Ubuntu Suomen keskustelualueet
Muut alueet => Yleistä keskustelua => Aiheen aloitti: spark - 25.11.17 - klo:13.40
-
Intelin Management Engine on yhtiön prosessoreiden sisältä löytyvä yksikkö, joka on vastuussa muun muassa useista käynnistykseen liittyvistä tehtävistä ja etähallinnan mahdollistamisesta. Hiljattain useampi ulkopuolinen taho on raportoinut löytäneensä tapoja kiertää tai poistaa ME käytöstä osittain tai kokonaan, jonka myötä Intel on tutkinut järjestelmänsä läpikotaisin ongelmakohtien paikallistamiseksi.
Intelin julkaiseman raportin mukaan se on löytänyt useita haavoittuvuuksia paitsi ME:n, myös Server Platform Services:n (SPS) ja Trusted Execution Enginen (TXE) firmwareista. Haavoittuvuudet koskevat Intel ME:n versioita 11.0 – 11.20, SPS:n versiota 4.0 ja TXE:n versiota 3.0. Käytännössä tämä tarkoittaa 6., 7. ja 8. sukupolven Core-, Xeon E3-1200 v5- ja v6-, Xeon Scalable-, Xeon W-, Atom C3000-, Apollo Lake -arkkitehtuurin Atom E3900- ja Pentium- sekä Celeron N- ja J -prosessoreita.
Haavoittuvuuksien myötä hyökkääjä voi saada luvattoman pääsyn järjestelmään matalalla tasolla ohi ME:n, SPS:n tai TXE:n ja esimerkiksi ajaa järjestelmällä luvatonta koodia korkeilla oikeuksilla. Intel on julkaissut verkkosivuillaan sekä Windows- että Linux-alustoille työkalun, jolla voidaan tarkistaa käytössä olevan tietokoneen haavoittuvuus.
Aukot paikkaavat firmware-päivitykset on julkaistu jo järjestelmien ja emolevyjen valmistajille, mutta loppukäyttäjille päivityksiä on luvassa vasta, kun valmistajat saavat omat päivityksensä valmiiksi. Tähän mennessä Gigabyte on ilmoittanut tehneensä korjaukset ja aloittaneensa BIOS-päivitysten julkaisun emolevyilleen uusimmista malleista alkaen ja edeten kohti vanhempia malleja. Myös Lenovo ja Dell ovat raportoineet olevansa tietoisia ongelmista ja julkaisevansa omat päivityksensä mahdollisimman nopeasti.
Purism, joka kertoi onnistuneensa poistamaan ME:n täysin käytöstä kannettavissaan, uskoo ettei päivitykset vaikuta heidän ratkaisuunsa. Yhtiön mukaan heidän ja ilmeisesti myös NSA:n käyttämä tapa poistaa ME käytöstä ei ainakaan päällisin puolin näytä liittyvän nyt löydettyihin haavoittuvuuksiin, mutta luonnollisesti yhtiön on testattava metodin toiminta myös päivitetyillä firmwareversioilla.
https://www.io-tech.fi/uutinen/intelin-kuluttaja-ja-palvelinprosessoreista-loytyi-haavoittuvuus-paivityksia-luvassa-pikavauhtia/
Oman koneen haavoittuneisuuden voi testata Intelin työkalulla.
https://downloadcenter.intel.com/download/27150
1. Lataa paketti ja pura se kansioon.
2. Varmista, että alla olevat tiedostot on suoritettavia:
intel_sa00086.py
spsInfoLinux64
3. Avaa terminaali kyseiseen kansioon ja aja komento:
sudo ./intel_sa00086.py
xx@xx-ThinkPad-T420:~/Lataukset/SA00086_Linux$ sudo ./intel_sa00086.py
INTEL-SA-00086 Detection Tool
Copyright(C) 2017, Intel Corporation, All rights reserved
Application Version: 1.0.0.128
Scan date: 2017-11-25 11:28:12 GMT
*** Host Computer Information ***
Name: xx-ThinkPad-T420
Manufacturer: LENOVO
Model: 4236PFG
Processor Name: Intel(R) Core(TM) i7-2640M CPU @ 2.80GHz
OS Version: Ubuntu 17.10 artful (4.13.0-17-generic)
*** Intel(R) ME Information ***
Engine: Intel(R) Management Engine
Version: 7.1.20.1119
SVN: 0
*** Risk Assessment ***
Based on the analysis performed by this tool: This system is not vulnerable.
