[Eisfair] [e64] eiskernel 3.34.0 (Status 'stable') verfügbar - 3.16er Kernel für eisfair-64

Thomas Bork tom at eisfair.org
Fr Nov 16 21:02:58 CET 2018


Hi @all,

es ist eine Version 3.34.0 von eiskernel mit dem Status 'testing' für 
eisfair-64 verfügbar.

Achtung, es gibt inkompatible Änderungen durch entfernte 
Module/Funktionen, siehe unten!

Intern wird hierfür der Kernel 3.16.60 aus der Longterm-Kernel-Serie 
3.16 verwendet.

Siehe dazu:

https://www.kernel.org/category/releases.html

Der Kernel enthält die PTI-Patches. Diese sind bei uns aktiv, da die 
Implementation bei 64-Bit-Kerneln greift (im Gegensatz zu den 
32-Bit-Kerneln von eisfair-1).

https://de.wikipedia.org/wiki/Kernel_page-table_isolation

Es wird die Verwundbarkeit durch Spectre (v1/v2) in dieser 
Kernel-Version und mit Hilfe das gcc 8.1.1 vermindert.

https://de.wikipedia.org/wiki/Spectre_(Sicherheitsl%C3%BCcke)

Ausserdem ist ein Schutz gegen L1TF eingebaut.

https://www.heise.de/security/meldung/Linux-Kernel-und-Distributionen-schuetzen-vor-Prozessorluecke-Foreshadow-L1TF-4137264.html


Das sieht dann mit meiner CPU unter 64 Bit so aus:

eis64dev # uname -r
3.16.60-eisfair-64-VIRT
eis64dev # dmesg | grep -i spectre
[    0.011797] Spectre V2 : Mitigation: Full generic retpoline
[    0.011867] Spectre V2 : Spectre v2 / SpectreRSB mitigation: Filling 
RSB on context switch

eis64dev # ls -l /sys/devices/system/cpu/vulnerabilities/
total 0
-r--r--r-- 1 root root 4096 Nov  3 17:46 l1tf
-r--r--r-- 1 root root 4096 Nov  3 17:46 meltdown
-r--r--r-- 1 root root 4096 Nov  3 17:46 spec_store_bypass
-r--r--r-- 1 root root 4096 Nov  3 17:46 spectre_v1
-r--r--r-- 1 root root 4096 Nov  3 17:46 spectre_v2

eis64dev # cat /sys/devices/system/cpu/vulnerabilities/l1tf
Mitigation: Page Table Inversion

Unterstützung ist im Kernel. Die Gefahr wird abgemildert.

eis64dev # cat /sys/devices/system/cpu/vulnerabilities/meltdown
Mitigation: PTI

PTI für 64 Bit ist in unserem Kernel 3.16.60 aktiv.
Die Gefahr wird abgemildert.

eis64dev # cat /sys/devices/system/cpu/vulnerabilities/spec_store_bypass
Vulnerable

Wir sind verwundbar, wenn ein Intel-Prozessor im System steckt, für den 
es keinen neuen Microcode gibt oder wenn der Microcode nicht geladen 
wird, wenn eisfair-1 virtualisiert läuft.

eis64dev # cat /sys/devices/system/cpu/vulnerabilities/spectre_v1
Mitigation: __user pointer sanitization

Unterstützung ist im Kernel. Die Gefahr wird abgemildert.

eis64dev # cat /sys/devices/system/cpu/vulnerabilities/spectre_v2
Mitigation: Full generic retpoline

Der Kernel wurde mit einem gcc mit retpoline-Support gebaut. Die Gefahr 
wird abgemildert.


Dieser Kernel wird nur als VIRT-Variante angeboten. Aufgrund der 
Eigenschaften des 64-bit-Kernels sind verschiedene Varianten (SMP, PAE 
und VIRT) nicht mehr notwendig.

Dieses Kernel-Paket lässt sich auf allen Systemen mit normaler Hardware 
und laufendem Kernel 3.16.xx-eisfair-64-VIRT installieren.

Beim Update von einem älteren Kernel als 3.16.60-eisfair-64-VIRT aus 
wird *bei genügend Platz in /boot* ein lilo-Start-Eintrag für diesen 
Kernel erzeugt, wenn noch kein Backup unter /boot existiert, um 
problemlos diesen alten stabilen Kernel booten zu können. Beim Update 
von 3.16.60-eisfair-64-VIRT aus werden alle alten Kernel samt der 
Fallbacks gelöscht, wenn dieser Kernel den stabilen Status erreicht.

Zu den angegebenen eiskernel-Namen (z.B. 3.16.60-eisfair-64-VIRT) und 
den darin enthaltenen Versionen siehe [1].

Denkt daran, eventuell bei Euch installierte kernel-abhängige Treiber 
(z.B. die AVM- und Dahdi-Module) für diesen Kernel vorher zu 
installieren, da der Name sich geändert hat!


Änderungen zum stabilen eiskernel 3.32.0:
=========================================
- Name auf 3.16.60-eisfair-64-VIRT geändert
   (war 3.16.58-eisfair-64-VIRT).
- Alle Patches bis zu 3.16.60 integriert (war 3.16.58).
- Die Unterstützung für aufs wurde entfernt, denn diese kollidierte
   mit Sicherheitspatches.
- Die Unterstützung für ppp_mppe_mppc wurde entfernt, denn diese
   kollidierte mit Sicherheitspatches. MS-CHAPv2 ist seit 1999
   verwundbar, seit spätesten 2012 komplett geknackt.
   Die Entfernung des Patches macht es notwendig, dass sich User
   mit einer selbstgebastelten Lösung zur Einwahl mittels
   Windows-internem VPN eine Alternative suchen.


Dieses Paket bei https://pack-eis.de:
=====================================
VIRT: https://www.pack-eis.de/index.php?p=27810


Gleichzeitig wird wie gewohnt auch das Paket eiskernel-dev mit den 
Quellen passend zu diesem Kernel freigegeben.


Änderungen zum vorherigen stabilen eiskernel-dev 3.32.0:
========================================================
- Basiert auf 3.16.60 (war 3.16.58).
- Setzt installierten eiskernel 3.33.0 voraus.
- Lädt 3.16.60 herunter (war 3.16.58).
- Die Unterstützung für aufs wurde entfernt, denn diese kollidierte
   mit Sicherheitspatches.
- Die Unterstützung für ppp_mppe_mppc wurde entfernt, denn diese
   kollidierte mit Sicherheitspatches. MS-CHAPv2 ist seit 1999
   verwundbar, seit spätesten 2012 komplett geknackt.
   Die Entfernung des Patches macht es notwendig, dass sich User
   mit einer selbstgebastelten Lösung zur Einwahl mittels
   Windows-internem VPN eine Alternative suchen.


Dieses Paket bei https://pack-eis.de:
=====================================
https://www.pack-eis.de/index.php?p=27811


Der Kernel 3.16.60:
===================
https://git.kernel.org/pub/scm/linux/kernel/git/stable/linux-stable.git/log/?id=refs/tags/v3.16.60


[1]
Übersicht der 3.16er eiskernel-64-Pakete:
=========================================

eiskernel-Vers.|  eiskernel-Name    | Patchlevel Vanilla
______________________________________________________
3.34.0         | 3.16.60-eisfair-64 | 3.16.60
3.33.0         | 3.16.60-eisfair-64 | 3.16.60
3.32.0         | 3.16.58-eisfair-64 | 3.16.58
3.31.0         | 3.16.58-eisfair-64 | 3.16.58
3.30.1         | 3.16.57-eisfair-64 | 3.16.57
3.30.0         | 3.16.57-eisfair-64 | 3.16.57
3.27.0         | 3.16.56-eisfair-64 | 3.16.56
3.26.0         | 3.16.54-eisfair-64 | 3.16.54
3.25.0         | 3.16.54-eisfair-64 | 3.16.54
3.23.0         | 3.16.53-eisfair-64 | 3.16.53
3.21.0         | 3.16.50-eisfair-64 | 3.16.50


Ich danke allen Mitgliedern des Teams für Tests und Unterstützung und 
wünsche allen Anwendern weiterhin viel Spass mit eisfair!


Das Posting geht parallel an spline.eisfair und spline.eisfair.dev.
Produktive Rückmeldungen bitte an spline.eisfair.

-- 
der tom
[eisfair-team]


Mehr Informationen über die Mailingliste Eisfair