Feb 152018

The recently disclosed Spectre and Meltdown CPU vulnerabilities are some of the most dramatic security issues in the recent computer history. Fortunately even six weeks after public disclosure sophisticated attacks exploiting these vulnerabilities are not yet common to observe. Fortunately, because the hard- and software vendors are still stuggling to provide appropriate fixes.

If you happen to run a Linux system, an excellent tool for tracking your vulnerability as well as the already active mitigation strategies is the spectre-meltdown-checker script originally written and maintained by Stéphane Lesimple.

Within the last month I set myself the target to bring this script to Fedora and EPEL so it can be easily consumed by the Fedora, CentOS and RHEL users. Today it finally happend that the spectre-meltdown-checker package was added to the EPEL repositories after it is already available in the Fedora stable repositories since one week.

On Fedora, all you need to do is:

dnf install spectre-meltdown-checker

After enabling the EPEL repository on CentOS this would be:

yum install spectre-meltdown-checker

The script, which should be run by the root user, will report:

    • If your processor is affected by the different variants of the Spectre and Meltdown vulnerabilities.
    • If your processor microcode tries to mitigate the Spectre vulnerability or if you run a microcode which
      is known to cause stability issues.
    • If your kernel implements the currently known mitigation strategies and if it was compiled with a compiler which is hardening it even more.
    • And eventually if you’re (still) affected by some of the vulnerability variants.
  • On my laptop this currently looks like this (Note, that I’m not running the latest stable Fedora kernel yet):

    # spectre-meltdown-checker                                                                                                                                
    Spectre and Meltdown mitigation detection tool v0.33                                                                                                                      
    Checking for vulnerabilities on current system                                       
    Kernel is Linux 4.14.14-200.fc26.x86_64 #1 SMP Fri Jan 19 13:27:06 UTC 2018 x86_64   
    CPU is Intel(R) Core(TM) i5-5200U CPU @ 2.20GHz                                      
    Hardware check                            
    * Hardware support (CPU microcode) for mitigation techniques                         
      * Indirect Branch Restricted Speculation (IBRS)                                    
        * SPEC_CTRL MSR is available:  YES    
        * CPU indicates IBRS capability:  YES  (SPEC_CTRL feature bit)                   
      * Indirect Branch Prediction Barrier (IBPB)                                        
        * PRED_CMD MSR is available:  YES     
        * CPU indicates IBPB capability:  YES  (SPEC_CTRL feature bit)                   
      * Single Thread Indirect Branch Predictors (STIBP)                                                                                                                      
        * SPEC_CTRL MSR is available:  YES    
        * CPU indicates STIBP capability:  YES                                           
      * Enhanced IBRS (IBRS_ALL)              
        * CPU indicates ARCH_CAPABILITIES MSR availability:  NO                          
        * ARCH_CAPABILITIES MSR advertises IBRS_ALL capability:  NO                                                                                                           
      * CPU explicitly indicates not being vulnerable to Meltdown (RDCL_NO):  UNKNOWN    
      * CPU microcode is known to cause stability problems:  YES  (Intel CPU Family 6 Model 61 Stepping 4 with microcode 0x28)                                                
    The microcode your CPU is running on is known to cause instability problems,         
    such as intempestive reboots or random crashes.                                      
    You are advised to either revert to a previous microcode version (that might not have
    the mitigations for Spectre), or upgrade to a newer one if available.                
    * CPU vulnerability to the three speculative execution attacks variants
      * Vulnerable to Variant 1:  YES 
      * Vulnerable to Variant 2:  YES 
      * Vulnerable to Variant 3:  YES 
    CVE-2017-5753 [bounds check bypass] aka 'Spectre Variant 1'
    * Mitigated according to the /sys interface:  NO  (kernel confirms your system is vulnerable)
    > STATUS:  VULNERABLE  (Vulnerable)
    CVE-2017-5715 [branch target injection] aka 'Spectre Variant 2'
    * Mitigated according to the /sys interface:  YES  (kernel confirms that the mitigation is active)
    * Mitigation 1
      * Kernel is compiled with IBRS/IBPB support:  NO 
      * Currently enabled features
        * IBRS enabled for Kernel space:  NO 
        * IBRS enabled for User space:  NO 
        * IBPB enabled:  NO 
    * Mitigation 2
      * Kernel compiled with retpoline option:  YES 
      * Kernel compiled with a retpoline-aware compiler:  YES  (kernel reports full retpoline compilation)
      * Retpoline enabled:  YES 
    > STATUS:  NOT VULNERABLE  (Mitigation: Full generic retpoline)
    CVE-2017-5754 [rogue data cache load] aka 'Meltdown' aka 'Variant 3'
    * Mitigated according to the /sys interface:  YES  (kernel confirms that the mitigation is active)
    * Kernel supports Page Table Isolation (PTI):  YES 
    * PTI enabled and active:  YES 
    * Running as a Xen PV DomU:  NO 
    > STATUS:  NOT VULNERABLE  (Mitigation: PTI)
    A false sense of security is worse than no security at all, see --disclaimer