For more information refer to the SA-00086 Detection Tool Guide or the Intel security advisory Intel-SA-00086 at the following link:
https://security-center.intel.com/advisory.aspx?intelid=INTEL-SA-00086&languageid=en-fr
Jos tuloksena on: This system is not vulnerable. ei huolta, mutta, jos: This system is vulnerable tai This system may be vulnerable, niin kannattaa varmuuden vuoksi katsella josko emo/konevalmistajan sivut tarjoaa bios päivitystä tälle haavalle.
-
Teksti on: This system may be vulnerable. Viimeisimät päiivtykset tälle koneelle ovat vuodelta 2010 ja nekin vain Windowsille, joten enpä usko että korjausta on tulossa. Viestintäviraston tiedotteessa (https://www.viestintavirasto.fi/kyberturvallisuus/haavoittuvuudet/2017/haavoittuvuus-2017-038.html) luetellaan prosessorti joita ongelma koskee. Koneessani on Intel Pentium T4400, jota en tunnista listalta, joten ilmeisesti kone on tarpeeksi vanha?
-
Miten kauan toi testi kestää? Olen odottanut minuutteja ja ainoa ulostus on:
raimo@kone-2:~/bin-2/fileaeIWAj$ sudo ./intel_sa00086.py
INTEL-SA-00086 Detection Tool
Copyright(C) 2017, Intel Corporation, All rights reserved
Application Version: 1.0.0.128
Scan date: 2017-11-25 13:26:08 GMT
*** Host Computer Information ***
Name: kone-2
Manufacturer: Hewlett-Packard
Model: HP Compaq dc7800 Small Form Factor
Processor Name: Intel(R) Core(TM)2 Duo CPU E7200 @ 2.53GHz
OS Version: neon 16.04 xenial (4.4.0-101-generic)
-
Miten kauan toi testi kestää?
Vilahti ihan hetkessä.
-
Miten kauan toi testi kestää?
Vilahti ihan hetkessä.
No sitten siinä on bugi, koska jo 7 minuuttia on mennyt. Ctrl+C keskeyttää.
Ja sen jälkeen:
^[^CTraceback (most recent call last):
File "./intel_sa00086.py", line 133, in <module>
sys.exit(main())
File "./intel_sa00086.py", line 75, in main
ver_str, code, family, svn = get_fw_state()
File "/home/raimo/bin-2/fileaeIWAj/heci.py", line 91, in get_fw_state
fw_ver = get_fw_ver()
File "/home/raimo/bin-2/fileaeIWAj/heci.py", line 71, in get_fw_ver
fw_ver = mei.mkhi.fw_ver(mei_fd)
File "/home/raimo/bin-2/fileaeIWAj/mei/mkhi.py", line 51, in fw_ver
return get_fw_ver_str(mei_fd)
File "/home/raimo/bin-2/fileaeIWAj/mei/mkhi.py", line 45, in get_fw_ver_str
buf = os.read(mei_fd, VER_SIZE_MAX)
KeyboardInterrupt
-
Miten kauan toi testi kestää?
Vilahti ihan hetkessä.
No sitten siinä on bugi, koska jo 7 minuuttia on mennyt. Ctrl+C keskeyttää.
Kokeilin kanssa yhteen läppäriin, jossa on Intelin Celeron suoritin. Testi meni läpi sekunnissa. Ja sanoi, ettei prosessorini ole haavoittuneiden listalla. Minulla on kyllä useampi kone... :-[
-
----
Kokeilin kanssa yhteen läppäriin, jossa on Intelin Celeron suoritin. Testi meni läpi sekunnissa. Ja sanoi, ettei prosessorini ole haavoittuneiden listalla. Minulla on kyllä useampi kone... :-[
Kokeilin kolmeen HP:n koneeseen.
