Ich habe es selber hinbekommen. Die microcodedateien im Ordner /lib/firmware/intel-ucode sind bereits im passenden BIN Format. Habe mit dem iucode-tool die signatur meiner CPU abgefragt und die passende Datei herrausgesucht. Habe den BLOB dann ausgetauscht im ROM und tadada! Falls das jemand auch versuchen möchte kann er mir gerne nochmal schreiben (Falls es hier coreboot user gibt) NicoNicoNii Am 18.05.19 um 17:47 schrieb Kinky Nekoboi: > Hi Kevin, > > danke erstmal das zu mir so ausführlich geantwortet hast. > > > Am 18.05.19 um 12:57 schrieb Kevin Price: >> Hi! Siehe >> 1. https://www.kernel.org/doc/html/latest/admin-guide/hw-vuln/mds.html >> 2. >> https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00233.html >> >> Am 18.05.19 um 07:48 schrieb Kinky Nekoboi: >>> hat jemand eine Idee wie ich die aktuell erschienenen Microcode updates >>> für Buster die Zombieload etc ausbessern, im binär format extrahieren >>> kann >> Im Binärformat liegen sie im Paket intel-microcode ab Version >> 3.20190514.1 vor, was auch bereits nach buster (non-free) vorgerückt >> ist. Upstream ist >> https://github.com/intel/Intel-Linux-Processor-Microcode-Data-Files . >> >>> so das ich sie in meine coreboot rom für mein x220 einfügen kann. >> Nein. Die derzeit am einfachsten umsetzbare Alternative dürfte sein, sie >> über iucode-tool im Bootvorgang zu laden, was mit initramfs-tools noch >> vor Ausführung der anderen Skripte erledigt wird, und in der ersten >> Zeile von $(dmesg) erscheinen sollte, womit Du auch die Versionsnummer >> verifizieren und mit >> https://www.intel.com/content/dam/www/public/us/en/documents/corporate-information/SA00233-microcode-update-guidance_05132019.pdf >> abgleichen kannst, die ca. so beginnt: >> >> [ 0.000000] microcode: microcode updated early to revision >> >> Dieser Vorschlag dürfte m. E. Deinen Zweck (µcode-Update) erfüllen, >> sofern Du der Integrität sowohl Deiner Hardware und Deines Boot-ROMs >> vollständig vertraust, als auch derer der dafür im Bootvorgang >> maßgeblichen Programme, nämlich dem Kernel-Image, initrd-tools, >> iucode-tool und intel-microcode. >> >> Jedoch weise ich dringend darauf hin, dass die Seitenkanalangriffe MDS >> (Microarchitectural Data Sampling, "ZombieLoad") etc. mit bloßem >> µcode-Update keineswegs mitigiert sind, sondern nur im Zusammenspiel mit >> Kernel-Patches (die in buster derzeit noch nicht vorliegen) und ggf. >> evtl. mit Deaktivierung von SMT. (Simultaneous Multithreading, >> "Hyper-Threading") >> >> Genau kannst Du das in /sys/devices/system/cpu/vulnerabilities/mds >> verifizieren. > Dies habe ich bereits getan,den Microcode über initramfs zu laden, seid > heute Nachmittag gibt es auch für Buster den gepatchten Kernel. > > Ich suche trotzdem nach einer möglichkeit den Microcode möglichst früh > und Betriebssystem unabhängig zu laden. -> Man denke z.b. an Tails. > > Im initramfs gibt es die datei GenuieIntel.bin aber diese scheint viel > zu groß zu sein (2,4MB) > > Nyaa~~ > > kinky_nekoboi > >> LG >> Kevin >>
Attachment:
signature.asc
Description: OpenPGP digital signature