    The script also supports a mode which outputs the result as JSON, so that it can easily be parsed by any compliance or monitoring tool:

    # spectre-meltdown-checker --batch json 2>/dev/null | jq
        "NAME": "SPECTRE VARIANT 1",
        "CVE": "CVE-2017-5753",
        "VULNERABLE": true,
        "INFOS": "Vulnerable"
        "NAME": "SPECTRE VARIANT 2",
        "CVE": "CVE-2017-5715",
        "VULNERABLE": false,
        "INFOS": "Mitigation: Full generic retpoline"
        "NAME": "MELTDOWN",
        "CVE": "CVE-2017-5754",
        "VULNERABLE": false,
        "INFOS": "Mitigation: PTI"

    For those who are (still) using a Nagios-compatible monitoring system, spectre-meltdown-checker also supports to be run as NRPE check:

    # spectre-meltdown-checker --batch nrpe 2>/dev/null ; echo $?
    Vulnerable: CVE-2017-5753

    I just mailed to Stéphane and he will soon release version 0.35 with many new features and fixes. As soon as it will be released I’ll submit a package update, so that you’re always up to date with the latest developments.

    Sep 182007

    This information is for all of you quite boring I know, but it is a happy thing for me. Finally my Xen domain, where I am hosting this Web site, has its own static public IP ( Now I am ready for running all possible Internet services depending how I feel like. My first plan will be an own mail server with qmail. I am open about some tricks and hints about this. I eventually also found a domain name that suits for this site. When I do not change my mind again, the blog will be soon available under http://www.linuxmonk.ch.

    There is a lot changing in my life at the moment so stay tuned for some more news later…

     Posted by at 16:05
    Jun 272007

    Finally I’m back once more 😉 . While I was in military service my Zyxel modem suddenly refused to work with my fli4l router what caused me to switch the modem into router mode and this made it impossible to further access my Web server. That’s the reason for the downtime. It’s very embarrassing that I only write into my blog when there was a service failure before. But this time this should change!

    I moved my Web site from my home server to a machine in a hosting center. Together with some friends we were sharing a physical machine with different Xen domains. Generally I did a lot of work with Xen recently therefore I hope to enjoy you with some tricks about it soon. In my Xen domain the new Debian 4.0 Etch is running. With help of debootstrap it is installed in a few minutes. By the way… does someone know the successor of the base-config program in the earlier versions?

    Anyway I hope that the site can stay here for a while and you will come back when there are some more news.

    Sep 102006

    An den verschiedensten Enden gab es in letzter Zeit Neuigkeiten über den Open Source Internet Browser Firefox. Um die schlechte Nachricht schon einmal vorwegzunehmen, der Releasetermin von Firefox 2.0, welcher im August 2006 angesetzt war, konnte nicht eingehalten werden. Dafür hat sich die Oregon State University Linux User Group etwas einfallen lassen und einen Kornkreis in Form des Firefox Logos getrampelt.

    Auch die Leute bei Mozilla selber sorgen dafür, dass das Warten auf die nächste Firefox Version nicht langweilig wird und verspricht jedem Firefox Benutzer, der noch bis am 15. September einen Neubenutzer gewinnen kann, dass deren Namen in der 2.0 Version des Programms verewigt wird. Damit sich nicht nur die Verbreitung des Browsers sondern auch dessen Kundennähe vergrössert, wurde im August eine Umfrage über die gewünschten Features anderer Browser durchgeführt. Die Auswertung ergab als wünschenswertesten Punkt eine integrierte PDF Engine wie im Apple Safari.

    Dass sich das Projekt auf dem richtigen Weg befindet, zeigte im Juli der 200 Millionste Download von Firefox. Computerbase zeigt schliesslich, dass er nicht nur heruntergeladen, sondern vor allem von interessierten Computerbenutzern rege genutzt wird. Mit knapp 57% kann sich der Open Source Browser recht deutlich gegen den Microsoft Internet Explorer (35%) und Opera (6%) durchsetzen.

    Und als richtiges Schmankerl zum Schluss gibt jetzt auch noch die Firefox 2.0 Beta 2. Erstmals sind jetzt auch Änderungen in der grafischen Oberfläche sichtbar. Für die neue Version wurde ein neues Theme erstellt. Neue glossy-like Icons, sowie Tabs, die schattiert werden, wenn sie im Hintergrund sind, soll die Übersicht verbessern. Hie und da sind aber nach meinem Geschmack noch einige Verbesserungen anzubringen. Wie schon früher erwähnt, besitzt jedes Tab einen eigenen Close-Button. Beim Starten wird zudem gefragt, ob man die Tabs der letzten Sitzung wieder herstellen soll. Die RSS Integration sowie das Extensions (neuerdings “Add-ons”) Menu wurden überarbeitet. Etwas sehr sinnvolles Neues ist die Rechtschreibeprüfung für Eingabefelder in Webseiten. Bisher hatte ich noch keine Probleme mit der Beta 2 und so kann ich allen, die schon jetzt die neuen Features ausprobieren wollen, empfehlen, diese Version zu installieren. Sonst bleibt nur das Warten auf den nächsten offiziellen Releasetermin, welcher nun auf den 24. Oktober lautet.

    Aug 072006

    Heute hatte Steve Jobs seinen grossen Auftritt an der alljährlichen Apple Worldwide Developers Conference (WWDC 2006). Dabei wurde der Nachfolger des Apple Flaggschiffs PowerMac, der Mac Pro vorgestellt. Ab CHF 3599.- gibt es eine Dual Intel Xeon 2.66 GHz “Woodcrest” (neue Core Architektur!) Workstation mit 1GB DDR2-667MHz Arbeitsspeicher und einer Nvidia Geforce 7300 GT Grafikkarte. Ebenfalls vorgestellt wurden einige Details zum Mac OS X 10.5 Leopard, welches im Frühjahr 2007 ausgeliefert werden soll. So gibt es neu beispielsweise einen automatischen Backup-Mechanismus “Time Machine”, eine virtuelle Desktop-Verwaltung “Spaces” sowie diverse Updates zu bereits bekannten Apple Programmen wie Mail, iChat, Dashboard, Photo Booth, Front Row und Spotlight.

    Ich bin ja eigentlich schon ein OS X Fan, seit ich mein erstes Apple iBook gekauft habe und mit jeder neuen Version von OS X, werde ich überzeugter. Microsoft versucht durch Biegen und Brechen ein völlig neues Betriebssystemgefühl zu kreieren. Doch leider haben sie sich zünftig übernommen (computerbase.de: Microsoft gibt Fehler bei Vista-Entwicklung zu). Apple dagegen schafft durch konstante Evaluation, Entwicklung und Verbesserungen das optimale System für alle normalen Computeranwender. Wann merken die das endlich?

    Quelle: mactechnews.de: WWDC 2006 Live Ticker

    Update – 9. August 2006: Nun ist auch die Keynote der WWDC 2006 online. Anklicken und Zurücklehnen… Auch Apple macht sich übrigens recht ausdrücklich lustig über Windows Vista. Das darf man nicht verpassen!

