Wie werden die Bios Microcode Updates unter Suse verteilt ?

Sorry, das sollte jetzt keine Beleidigung sein. Ich schätze dein Linux-Wissen sehr!

Die Carola hat mich gefragt und ich antworte so gut ich kann.

Diese 3 CPU-Befehle IBPB, STIBP und IBRS stecken in dem neuen Intel-CPU-Microcode 20180108.
Die werden aber nicht benutzt, weil unter Linux das bessere Return Trampoline (Retpoline) gegen Spectre v2 verwendet wird. Bei den AMD-CPUs ist es genauso (AMD Retpoline).

Microsoft Windows setzt auf Indirect Branch Control (IBC), die wiederum neue CPU-Funktionen namens IBPB, IBRS und STIBP benötigt.

Zitat von Sauerland

Der Microcode wird benutzt. Sonst hätte es ja keine Probleme damit gegeben.

Der CPU-Microcode wird benutzt, aber eben nicht die 3 neuen CPU-Befehle, die fehlerhaft in ucode-intel 20180108 stecken. Deswegen rät Intel von der Benutzung ab.
newsroom.intel.com/wp-content/uploads/sites/11/2018/02/microcode-update-guidance.pdf

Zitat von Intel microcode-update-guidance

STOP deploying these MCU revs:
• Intel recommends to discontinue using these select versions of MCU that were previously released with mitigations for Variant 2(Spectre) due to system stability issues.

MS-Windows verwendet kein Retpoline sondern Indirect Branch Control und ist daher bei Spectre v2 auf die neuen CPU-Befehle wirklich angewiesen.
Das kann man alles im Internet nachlesen. Es gibt viele Webseiten, die das alles sehr gut beschreiben und diese Links z.B. geben.

openSUSE hat bei mir heute per Update-Repo einen neuen Intel-Microcode installiert. Den brauche ich natürlich nicht, weil ich AMD habe.

# zypper info ucode-intel
Loading repository data...
Reading installed packages...




Information for package ucode-intel:
------------------------------------
Repository     : Hauptaktualisierungs-Repository               
Name           : ucode-intel                                   
Version        : 20180108.revertto20170707-19.1                
Arch           : x86_64                                        
Vendor         : openSUSE                                      
Installed Size : 2.5 MiB                                       
Installed      : Yes (automatically)                           
Status         : up-to-date                                    
Source package : ucode-intel-20180108.revertto20170707-19.1.src
Summary        : Microcode Updates for Intel x86/x86-64 CPUs   
Description    :                                               
    This package contains the microcode update blobs for Intel x86 and x86-64 CPUs.

Für die Leute, die glauben, dass ihnen durch dieses Downdate etwas wertvolles gestohlen würde, soll dies als Warnung dienen.

Hallo Agnes,

habe ebenfalls heute das Update erhalten - verbaut ist jedoch eine Intel CPU.
Was mich mal interessieren würde:
Ich habe vor einiger Zeit "ucode-amd" deinstalliert (da Intel im Einsatz).
Demnach erhalte ich auch keine AMD-Updates (so, der Plan).

Du hast doch bestimmt noch die letzte Version von "ucode-intel" installiert gehabt, oder?
zypper se -si ucode-intel

Wenn ja - warum bei einer AMD CPU?
Falls nicht - warum hast du dann dieses Update erhalten?

LG sterun

Zitat von sterun

Hallo Agnes,

habe ebenfalls heute das Update erhalten - verbaut ist jedoch eine Intel CPU.
Was mich mal interessieren würde:
Ich habe vor einiger Zeit "ucode-amd" deinstalliert (da Intel im Einsatz).
Demnach erhalte ich auch keine AMD-Updates (so, der Plan).

Du hast doch bestimmt noch die letzte Version von "ucode-intel" installiert gehabt, oder?
zypper se -si ucode-intel

Wenn ja - warum bei einer AMD CPU?
Falls nicht - warum hast du dann dieses Update erhalten?

LG sterun

Alles anzeigen

Hi sterun,

da fragst du leider die Falsche, warum ucode-intel auch bei AMD-CPUs installiert wird.
Ich würde mich aber sehr freuen, wenn sich noch ein Gesprächspartner zum Thema findet. Das hatte ich hier schon mal geschrieben: www.opensuse-forum.de/thread/39837-kurze-frage-zu-ucode-intel/?postID=117910#post117910

Alles, was ich zu Meltdown v3, Spectre v1 und Spectre v2 weiß, habe ich nur im Netz gelesen. Aber sicher hat nicht Jeder die Zeit und das Interesse dafür, das kann ich verstehen.
Das ucode-intel Update von gestern habe ich erhalten (siehe Beitrag 26), und ich erhalte neben ucode-amd auch alle Updates von ucode-intel automatisch.

