Re: Microcode Updates .bin Format
Hi! Siehe
1. https://www.kernel.org/doc/html/latest/admin-guide/hw-vuln/mds.html
2.
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00233.html
Am 18.05.19 um 07:48 schrieb Kinky Nekoboi:
> hat jemand eine Idee wie ich die aktuell erschienenen Microcode updates
> für Buster die Zombieload etc ausbessern, im binär format extrahieren
> kann
Im Binärformat liegen sie im Paket intel-microcode ab Version
3.20190514.1 vor, was auch bereits nach buster (non-free) vorgerückt
ist. Upstream ist
https://github.com/intel/Intel-Linux-Processor-Microcode-Data-Files .
> so das ich sie in meine coreboot rom für mein x220 einfügen kann.
Nein. Die derzeit am einfachsten umsetzbare Alternative dürfte sein, sie
über iucode-tool im Bootvorgang zu laden, was mit initramfs-tools noch
vor Ausführung der anderen Skripte erledigt wird, und in der ersten
Zeile von $(dmesg) erscheinen sollte, womit Du auch die Versionsnummer
verifizieren und mit
https://www.intel.com/content/dam/www/public/us/en/documents/corporate-information/SA00233-microcode-update-guidance_05132019.pdf
abgleichen kannst, die ca. so beginnt:
[ 0.000000] microcode: microcode updated early to revision
Dieser Vorschlag dürfte m. E. Deinen Zweck (µcode-Update) erfüllen,
sofern Du der Integrität sowohl Deiner Hardware und Deines Boot-ROMs
vollständig vertraust, als auch derer der dafür im Bootvorgang
maßgeblichen Programme, nämlich dem Kernel-Image, initrd-tools,
iucode-tool und intel-microcode.
Jedoch weise ich dringend darauf hin, dass die Seitenkanalangriffe MDS
(Microarchitectural Data Sampling, "ZombieLoad") etc. mit bloßem
µcode-Update keineswegs mitigiert sind, sondern nur im Zusammenspiel mit
Kernel-Patches (die in buster derzeit noch nicht vorliegen) und ggf.
evtl. mit Deaktivierung von SMT. (Simultaneous Multithreading,
"Hyper-Threading")
Genau kannst Du das in /sys/devices/system/cpu/vulnerabilities/mds
verifizieren.
LG
Kevin
Reply to: