Meltdown / Spectre Diskussion

Status
Für weitere Antworten geschlossen.

Puppetmaster

Benutzer
Sehr erfahren
Mitglied seit
03. Feb 2012
Beiträge
18.991
Punkte für Reaktionen
629
Punkte
484
Somit ist DSM 6.1.4 Update 6 absehbar.... ;)

Der war gut! :D
Du glaubst doch nicht im Ernst, dass das schon in einem nächsten Update enthalten sein wird... So schnell ist Synology aller Erfahrung nach dann doch nicht. :)

PS: wird man gar nicht benachrichtigt, wenn ein Mod den Thread umbenennt?
 

thedude

Benutzer
Mitglied seit
30. Nov 2009
Beiträge
2.244
Punkte für Reaktionen
2
Punkte
84
Ich hab den umbenannt, damit Meltdown und Spectre direkt über die Suche gefunden werden. Ich hatte eigentlich gedacht, das wird angezeigt. War jetzt nicht böse gemeint.
 

Puppetmaster

Benutzer
Sehr erfahren
Mitglied seit
03. Feb 2012
Beiträge
18.991
Punkte für Reaktionen
629
Punkte
484
Ich hatte eigentlich gedacht, das wird angezeigt. War jetzt nicht böse gemeint.

Alles gut. Ich hätte nur auch gedacht, da gibt's ne Meldung o.ä.
War mir eben nur aufgefallen. Umbenennung macht auch Sinn. Danke!
 

till213

Benutzer
Mitglied seit
18. Okt 2012
Beiträge
144
Punkte für Reaktionen
8
Punkte
18
Ich bin sehr gespannt, wie Synology damit umgehen wird. Bisher sind sie ja nicht gerade für aktuelle Kernel bekannt, was dann heißen würde, dass sie wohl selbst einen Patch stricken müssten. Mit einem kleinen Patch ist es da aber wohl imho nicht getan, das sind vielmehr tiefgreifende Änderungen die besser etwas akribischer getestet werden sollten.

Auch gespannt bin ich auf die Reaktionen mancher User... Immerhin haben wir hier einen Mangel an der Hardware - zumindest, wenn dann tatsächlich eine Drosselung der Geschwindigkeit aus dem Patch resultieren sollte. ;)

Iwo. Performanzeinbussen wird der normale Anwender kaum bemerken, da rödelt die CPU die meiste Zeit darauf, bis der Benutzer wieder die Maus anstubst. Wirkliche Performanzeinbussen gibt es bloss bei Kernel-Funktionsaufrufen, also vor allem bei I/O Geschichten wie disk access, networking, ...

Also ich sehe da bei NAS keine Probl... he, moment!

/s
 

till213

Benutzer
Mitglied seit
18. Okt 2012
Beiträge
144
Punkte für Reaktionen
8
Punkte
18
Ich hab den umbenannt, damit Meltdown und Spectre direkt über die Suche gefunden werden. Ich hatte eigentlich gedacht, das wird angezeigt. War jetzt nicht böse gemeint.

Hat definitiv geklappt, das mit der (google) Suche ;)

Übrigens an alle nicht Intel-NAS-Besitzer (wie mich): zeitgleich mit Meltdown wurde auch (nur Stunden später) öffentlich die Existenz von "Spectre" bekannt: wie "Meltdown" (Intel only) beruht auch die auf einem Hardware-Bug, ebenfalls im Zusammenhang mit Optimistical Branch Execution (branch prediction) und wohl dem "timing"-Verhalten des caches. Allerdings ist Spectre nur "Prozess zu Prozess" (d.h. kein Kernel-Memory kann ausgelesen werden, was bei Meltdown effektiv der Fall ist, aber: viel aufwendiger zu fixen (wohl applikationsspezifisch?), exploits sind aber auch viel aufwendiger - dafür funktionieren sie auch auf AMD, und ARM wurde auch explizit genannt... (und ARM untersucht wohl auch noch, ob sie nicht doch auch Meltdown-gefährdet sind, zumindest partiell...).

Alle Details unter der URL, die bereits hier gepostet wurde.
 