    Jul 132006

    Die kürzlich gefundene Kernel-Schwachstelle CVE-2006-2451 der Kernel >2.6.13 und < und <, wodurch ein entfernter Angreifer root-Privilegien erhalten kann, wurde am prominenten Beispiel des Debian Entwicklungsservers Gluck demonstriert. Dank der schnellen Reaktion der Administratoren wurde nur /bin/ping komprimitiert. Sonst wurden noch keine veränderten Daten/Packete oder Programme entdeckt. Das zeigt wieder einmal, dass man als Administrator gut dran tut seine Kernelversionen aktuell zu halten und die Maschinen genau zu überwachen.

    Quelle: debian.org: Debian Server restored after Compromise

    Update – 7. August 2006: Für alle, welche noch einen der betroffenen Kernel auf einem produktiven System einsetzen, der Standardkernel (2.6.8) von Debian Sarge ist übrigens nicht betroffen, gibt es ein Workaround: Mitigating against recent GNU/Linux kernel bugs

    Jun 282006

    Vielleicht ist es schon jemandem aufgefallen. Ganz unten auf der Seite ist eine Statuszeile von Spam Karma 2 einem Programm, welches dieses WordPress-Blog von ungewollten Einträgen schützt. Seit ich dieses SK2 Plugin vor genau einer Woche installiert habe, sind jetzt sage und schreibe bereits 124 Spam Einträge gefiltert worden. Nein, ich habe definitiv keine Lust, dass jemand auf meiner Seite mit zwielichtigen Sachen wirbt. Die geposteten Links müssen aber nicht immer nur auf Werbeangebote führen. Im schlimmeren Fall haben sie auf ihrer Zielseite Code eingebaut, um durch eine Browserschwachstelle ungewollte Programme zu installieren. Ich möchte nicht unerwähnt lassen, dass der Internet Explorer immer noch Angriffsziel Nummer eins ist und daher nicht als bevorzugter Browser gewählt werden sollte. Diese Spameinträge werden dann schliesslich auch von solchen ungewollten Programmen gemacht, sogenannten Spam Bots. Das macht die Filterung relativ einfach. Beispielsweise wird auf die Zeit geschaut, welche verstreicht nach dem Aufrufen der Seite bis zum Abschicken des Kommentars. Nun kommen wir aber zum eigentlichen Problem, nämlich der Ursache dieser Bots. Und schon sind wir wieder einmal bei Windows angelangt. Leider ist dieses Betriebssystem für die meisten Benutzer so einfach zu bedienen, dass sie keine weiteren Ansprüche stellen sich tiefer mit der Materie auseinander zu setzen, was bei Windows leider eindeutig nötig wäre… hier haben wir jetzt den Mist. Merci

    Mar 232006

    Die von mir am meisten verwendete Applikation ist in einer neuen Alphaversion erschienen. Die implementierten Änderungen betreffen bisher vor allem das Back-end betreffend der History und den Bookmarks des Browsers. Die auffälligste Änderung für den Benutzer sind die separaten “Close”-Buttons an den einzelnen Tabs. Laut der Firefox 2.0 Roadmap will man die finale Version etwa mitte Sommer herausbringen. Bis dahin ist also noch viel Zeit. Wer sich schon jetzt über die zu erwartenden Neuerungen informieren will, kann das in der Firefox 2 Features-Liste machen. Leider wurde aber der verbesserte Downloadmanager bereits wieder von der Liste gestrichen. Wer sich nun bereits an das Preview wagen will (ich habe es natürlich schon längst getan), kann sich die passende Version vom Mozilla FTP herunterladen. Da dies die erste Version des 2.0 Zweigs ist, ist zu beachten, dass leider sämtliche Extensions noch nicht funktionieren.

    Quelle: mozillazine.org: Bon Echo Alpha 1 Available

    Feb 262006

    Hallo zäme

    Ah, endlich hanis gschafft. Öppe eis Jahr nach mim erschte Versuech, chum ig wider mit emene Blog-/News- und Knowledgebase-System online. Das ganze wird sech i ständiger Entwicklig befinde und hoffentlech ab und zue ou mau öppis interessants für dr eint oder ander vo öich parat ha.

    Viu Spass wünscht dr


     Posted by at 03:03