Ya... y para aplicarlo en su nube ha reiniciado Azure entero esta madrugada

Como sysadmin digo... QUEDAN INAUGURADOS LOS JUEGOS DEL HAMBRE

#2 Mis dies

Si yo fuese responsable de una agencia gubernamental supersecreta encargada de la guerra en el ciberespacio me montaría una película como esta para infiltrar mi código en el mayor número posible de ordenadores.

_{Como ya hice con el wannacry}

¿Está publicada ya la actualización? ¿Y al final se sabe algo de la mordida de rendimiento?

Me temo que los sysadmin van a tener hoy un día pero que muy movidito..

#7 segun google una de las vulnerabilidades afectan tanto a intel, como amd, como arm.

#5 a nivel de usuario:
www.computerbase.de/2018-01/intel-cpu-pti-sicherheitsluecke/#update2
www.phoronix.com/scan.php?page=news_item&px=x86-PTI-Initial-Gaming

#4 No lo veo ni conspiranoico del todo. Lo que está claro es que quienes usamos SO propietario estamos totalmente vendido. Y quienes usamos SO de código libre estamos parcialmente vendidos.

Veo que informan de que "Si cuentas con Windows 10 la actualización se instalará de forma automática", pero se han dejado el ", probablemente fallando ad eternum tras reiniciar".

#6 Lo más divertido está siendo que los principales proveedores de cloud como Google, AWS y Microsoft han decidido hacer hoy un mantenimiento de urgencia y han reiniciado practicamente la totalidad de su nube de golpe y porrazo.

#11 solo una, pero el impacto de rendimiento va a ser mínimo para AMD, eso dicen.

#10 Pues parece que el efecto es mínimo, a nivel de usuario, ¿no?

#12 Pues estoy contigo. Justo ahora con lo que - esta lloviendo - Corea del Norte, Rusia, China y no se cuantas cosas más se le pasen a Trump o a sus agencias por la cabeza...
Serán solo casualidades.

#11 amd jura y perjura que no, google dice que si bien es complicado, es probable.

meltdownattack.com/
Which systems are affected by Spectre?

Almost every system is affected by Spectre: Desktops, Laptops, Cloud Servers, as well as Smartphones. More specifically, all modern processors capable of keeping many instructions in flight are potentially vulnerable. In particular, we have verified Spectre on Intel, AMD, and ARM processors.

#16 primera respuesta: twitter.com/timgostony/status/948682862844248065

#4 No necesitan montar estos líos. La NSA "colabora" de manera sistemática y pública con los mayores fabricantes de software y hardware. La ley estadounidense regula que las compañías deben aceptar esta "colaboración" y mantener los detalles en secreto.

#11 Afectan a todos, en la prueba de concepto los procesadores de AMD también leakean información (o como se traduzca). Lo que no han conseguido todavía es un exploit que lo aproveche.

Cuánto nos va a costar esto? Van a quedar los precios de las nubes igual? Si hay un cambio de rendimiento del 10% o el 20% es un montón de electricidad extra que hay que pagar... ¿La va a pagar Intel?

¿Alguien tiene el enlace al parche de la KB para instalarlo offline?

Me auto contesto: twitter.com/martylichtel/status/948743146086780928

#19 Bonita subida del consumo. Mejor que comprar AMD, será invertir en eléctricas

#23 twitter.com/timgostony/status/948682862844248065 primera respuesta.

Instalada, Ai Suite no funciona, desinstalada.
Cuando todo este actualizado para funcionar con este parche lo instalare, hasta entonces no pienso tener problemas de compatibilidad

#21 googleprojectzero.blogspot.com.es/2018/01/reading-privileged-memory-wi
Ahí figuran ataques y sobre qué CPUs (Intel, AMD y ARM) probó Google cada ataque.

Nosotros de momento esta mañana todas las máquinas de azure dando por culo(y tenemos mas de 20) Reinicios y actualizaciones programados de urgencia, etc..

Y hoy era mi primer dia después de vacas....

#24 www.catalog.update.microsoft.com/Search.aspx?q=KB4056892

#1 +1 vaya mañanita nos estan dando...

#31 Te quejas con mas de 20? Yo tengo más de 250... menos mal que lo tenemos todo en HA y no está siendo traumático... pero te confirmo que Google y Amazon están haciendo lo mismo. Es grave de cojones

#32 Jajaja, aquí cada uno se queja de lo suyo a su escala

Creo que ya está ahora todo reiniciado y solo nos quedan alguna tonteria por revisar...

#15 Entonces ahora son más rápidos los AMD y a mitad de precio?

Para amenizar el tema, os imaginais alguien explicando esto en Moncloa?

A mí no me sale en windows update

#17 ¿Justo ahora con la que está lloviendo? En el mundo actual siempre está lloviendo.

#29 Ánimo. Yo como frontend estaré importunando a nuestros sysadmins

#14 A mí me llegó un aviso de AWS el día 14 de diciembre avisándome de que había una ventana de reinicio automática programada para mis instancias por una actualizaciónde seguridad entre el día 2 y el 3, lo que en ese momento no sabía era que se debía a este tema y tampoco investigué más. También decían que si reiniciabas las instancias manualmente la actualización quedaba aplicada y no sería necesario el reinicio automático. Para curarme en salud reinicié manualmente el día 31. Por lo que veo a altos niveles ya dispnían del parche y es ahora cuando lo están liberando al "gran público".

#16 de momento. "Microsoft acaba de liberar la primera de varias actualizaciones para solucionar la vulnerabilidad descubierta".

Lo que pasa es que no le veo sentido. Si esta actualización por sí sola no soluciona el problema, ¿por qué la lanzan "de emergencia"? Si soluciona el problema, ¿por qué necesitan otras actualizaciones?

#36 O mejor, en Bruselas, y de porque ha sido una cagada inmensa que Europa se haya dejado depender tecnológicamente de EEUU los últimos 30 años en lugar de potenciar el desarrollo de tecnologías de consumo propias.

#6 Los del corte inglés no tienen ese problema usan Windows XP. No tienen parche de seguridad.

#40 En Azure la actualización empezaba a partir de la semana que viene. Lo que han hecho ha sido decir "mejor no" y hacerlo esta noche para evitar problemas.

Hay un paper de Google aquí muy interesante (pero muy denso y complicado de entender) sobre como modifican la memoria desde una VM a otra cuando comparten procesador. googleprojectzero.blogspot.com.es/2018/01/reading-privileged-memory-wi

Errónea, no es de emergencia, lleva preparándose como mínimo desde Junio.

#41 Se me ocurre que es una solución que soluciona el problema pero reduciendo bastante el rendimiento del procesador.
Y después sacarán otra más elaborada que no afecte tanto al rendimiento.

Por no mencionar que son dos vulneravilidades, Meltdown y Spectre. La segunda es más compleja de aprovechar de forma maliciosa, y de momento no tiene parche alguno.
meltdownattack.com/

#39 jajaja

¿ningún abogado en la sala para preparar una colectiva y sacarles unos eurillos a Devil-Inside?

#18 Un par de variantes raras, dificiles de explotar, DE SPECTRE, si, faciles de paliar. Lo de meltdown, mas traumatico, no.

#43 ¡Anda! yo pensaba que en el Corte Inglés aún seguían con el Windows Neanderthal  

#36 "Es el admin el que elige el SO y es el SO el que quiere que sean los admin el SO" Fin de la cita.

#46 esa explicación parece plausible.

#9 hay dos vulnerabilidades,

la facil de reproducir, que es la que tiene el parche que hace a los equipos perder rendimiento, y que solo afecta a intel.

la segunda es la que aun se esta estudiando , no tiene por supuesto remedio y segun google podria afectar ademas de los de intel, algunos procesadores de amd y arm, arm ha admitido que tiene una gama vulnerable, mientras amd se mantiene en la posicion de decir que sus procesadores no son vulnerables vajo los ataques conocidos basados en esos bugs de intel.

#41 porque es un capado de rendimiento

p.d. que alguien le diga a angelito magno que me tiene en ignore, que si afecta porque es a nivel de hw, asi que cualquier procesador de intel es vulnerable,

#42 Realmente, Europa no necesita más tecnología de consumo, más bien necesita tener al menos una fábrica de procesadores.