Theslowman

Benutzer
Mitglied seit
24. Sep 2012
Beiträge
372
Punkte für Reaktionen
2
Punkte
18
Notiz für mich, mehr den guten alten Schreibblock benutzen, safety first : - )
 

TaifunDB

Benutzer
Mitglied seit
28. Okt 2017
Beiträge
227
Punkte für Reaktionen
14
Punkte
18
Aus meiner Sicht ist ein Fix auch auf Nas-Systemen notwendig. Und da sehe auch ich die Möglichkeit, dass der Fix recht deutlich an der Performance schraubt.

Die Intel-CPUs in den aktuellen NAS sind auch sicher betroffen, das Verwandschaftsverhältnis zu den Intel-PC-Prozessoren ist doch sehr eng.

Ich bin sehr gespannt. Ein kompletter Hardwareaustausch durch Intel bezahlt wird kaum kommen, aber auch VW hat gedacht, dass der Dieselskandal keine immensen Kosten produziert.
 

whitbread

Benutzer
Mitglied seit
24. Jan 2012
Beiträge
1.294
Punkte für Reaktionen
54
Punkte
68
Ich sehe diesen Bug bisher auf meiner NAS auch deutlich entspannter als beim Defekt der 15er-Reihe, zumal noch kein aktives Ausnutzen des Bugs bekannt ist. Mein PC macht mir bei diesem Bug deutlich mehr Bauchschmerzen.
Allerdings werden wir - wenn weitere Fakten vorliegen - selbstverständlich auch über Gewährleistung zu reden haben...
 

Puppetmaster

Benutzer
Sehr erfahren
Mitglied seit
03. Feb 2012
Beiträge
18.991
Punkte für Reaktionen
629
Punkte
484
Ein kompletter Hardwareaustausch durch Intel bezahlt wird kaum kommen, aber auch VW hat gedacht, dass der Dieselskandal keine immensen Kosten produziert.

Kosten ja, aber kein einziger VW Fahrer hat ein neues Auto bekommen, oder? Es gab nur ein Software-Update welches den Verbrauch erhöht, und die Leistung reduziert hat... ;)
 
Zuletzt bearbeitet:

TaifunDB

Benutzer
Mitglied seit
28. Okt 2017
Beiträge
227
Punkte für Reaktionen
14
Punkte
18
Kosten ja, aber kein einziger VW Fahrer hat ein neues Auto bekommen, oder? Es gab nur ein Software-Update welches den Verbrauch erhöht, und die Leistung reduziert hat... ;)

Schau mal nach Amerika... und hier könnten wir die Amis ausquetschen.
 

Puppetmaster

Benutzer
Sehr erfahren
Mitglied seit
03. Feb 2012
Beiträge
18.991
Punkte für Reaktionen
629
Punkte
484
Wir leben aber nicht unter amerikanischer Justiz.
Und soweit ich weiß hat auch dort niemand ein neues Auto bekommen, es gab nur Strafzahlungen.
 

vater

Benutzer
Contributor
Mitglied seit
14. Mrz 2014
Beiträge
492
Punkte für Reaktionen
115
Punkte
43
Ich stelle mir gerade vor, wie der ambitionierte Bösewicht eine Zeile zum deinstallieren des Patches vor seinen Schädling-Code schreibt, kurz mit den Axeln zuckt und weiter macht..
Aber das ist vermutlich nur in meiner naiven Vorstellung möglich.. =>
 

Andy14

Benutzer
Mitglied seit
05. Mrz 2014
Beiträge
1.013
Punkte für Reaktionen
0
Punkte
0
Wenn der ambitionierte Bösewicht soviel rechte auf deinem System hat und Patches deinstallieren kann dann braucht er sich um solche Sicherheitslücken im System keine Gedanken mehr machen denn dann installiert er seine eigenen (Schad)Programme.
 

till213

Benutzer
Mitglied seit
18. Okt 2012
Beiträge
144
Punkte für Reaktionen
8
Punkte
18
Wenn der ambitionierte Bösewicht soviel rechte auf deinem System hat und Patches deinstallieren kann dann braucht er sich um solche Sicherheitslücken im System keine Gedanken mehr machen denn dann installiert er seine eigenen (Schad)Programme.

Tjahaa, Leute, aber ich glaube, die effektive Tragweite von Meltdown ist noch nicht überall vollends durchgedrungen: zugegeben, wenn man auf einem System root-Rechte bereits hat, sind alle Türen und Tore für Bösewichte bereits weit genug offen, um alle Schandtaten zu vollbringen, die ein kriminelles Herz aktuell so begehrt.

Aber: auch dem Benutzer root sind durch das Betriebssystem letzten Endes Grenzen gesetzt: nur der Kernel (des Betriebssystems) kann im CPU "Ring 0" operieren und folglich sind gewisse (RAM)-Speicherbereiche nur dem Kernel zugänglich (eben diejenigen, welche also "Ring 0 only" markiert sind).

Nicht mehr! Meltdown hebt diese Grenze auf (daher auch der Name "Meltdown": Kernel memory pages verschmelzen de facto mit "userspace" memory pages), d.h. ein userspace Prozess kann nun sämtliches - inklusive exklusives Kernel-memory - auslesen!

Wenn Ihr jetzt z.B. an "Cloud Computing" denkt und Euch vorstellt, dass dort jeder (auch nicht-root) "userspace" Prozess auf Speicher zugreifen kann, der in einer ganz anderen "virtuellen Box" läuft (Applikationen von anderen Cloud-Kunden, die ebenfalls gerade auf derselben physischen Maschine laufen), dann seit Ihr auf dem richtigen "kriminellen Wege", aber der Phantasie sind wohl auch hier noch keine Grenzen gesetzt...


Edith meint: Hier ist das ganze noch einmal ausführlicher erklärt: https://arstechnica.com/gadgets/201...odern-processor-has-unfixable-security-flaws/
 

Andy14

Benutzer
Mitglied seit
05. Mrz 2014
Beiträge
1.013
Punkte für Reaktionen
0
Punkte
0
Wenn Ihr jetzt z.B. an "Cloud Computing" denkt und Euch vorstellt, dass dort jeder (auch nicht-root) "userspace" Prozess auf Speicher zugreifen kann, der in einer ganz anderen "virtuellen Box" läuft (Applikationen von anderen Cloud-Kunden, die ebenfalls gerade auf derselben physischen Maschine laufen), dann seit Ihr auf dem richtigen "kriminellen Wege", aber der Phantasie sind wohl auch hier noch keine Grenzen gesetzt...
Stimmt!!! gerade deshalb waren auch Microsoft,Amazon und Google schnell dabei um ihre Cloud Dienste "abzusichern".

Soweit ich das auf "theregister" richtig sehe sind für "Meltdown" (Die schwerwiegendere und deutlich einfacher auszunutzende Lücke) folgende Synologys (CPUs) anfällig
Bei Intel alle außer den D2700/D425/D525/D410/D510 Modellen.
Bei ARM die Modelle mit "Annapurna Labs Alpine". Wobei hier wohl "nur" Register aber kein Speicher ausgelesen werden kann.

Bei "Spectre" sind wohl die alten "Marvell Kirkwood" Modelle und die neuen "Realtek ARM 64bit" nicht betroffen.

edit: zu "PowerPC" CPUs finden sich keine Angaben, ist wohl zu sehr aus der Mode?
 
Zuletzt bearbeitet:

Andy14

Benutzer
Mitglied seit
05. Mrz 2014
Beiträge
1.013
Punkte für Reaktionen
0
Punkte
0
Auf der Intel Seite sind die CE Atoms nicht aufgeführt und wenn ich das auf Wikipedia richtig sehe dann gehören die zu der nicht betroffenen "in-order" Bonnell Architektur.
 

Lumix_216

Benutzer
Mitglied seit
14. Jan 2016
Beiträge
126
Punkte für Reaktionen
13
Punkte
18
Zuletzt bearbeitet:

MrDisaster

Benutzer
Mitglied seit
06. Mrz 2008
Beiträge
134
Punkte für Reaktionen
8
Punkte
24

Tatsuki

Benutzer
Mitglied seit
03. Dez 2011
Beiträge
55
Punkte für Reaktionen
2
Punkte
8
Auf der Auflistung von Synology wird die DS414 nicht geführt. Diese hat laut Syno-wiki einen Marvell ARMADA XP CPU verbaut.
Ist diese CPU nicht betroffen oder wie soll man die Liste verstehen?
Finde leider auch keine Infos im Allgemeinen zu den Marvell CPUs im Netz...

Generell bin ich gespannt bis wann ein Patch/Update Seitens Synology released wird und vor allem wieviel Performance das ganze kosten wird...
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat