

We recommend that OEMs, cloud service providers, system manufacturers, software vendors and end users stop deployment of current versions, as they may introduce higher than expected reboots and other unpredictable system behavior.

"higher than expected reboots" je dobrý obrat :-) Nevím, jak kdo, ale já mívám expected reboots 0.

"Volím peňaženkou a prajem Intelu nech skape. Do nevidenia." - Bedňa Ako by mi to z úst ukradol.. Takéto problémy a prístup netolerovať !

Sem zvedav, jak na takovym HW postavis datacentrum. Nebo aspon "pouzitelnej" desktop.

Radeji nezjistuji, zda ma system zaplaty nebo ne, a vsude jsem pridal parametr noretpoline. (Tedy krome stroje s ryzenem, ten by nemel mit takovy vypadek vykonu.)

Hele a proc se cela tahle saskarna dela?
Kdo uz nekdy videl nejaky vir nebo malware, pripadne hackera co tohle zneuzil?
Neni to jen nejaky extrahusty hoax, bez realneho pouziti, jenom aby dotlacili lidi k upgradu HW?
Ja totiz nechci zadny zpomalovac vykonu, ktery me chrani proti zasahu zhury, ktery treba nikdy neprijde... :(

Mít tak tvojí odvahu :)

ono je otázka kde se to instaluje.
První moje reakce byla zastavení všech automatických aktualizací na všem co doma mám a teď vidím, že to bylo správné rozhodnutí.
Jelikož oprava, která mi ten komp 10x denně sundá a v mezičase, kdy se podaří nabootovat je výkon poloviční sice opravdu pomůže (nestihnu se nakazit něčím, co s vysokou pravděpodobností hraničící s jistotou ještě ani neexistuje), ale taky mi znemožní ten komp používat. Tak je otázka, jestli chci mít komp zapnutý, nebo bezpečný. Já volím zapnutý.
Možná až budou záplaty v nějakých stabilních verzích, budu uvažovat o instalaci na serveru a možná i pracovním kompu, kde jen edituju kód a nějak snížební výkonu pravděpodobně nepocítím (i tak mi to ale vadí). Ale třeba na stroji, kde občas hraju wotko, sleduju youtube a používám messenger tohle opravdu nikdy dobrovolně záplatovat nebudu. Zatím je teoretické riziko, že si někdo přečte něco z jiného tabu. :D OK, nemám problém. Raděj ať unikne zůstatek na účtu, než aby se to zpomalilo a jako bonus dokola vypínalo.
Ty hotfixy, které se teď šíří v updatech jsou prostě nestabilní betaverze rychlokvašných hotfixů evidentně se spoustou problémů.

Aktualne to spis vypada, ze daleko vetsi odvazlivci jsou ti, kteri zaplaty instaluji.

Jo, člověk se až diví, že radši nenakupujou bitcoiny za 20kUSD :-D

Ono je prave otazka, jestli je vetsi pruser moznost precist ramku nebo ztrata 20% vykonu + pady. Nehlede na to, ze na libovolnym sdilenym zeleze se vzdycky najde dost dalsich bugu ktery se daj vyuzit => pokud chce nekdo mit svy data aspon jako z takoz v bezpeci, musel by byt magor kdyby je cpal mimo vlastni HW.

No nikde jsem v seznamu nenašel core quad Q9650, tak není ohrožen? (zbytek- 8gb DDR3, Geforce650ti+SSD 240gb= GTA V, NFS Rivals, atd. max. detaily) Zatím nic novějšího stavět nepotřebuji a doufám, že vytvoří záplatu která mi z toho neudělá tu zmíněnou kalkulačku- zatím jsem radši zakázal aktualizace :-(

me to prijde pro domaci pouziti jako abs. zbytecnost , i pro virtualizovane servery , kde jsou bud spustene zakladni sluzby nebo tam chodi uzavrena skupina lidi (zamestnanci), kteri jsou radi co si spusti browser a tim jejich znalost pc konci.

Mno ... neni nad to spolehat na neschopnost zamestnancu ... to trebas znam takovej peknej system, kde sice (trebas) zamestnanci nemuzou videt vejplaty ... ale pokud by si nekdo z nich umel napsat SQL dotaz ... tak si klidne vygrabuje naprosto cokoli.

Trosku mne mate pristup Debianuu LTE (jessie), prvni oprava PTI je sice k dispozici (https://security-tracker.debian.org/tracker/CVE-2017-5754), ale update + upgrade ji nenainstaluje, zustane jakoby "hold".

Cili v jessie se po update+upgrade sice nainstaluje 3.16.51-3, ale apt vypise, ze prislusny balicek se neinstaloval, ze je hold, a az kdyz dam explicitne "apt-get install ...", nainstaluje se (jiz stazena) 3.16.51-3+deb8u1.

Copak servery, tam je to asi i spravny pristup, ale domaci uzivatele se mohou divit. Jadro se jim pri poslednim update+upgrade aktualizovalo, oprava v Debianu je, ale pokud si neprectou poradne vystup apt, maj holt smolika.
Nejaky "vulnerabilities" podadresar /sys/... budou v jessie vsichni hledat marne, v 3.16 proste neni.

Na druhou stranu alespon firefox uz pridal prave kvuli domacim uzivatelum patch, u domacich systemu s jednim uzivatelem a X windows je browser asi nejvic na rane.

Smula je, ze zrovna Firefox pouzivam jen ESR kvuli starym internim https aplikacim s javou + ssl3, protoze s chrome nejen ze nefunguji, ale ani nejdou donutit, aby fungovaly.

"kvuli starym internim https aplikacim s javou + ssl3"
To vis, soudruzi z chrozilly a guugla vedi nejlip co potrebujes ... btw palemoon + palemoon commander, a muzes si nastavit i konkretni algoritmy pekne z gui.