#41 en programacion la perfeccion no existe, solo cuando te has equivocado varias decenas de veces consigues algo decente

Lo que sospeche ayer por la tarde. El windows update me descargo una actualizacion de 1 Gb y estuve toda la tarde sin internet y sin poder trabajar porque me chupaba todo el ancho de banda la actualizacion

#54 to #46

#57 No parece que tengas mucho ancho de banda. De todas formas, esto tal vez sea menos traumático para los usuarios de GNU/Linux.

#14 ¿también afecta a las mv? Se supone que azure usa una especie de hyperv y hyperv es un hipervisor de nivel 1 por lo que el parche debería ser suficiente en el s.o. host.
Eso me hace pensar que también afecta a vti/vtx y es mucho más gordo el problema de lo que dicen.

#60 Afecta a las VMs... pero si el host está parcheado en principio no podrán explotarlo nada más que en tu máquina y si ya tienen acceso y permisos de ejecución... estás jodido.

youtu.be/0_6FFDm_8nM
Para todo aquel que quiera una explicación amena sobre lo sucedido.

Como fiel usuario de AMD desde los K6 II y que nunca se ha tragado el marketing de Intel, no pienso instalar esas guarradas de actualizaciones en mis máquinas.

#61 por suerte no hay usuarios locales, son servicios de consulta, vamos que no se ejecuta nada que yo no instale y el acceso es por vpn, no tengo ips públicas.

#64 Me refería a que para poder usar este ataque, necesitan ya estar dentro de la máquina y tener permisos de ejecución.

#38 Eso está muy bien, osea, queda muy bien pero, ¿a qué te refieres? ¿No es este momento más propicio que alguno del pasado?

#22 leakean

#16 Por lo que he leído, el problema se produce al llamar al kernel desde el espacio de usuario. Por lo tanto, programas que realicen muchas llamadas al sistema (servidores, bases de datos, todo lo que lleve mucha E/S) sufrirían una fuerte pérdida de rendimiento, mientras que aquellos que se centren más en computación (juegos, cálculo científico, etc.) no sufrirían apenas pérdidas.

#65 por suerte no.
Igualmente en mi maquina personal me he creado una instancia de kvm con emulación completa de CPU (sin usar las extensiones de vt-x) para ejecutar el navegador, 512Mb y una cpu de 32bits para ejecutar Chrome a través de ssh por si atacan por javascript

#28 ¿sabes porqué comparan procesadores xeon de servidor de Intel vs procesadores de usuario de AMD?


Intel(R) Xeon(R) CPU E5-1650 v3 @ 3.50GHz (called "Intel Haswell Xeon CPU" in the rest of this document)
AMD FX(tm)-8320 Eight-Core Processor (called "AMD FX CPU" in the rest of this document)
AMD PRO A8-9600 R7, 10 COMPUTE CORES 4C+6G (called "AMD PRO CPU" in the rest of this document)
An ARM Cortex A57 core of a Google Nexus 5x phone [6] (called "ARM Cortex A57" in the rest of this document)

#67 Llevo despierto desde las 5 de la mañana, la neurona no da para más. Filtran/escupen/muestran también valdría.

¿Me van a bajar los FPS?

#39 Como frontend inoportunas a todo el mundo en la informática.

#5 Experiencia personal que estoy viviendo ahora mismo: una instancia linux de AWS que hasta hace 2 días iba justita en algún momento pero resolvía sin problema lleva desde las 9:30 de la mañana al 100% de CPU, estamos flipando. Tenemos la esperanza de que sea también tema de algún reajuste interno de AWS por todo este follón, pero si no mejora nos puede obligar a redimensionar la instancia a la siguiente en potencia que nos supone el doble de coste por lo que he calculado, es una pasada.

Si no quiero el update?

#70 Creo que solo han visto/localizado qué micros eran susceptibles por su arquitectura al nuevo ataque de timing, sin importar la orientacion del micro (igual que con los ARM).

#76 Aun así me parece un tanto deshonesta esa forma de comunicar. Sobre todo porque se ha demostrado que la hostia de rendimiento por el parche se lo lleva en la parte de servidores, que a los PCs orientados al usuario casi no se nota. Una más de esparcir mierda.

#56 Con el puto movil te vote negativo sin querer, te compenso en otros 2 comentarios.

