Microarchitectural Data Sampling (MDS, #ZombieLoad)

To: debian-user-german@lists.debian.org
Subject: Microarchitectural Data Sampling (MDS, #ZombieLoad)
From: Kevin Price <kp@osnanet.de>
Date: Thu, 16 May 2019 02:52:41 +0200
Message-id: <[🔎] 44d83f35-21c3-a61a-2f9b-d4a0a8abc5e6@osnanet.de>

Hi, Ihr Lieben!

Diesmal hat intel einige Betriebssystem-Herstellenden anscheinend etwas
weniger katastrophal spät überrascht als in den von intel verursachten
Desastern Meltdown/Spectre vor bald zwei Jahren. Folglich hat diesmal
linux-upstream, vermutlich Einzelpersonen unter strikten intel-NDAs
mitgespielt, Software-Patches gegen deren wiederholtes Hardware-Versagen
langwierig entwickelt, und zum diesmaligen Disclosure-Tag (der vmtl.
durch Microsoft/Apple oder so dominierend ausgewählt wurde) wahnsinnig
schnell Patches integriert.

Das ist aber eine Schuldumkehr: Ich sehe es schlichtweg nicht ein, dass
Freie, zumeist ehrenamtlich entwickelte Software, auf diese Weise enorm
ressourcenintensive Workarounds bauen muss, um Herstellungsfehler
auszubügeln, nur weil Herstellende bereits viel deren defekten Mists
verkauft haben. Sobald Anbieter/innen (Sicherheits-)Fehler erkennen,
erwarte ich darauf _zeitnah_ aufmerksam gemacht zu werden.

Daß intel den linux-upstream-Entwickler/innen nun Getränke schuldet,
finde ich das Understatement des Jahrzehnts von G. K.-H.

Weil Linux für debian zentral bedeutsam ist, hat auch debian die Patches
super schnell (jedenfalls in stretch und sid) durchgereicht. Was mich
jedoch u. a. entsetzt, ist dass die zur Heilung u. a. _benötigten_ und
laut intel geeigneten (?) Microcode-Patches Monate alt sind. (Bsp. hier:
"microcode updated early to revision 0xb4, date = 2019-04-01"
https://twitter.com/mister_burns/status/1128781132122738690 )

Was bewirkt eine so insgesamt grauenhafte Informationspolitik von intel?
Ist es im Gewinnstreben die Angst davor, an Vertrauen oder Aktienkurs zu
verlieren, und dafür lieber Abermillionen User der Unsicherheit
auszuliefern? Jedenfalls bei mir wirkt das enorm kontraproduktiv: intel
hat IMHO nun so oft so massiv versagt, und zwar besonders auch in der
Fehlerkultur, meine künftigen intel-Kaufentscheidungen überlege ich mir
nun _sehr_ viel genauer. Alternativen existieren ja, und so dermaßen
enttäuscht wurde ich von Letzteren noch nicht.

https://twitter.com/mister_burns/status/1128785896755666945 habe ich
soeben nochmals nachgeprüft: Lenovo's letztes "BIOS"-Update hat
Microcode 0x8E und wurde mir ausgeliefert ab 2019-04-11 bis heute. Das
enthält noch überhaupt keine MDS-Mitigation und wird mir als aktuell
angedreht, WTF, Lenovo. (Sind Andere weniger schlimm?)

Was mich momentan recht dringend interessiert: Weiß jemand von Euch, ob
oder wann stretch-backports (linux-4.19) gepatcht wird?

Liebe Grüße
Kevin

Reply to:

Follow-Ups:
- Re: Microarchitectural Data Sampling (MDS, #ZombieLoad)
  - From: Alexander Dahl <post@lespocky.de>

Prev by Date: Re: Maus spinnt (ungewollt rechte Maustaste oder Doppelklick)
Next by Date: Re: Versionshandling in Testing
Previous by thread: Re: Maus spinnt (ungewollt rechte Maustaste oder Doppelklick)
Next by thread: Re: Microarchitectural Data Sampling (MDS, #ZombieLoad)
Index(es):
- Date
- Thread