Meltdown / Spectre Diskussion

[Puppetmaster]

Somit ist DSM 6.1.4 Update 6 absehbar....

Der war gut!
Du glaubst doch nicht im Ernst, dass das schon in einem nächsten Update enthalten sein wird... So schnell ist Synology aller Erfahrung nach dann doch nicht.

PS: wird man gar nicht benachrichtigt, wenn ein Mod den Thread umbenennt?

 

[thedude]

Ich hab den umbenannt, damit Meltdown und Spectre direkt über die Suche gefunden werden. Ich hatte eigentlich gedacht, das wird angezeigt. War jetzt nicht böse gemeint.

 

[Puppetmaster]

Ich hatte eigentlich gedacht, das wird angezeigt. War jetzt nicht böse gemeint.

Alles gut. Ich hätte nur auch gedacht, da gibt's ne Meldung o.ä.
War mir eben nur aufgefallen. Umbenennung macht auch Sinn. Danke!

 

[till213]

Ich bin sehr gespannt, wie Synology damit umgehen wird. Bisher sind sie ja nicht gerade für aktuelle Kernel bekannt, was dann heißen würde, dass sie wohl selbst einen Patch stricken müssten. Mit einem kleinen Patch ist es da aber wohl imho nicht getan, das sind vielmehr tiefgreifende Änderungen die besser etwas akribischer getestet werden sollten.

Auch gespannt bin ich auf die Reaktionen mancher User... Immerhin haben wir hier einen Mangel an der Hardware - zumindest, wenn dann tatsächlich eine Drosselung der Geschwindigkeit aus dem Patch resultieren sollte.

Iwo. Performanzeinbussen wird der normale Anwender kaum bemerken, da rödelt die CPU die meiste Zeit darauf, bis der Benutzer wieder die Maus anstubst. Wirkliche Performanzeinbussen gibt es bloss bei Kernel-Funktionsaufrufen, also vor allem bei I/O Geschichten wie disk access, networking, ...

Also ich sehe da bei NAS keine Probl... he, moment!

/s

 

[till213]

Ich hab den umbenannt, damit Meltdown und Spectre direkt über die Suche gefunden werden. Ich hatte eigentlich gedacht, das wird angezeigt. War jetzt nicht böse gemeint.

Hat definitiv geklappt, das mit der (google) Suche

Übrigens an alle nicht Intel-NAS-Besitzer (wie mich): zeitgleich mit Meltdown wurde auch (nur Stunden später) öffentlich die Existenz von "Spectre" bekannt: wie "Meltdown" (Intel only) beruht auch die auf einem Hardware-Bug, ebenfalls im Zusammenhang mit Optimistical Branch Execution (branch prediction) und wohl dem "timing"-Verhalten des caches. Allerdings ist Spectre nur "Prozess zu Prozess" (d.h. kein Kernel-Memory kann ausgelesen werden, was bei Meltdown effektiv der Fall ist, aber: viel aufwendiger zu fixen (wohl applikationsspezifisch?), exploits sind aber auch viel aufwendiger - dafür funktionieren sie auch auf AMD, und ARM wurde auch explizit genannt... (und ARM untersucht wohl auch noch, ob sie nicht doch auch Meltdown-gefährdet sind, zumindest partiell...).

Alle Details unter der URL, die bereits hier gepostet wurde.

 

[Theslowman]

Notiz für mich, mehr den guten alten Schreibblock benutzen, safety first : - )

 

[TaifunDB]

Aus meiner Sicht ist ein Fix auch auf Nas-Systemen notwendig. Und da sehe auch ich die Möglichkeit, dass der Fix recht deutlich an der Performance schraubt.

Die Intel-CPUs in den aktuellen NAS sind auch sicher betroffen, das Verwandschaftsverhältnis zu den Intel-PC-Prozessoren ist doch sehr eng.

Ich bin sehr gespannt. Ein kompletter Hardwareaustausch durch Intel bezahlt wird kaum kommen, aber auch VW hat gedacht, dass der Dieselskandal keine immensen Kosten produziert.

 

[whitbread]

Ich sehe diesen Bug bisher auf meiner NAS auch deutlich entspannter als beim Defekt der 15er-Reihe, zumal noch kein aktives Ausnutzen des Bugs bekannt ist. Mein PC macht mir bei diesem Bug deutlich mehr Bauchschmerzen.
Allerdings werden wir - wenn weitere Fakten vorliegen - selbstverständlich auch über Gewährleistung zu reden haben...

 

[Puppetmaster]

Ein kompletter Hardwareaustausch durch Intel bezahlt wird kaum kommen, aber auch VW hat gedacht, dass der Dieselskandal keine immensen Kosten produziert.

Kosten ja, aber kein einziger VW Fahrer hat ein neues Auto bekommen, oder? Es gab nur ein Software-Update welches den Verbrauch erhöht, und die Leistung reduziert hat...

 

[TaifunDB]

Kosten ja, aber kein einziger VW Fahrer hat ein neues Auto bekommen, oder? Es gab nur ein Software-Update welches den Verbrauch erhöht, und die Leistung reduziert hat...

Schau mal nach Amerika... und hier könnten wir die Amis ausquetschen.

 

[Puppetmaster]

Wir leben aber nicht unter amerikanischer Justiz.
Und soweit ich weiß hat auch dort niemand ein neues Auto bekommen, es gab nur Strafzahlungen.

 

[vater]

Ich stelle mir gerade vor, wie der ambitionierte Bösewicht eine Zeile zum deinstallieren des Patches vor seinen Schädling-Code schreibt, kurz mit den Axeln zuckt und weiter macht..
Aber das ist vermutlich nur in meiner naiven Vorstellung möglich.. =>

 

[Andy14]

Wenn der ambitionierte Bösewicht soviel rechte auf deinem System hat und Patches deinstallieren kann dann braucht er sich um solche Sicherheitslücken im System keine Gedanken mehr machen denn dann installiert er seine eigenen (Schad)Programme.

 

[till213]

Wenn der ambitionierte Bösewicht soviel rechte auf deinem System hat und Patches deinstallieren kann dann braucht er sich um solche Sicherheitslücken im System keine Gedanken mehr machen denn dann installiert er seine eigenen (Schad)Programme.

Tjahaa, Leute, aber ich glaube, die effektive Tragweite von Meltdown ist noch nicht überall vollends durchgedrungen: zugegeben, wenn man auf einem System root-Rechte bereits hat, sind alle Türen und Tore für Bösewichte bereits weit genug offen, um alle Schandtaten zu vollbringen, die ein kriminelles Herz aktuell so begehrt.

Aber: auch dem Benutzer root sind durch das Betriebssystem letzten Endes Grenzen gesetzt: nur der Kernel (des Betriebssystems) kann im CPU "Ring 0" operieren und folglich sind gewisse (RAM)-Speicherbereiche nur dem Kernel zugänglich (eben diejenigen, welche also "Ring 0 only" markiert sind).

Nicht mehr! Meltdown hebt diese Grenze auf (daher auch der Name "Meltdown": Kernel memory pages verschmelzen de facto mit "userspace" memory pages), d.h. ein userspace Prozess kann nun sämtliches - inklusive exklusives Kernel-memory - auslesen!

Wenn Ihr jetzt z.B. an "Cloud Computing" denkt und Euch vorstellt, dass dort jeder (auch nicht-root) "userspace" Prozess auf Speicher zugreifen kann, der in einer ganz anderen "virtuellen Box" läuft (Applikationen von anderen Cloud-Kunden, die ebenfalls gerade auf derselben physischen Maschine laufen), dann seit Ihr auf dem richtigen "kriminellen Wege", aber der Phantasie sind wohl auch hier noch keine Grenzen gesetzt...


Edith meint: Hier ist das ganze noch einmal ausführlicher erklärt: https://arstechnica.com/gadgets/201...odern-processor-has-unfixable-security-flaws/

 

[Andy14]

Wenn Ihr jetzt z.B. an "Cloud Computing" denkt und Euch vorstellt, dass dort jeder (auch nicht-root) "userspace" Prozess auf Speicher zugreifen kann, der in einer ganz anderen "virtuellen Box" läuft (Applikationen von anderen Cloud-Kunden, die ebenfalls gerade auf derselben physischen Maschine laufen), dann seit Ihr auf dem richtigen "kriminellen Wege", aber der Phantasie sind wohl auch hier noch keine Grenzen gesetzt...

Stimmt!!! gerade deshalb waren auch Microsoft,Amazon und Google schnell dabei um ihre Cloud Dienste "abzusichern".

Soweit ich das auf "theregister" richtig sehe sind für "Meltdown" (Die schwerwiegendere und deutlich einfacher auszunutzende Lücke) folgende Synologys (CPUs) anfällig
Bei Intel alle außer den D2700/D425/D525/D410/D510 Modellen.
Bei ARM die Modelle mit "Annapurna Labs Alpine". Wobei hier wohl "nur" Register aber kein Speicher ausgelesen werden kann.

Bei "Spectre" sind wohl die alten "Marvell Kirkwood" Modelle und die neuen "Realtek ARM 64bit" nicht betroffen.

edit: zu "PowerPC" CPUs finden sich keine Angaben, ist wohl zu sehr aus der Mode?

 

[XXBrain]

Hallo.

https://www.synology.com/de-de/support/security/Synology_SA_18_01

Die Liste ist erwartungsgemäß lang. Aber wieso fehlen u.A. die 214er in der Liste der betroffenen Geräte? Die Atome CE53xx sind ja angeblich auch betroffen und damit z.B. das 214play.

 

[Andy14]

Auf der Intel Seite sind die CE Atoms nicht aufgeführt und wenn ich das auf Wikipedia richtig sehe dann gehören die zu der nicht betroffenen "in-order" Bonnell Architektur.

 

[Lumix_216]

Heise (c't) "Analyse zur Prozessorlücke: Meltdown und Spectre sind ein Security-Supergau".

https://www.heise.de/newsticker/mel...ectre-sind-ein-Security-Supergau-3935124.html

 

[MrDisaster]

Hi Lumix_216,

dein Link ist leider defekt.

Das müßte dieser Beitrag bei Heise sein -->https://www.heise.de/newsticker/meldung/Analyse-zur-Prozessorluecke-Meltdown-und-Spectre-sind-ein-Security-Supergau-3935124.html

Gruß
Thomas

 

[Tatsuki]

Auf der Auflistung von Synology wird die DS414 nicht geführt. Diese hat laut Syno-wiki einen Marvell ARMADA XP CPU verbaut.
Ist diese CPU nicht betroffen oder wie soll man die Liste verstehen?
Finde leider auch keine Infos im Allgemeinen zu den Marvell CPUs im Netz...

Generell bin ich gespannt bis wann ein Patch/Update Seitens Synology released wird und vor allem wieviel Performance das ganze kosten wird...