#75 Pues, a no ser que tengas la versión Enterprise, la respuesta es:
 

#53 Segun redhat:

There are 3 known CVEs related to this issue in combination with Intel, AMD, and ARM architectures. Additional exploits for other architectures are also known to exist. These include IBM System Z, POWER8 (Big Endian and Little Endian), and POWER9 (Little Endian).

#49 al reves, Spectre no tiene fix, meldown aun doloroso, si.

#79 fuck!

#46 Y la segunda afecta a AMD.

#82 Para ser sincero el fallo me parece lo bastante grave y la perdida de rendimiento lo bastante pequeña como para instalar el parche y no preocuparme más del asunto.

#80 AMD está haciendo propaganda y confundiendo. Porque todos los independientes han afirmado que si les afecta.

#85 y lo esta haciendo muy bien!

#72 www.computerbase.de/2018-01/intel-cpu-pti-sicherheitsluecke/#update2 no.

#84 twitter.com/timgostony/status/948682862844248065 primera respuesta.

#1 Con tu comentario se nota que eres un sysadmin de palo...

Azure están reiniciándolo por fases, por zonas geográficas y por semanas. Esta semana puedes reiniciar tú las MVs de Azure si aplicas el parche por tu cuenta para planificar tú el mantenimiento, pero eso que acabas de decir es el comentario de un BOFHer cualquiera.

#89 Perdona, yo iba a realizar un reinicio controlado esta mañana (el mantenimiento teórico empezaba el día 8 ) y nos lo han adelantado 5 días. Tengo MV en tres regiones geográficas y me las han reiniciado en las 3 (no todas eso si).

No hemos tenido problemas porque esta todo muy bien diseñado, pero la realidad es que está claro que han hecho un mantenimiento de urgencia y que han preferido adelantarlo por lo que pudiera pasar. Y se de gente que le han hecho lo mismo en AWS y en GCP.

Para los que necesitéis offline la actualización para la versión Windows 10 "Anniversary Update" (v1607):

www.catalog.update.microsoft.com/Search.aspx?q=KB4056890

Salu2

#26 Eso no responde quién paga el pastel.

#81 Y dale, spectre, variante 1, creo, en AMD te basta con desabilitar BPF JIT. Meltdown NO AFECTA a AMD.

#93 y donde he dicho yo que Meltdown afecte a amd? yo he dicho que Meltdown aun doloroso tiene fix, mientra que spectre no.

#92 el que tenga vps que antes andaban justos para sus necesidades.

#81 googleprojectzero.blogspot.com.es/2018/01/reading-privileged-memory-wi

www.amd.com/en/corporate/speculative-execution

Variantes 1 y 2 == Spectre ( afectan a AMD y son raros, dificiles de aplicar salvo el que usa BPF JIT, basta con desabilitar eso -es una feature de kernel pa jitting de reglas de trafico de red en el firewall- )
Variante 3 == Meltdown ( NO AFECTA A AMD, es el que requiere la CHAPUZA de mapeos de memoria dicotomicos user vs kernel+user, es el que afecta al rendimiento ).

#81 Del link anterior, en #96:

Y en resumen: AMD chequea los privilegios ANTES de acceder a memoria en ejecucion especulativa.  

He descargado la herramienta de Intel y dice que mi procesador no está afectado. Es un i7 4720hq. Ahora no sé si creérmelo o no. ¿Hay alguna lista de procesadores afectados?

#41 porque no es un error en una línea de código, esto implica rediseñar parte del nucleo de los sistemas operativos

Y llevará meses,


han lanzado la primera de muchas actualizaciones para ir solventando el problema

En macOS lo hicieron hace un mes y ahora ya está lista para salir la siguiente tanda

iphone.appleinsider.com/articles/18/01/03/apple-has-already-partially-

#89 #1 Pues ha debido tocar Madrid, España...porque esta noche a partir de las 0330...las máquinas Azure han ido cayendo una detrás de otra sin previo aviso.
Y nuestros técnicos de guardia...han dormido poco...más que nada para ir levantando máquinas, revisando aplicativos, bbdds y cagandonos en sus muertos (20 máquinas hasta las 0700 más las de desarrollo e integración que no se monitorizan de noche)

Saludos