Koneessa johon tuon ensin latasin, meni hetkessä läpi mutta pari seuraavaa jumittelivat ja pysäytin.
Niissä kun ei toiminut:
Processor Name: Intel(R) Core(TM) i3 CPU M 380 @ 2.53GHz
Processor Name: Intel(R) Core(TM) i5 CPU M 540 @ 2.53GHz
Olisiko kärsivällisempi odottelu muuttanut tilannetta, en jaksanut kokeilla ;(
Edit:
Kokeilin vielä yhdessä, Dell E5500, siinä ilmoitti
*** Host Computer Information ***
Name: E5500
Manufacturer: Dell Inc.
Model: Latitude E5500
Processor Name: Genuine Intel(R) CPU 585 @ 2.16GHz
OS Version: Ubuntu 18.04 bionic (4.13.0-16-generic)
*** Risk Assessment ***
Detection Error: This system may be vulnerable, please install the Intel(R) MEI/TXEI driver (available from your system manufacturer).
For more information refer to the SA-00086 Detection Tool Guide or the Intel security advisory Intel-SA-00086 at the following link:
https://security-center.intel.com/advisory.aspx?intelid=INTEL-SA-00086&languageid=en-fr
Ja kuten odotettua, löysin ehdokkaita korjaustyökaluksi vain windblosille...
Onko kukaan löytänyt sellaista korjausta kun toimisi myös Linux-koneissa, vai toimii tuo haavoittuvuuskin vain redmondin systeemeissä?
-
Niissä kun ei toiminut:
Processor Name: Intel(R) Core(TM) i3 CPU M 380 @ 2.53GHz
Processor Name: Intel(R) Core(TM) i5 CPU M 540 @ 2.53GHz
Olisiko kärsivällisempi odottelu muuttanut tilannetta, en jaksanut kokeilla ;(
Minä odottelin puoli tuntia ja mitään ei tapahtunut, myöskään ohjelman tekemässä lokissa ei ollut muuta kuin se mikä päätteessä jo näkyi.
-
Minulla myös jumitti, mutta keskeytyksen ja uudelleen yrittäminen toimi ja tulos oli
This system may be vulnerable
Kyseessä läppäri ja Intel i5 CPU M520, ei siis ihan uusinta versiota.
-
Ja kuten odotettua, löysin ehdokkaita korjaustyökaluksi vain windblosille...
Onko kukaan löytänyt sellaista korjausta kun toimisi myös Linux-koneissa, vai toimii tuo haavoittuvuuskin vain redmondin systeemeissä?
Tuo ajuri on varmaan joku pikainen paikka windowsille. Katso emovalmistajan sivulta, josko sinne olisi bios päivitystä saapunut.
-
Joskus yritin muuatta HP:n BIOS -päivitystä.
Sekin halusi windowsin - joten se siitä...
-
Joskus yritin muuatta HP:n BIOS -päivitystä.
Sekin halusi windowsin - joten se siitä...
Pariin hp:n koneeseen olen biosin päivittänyt ja kyllä niihin löytyi biosit, jotka ei mitään käyttistä alle vaatinut.
-
Joskus yritin muuatta HP:n BIOS -päivitystä.
Sekin halusi windowsin - joten se siitä...
Pariin hp:n koneeseen olen biosin päivittänyt ja kyllä niihin löytyi biosit, jotka ei mitään käyttistä alle vaatinut.
Ahaa.
HP ZBook 15 on se alusta johon kollegat saivat päivityksen, mutta paikallinen tukijengi sanoi että ensin olisi asennettava windowsi.
No, koetin taas aikani surffailla mutta ilmeisesti en vain osaa ;(
-
Joskus yritin muuatta HP:n BIOS -päivitystä.
Sekin halusi windowsin - joten se siitä...
Pariin hp:n koneeseen olen biosin päivittänyt ja kyllä niihin löytyi biosit, jotka ei mitään käyttistä alle vaatinut.
Ahaa.