Irgendwann wird Intel ja den neuen CPU-Microcode fertig haben, und dann wird er auch per Update in openSUSE verteilt. Konkrete Anwendungen für die 3 neuen Intel-CPU-Befehle (IBPB, STIBP und IBRS) soll es unter Linux geben, wenn in einer Virtuellen Maschine MS-Windows läuft, das darauf wegen Spectre v2 zwingend angewiesen ist. Unter MS-Windows gibt es kein Return Trampoline (Retpoline) sondern Branch Target Injection. Diesen (BTI) Patch "Intel-Code" oder auch Indirect Branch Speculation genannt hatte Intel bereits Linus Torvalds vorgelegt. Linus' Stellungnahme dazu findest du hier: lkml.iu.edu/hypermail/linux/kernel/1801.2/04628.html

Diese Fragen habe ich schon mehrmals beantwortet.
Nur wollen das manche nicht glauben.
Also zum zigsten Male:

• Intel und AMD geben ihre Microcode Patches NUR an OEMs (OriginalEquipmentManufacturer) heraus. Und an so Grupppen, wie Linux, RedHat und solche Firmen. NIEMALS an Endkunden. Und wir hier sind Endkunden. Sonst nichts.
• Microcode Patches kann man sowohl direkt in die Hardware flashen (so der Hersteller die Firmwareupdates bereitstellt), oder
• vor dem eigentlichen Betriebssystemkernladen von irgendeiner Partition holen. Und das macht Linux. (Es ändert dazu in /boot die initrd und Konsorten).
• Die Patches, die Linux zur Verfügung gestellt werden, KÖNNEN (und werden meist auch) von den Distris gepackt und dann auf an deren User ausgeliefert.
  Das KANN Teile von Intels Patch enthalten, MUSS es aber nicht.
• Intel und AMD Patches sind von Linux Patches VÖLLIG verschieden, auch wenn viele sie für das gleiche halten (und sogar verwirrenderweise manchmal sogar fast gleich sind.)
• ALLE Desktop Prozessoren -egal ob von Intel oder AMD - verwenden den Microcode von AMD namens amd64.
  Der Microcode von Intel ist für XEON Prozessoren, und für sonst nichts.
  Nachdem Intel vor Jahren die Xeon Reihe eingeführt hatte, wollten sie diesen Befehlssatz auf dem Markt durchdrücken und haben deshalb ihren Befehlsatz für die "normalen x_86 Prozessoren etwas vernachlässigt. Der Markt reagierte prompt und schwenkte sofort auf AMD um. Da der Microcode amd86 eh besser war, schwenkte Intel daraufhin auch auf diesen Microcode um. Es gibt heute NUR noch Desktoprozessoren der X_86- Gattung mit amd86.
  Oder eben Xeon, was aber eine komplett andere Baustelle ist.
• Dass mache Distributionen, wie openSUSE zu schnell ein Microcodeupdate mit den Patches von Intel ausgeliefert haben, die dann schnell zurückgezogen wurden, ist typisch. Debian war da viel klüger. Aber auch dieses Desaster wurde sofort wieder ausgebügelt. Das betraf auch nur EINIGE Kombis von Board und Prozessor. Es war immerhin sehr lobenswert, dass die Jungs versucht haben, sofort das Update zu liefern. Und sofort nach Bekanntwerden der neuen Bugs, wiederum sofort ein Update bereitstellten, was das vorherige Update wieder eliminierte.
• LASST EINFACH DIE FINGER VON DIESEM ZEUCHS. IHR KRIEGT ES SO- ODER SO ALS UPDATE.
• Wer nicht hinlangt, tappt nicht in solche Stolperfallen.

Diesen ganzen Sermon schrieb ich schon anfangs, und wieder und wieder.
Lasst es doch endlich einfach gut sein.

Das lesen hier auch andere, die sich dann von dieser sinnlosen Hektik evtl. auch noch anstecken lassen, und doch rumpfrimmeln.

Diese Lücken wirklich zu schließen, wird Jahre dauern.
Wo es relevant ist, wie z.B. Chromium, wurde längst reagiert.
Die Latte, diese Bugs auszunutzen, liegt schon sehr hoch. Und mit den bereits erfolgen Patches sind auch die schlimmen Chromium Dinger gefixt.

Augen zu und Bier trinken!