HP ZBook 15 on se alusta johon kollegat saivat päivityksen, mutta paikallinen tukijengi sanoi että ensin olisi asennettava windowsi.
No, koetin taas aikani surffailla mutta ilmeisesti en vain osaa ;(
Pura win exe ja siirrä sieltä löytyvä .bin tiedosto tikulle. Käynnistä kone ja mene biosiin ja etsi sieltä päivitä bios toiminto ja navigoi purettuun .bin tiedostoon.
En ole 100%, että sinulla menee noin, mutta tuolla on toiselle läppärille tuommoinen ohje.
https://h30434.www3.hp.com/t5/Notebook-Operating-System-and-Recovery/How-to-update-BIOS-on-Linux/td-p/4869835
-
Koitin yhteen pöytäkoneeseen, jossa on Intelin Core Duo suoritin. Tarkastus ei mene loppuun asti.
Jotakin Bugeja tässä nyt on. :-[
-
Pura win exe ja siirrä sieltä löytyvä .bin tiedosto tikulle. Käynnistä kone ja mene biosiin ja etsi sieltä päivitä bios toiminto ja navigoi purettuun .bin tiedostoon.
En ole 100%, että sinulla menee noin, mutta tuolla on toiselle läppärille tuommoinen ohje.
https://h30434.www3.hp.com/t5/Notebook-Operating-System-and-Recovery/How-to-update-BIOS-on-Linux/td-p/4869835
BIOSseja ei tadia olla markkinoilla montaakaan, mutta en ole omien koneiden BIOSseista koskaan löytänyt tuota mahdollisuutta.
-
Pura win exe ja siirrä sieltä löytyvä .bin tiedosto tikulle. Käynnistä kone ja mene biosiin ja etsi sieltä päivitä bios toiminto ja navigoi purettuun .bin tiedostoon.
En ole 100%, että sinulla menee noin, mutta tuolla on toiselle läppärille tuommoinen ohje.
https://h30434.www3.hp.com/t5/Notebook-Operating-System-and-Recovery/How-to-update-BIOS-on-Linux/td-p/4869835
BIOSseja ei tadia olla markkinoilla montaakaan, mutta en ole omien koneiden BIOSseista koskaan löytänyt tuota mahdollisuutta.
Minun HP:ssä on BIOSin päivitysmahdollisuus siellä BIOSsissa.
-
Pura win exe ja siirrä sieltä löytyvä .bin tiedosto tikulle. Käynnistä kone ja mene biosiin ja etsi sieltä päivitä bios toiminto ja navigoi purettuun .bin tiedostoon.
En ole 100%, että sinulla menee noin, mutta tuolla on toiselle läppärille tuommoinen ohje.
https://h30434.www3.hp.com/t5/Notebook-Operating-System-and-Recovery/How-to-update-BIOS-on-Linux/td-p/4869835
BIOSseja ei tadia olla markkinoilla montaakaan, mutta en ole omien koneiden BIOSseista koskaan löytänyt tuota mahdollisuutta.
Erikoisia koneita sinulla on, kun minun koneissa moinen perusominaisuus on ollut kaikissa :o
-
Erikoisia koneita sinulla on, kun minun koneissa moinen perusominaisuus on ollut kaikissa :o
Ehkä vain vanhempia. Minulla taitaa vain kahden viime vuoden aikana ostetuissa olla päivitysominaisuus BIOSissa, vanhemmissa ei.
-
Ehkä vain vanhempia. Minulla taitaa vain kahden viime vuoden aikana ostetuissa olla päivitysominaisuus BIOSissa, vanhemmissa ei.
Näin veikkaan minäkin.
-
HP dc7800 ~vuodelta 2009-2010 ja BIOS-päivitysmahdollisuus löytyy. Ehkä yrityskoneen ominaisuus?
BIOS-päivitys tuli viimeksi 2015, nyt en ole tarkistanut...
edit, eipä ole uudempaa kuin 2015 https://support.hp.com/us-en/drivers/selfservice/hp-compaq-dc7800-small-form-factor-pc/3459241
-
Haavoittuvuudet koskevat Intel ME:n versioita 11.0 – 11.20, SPS:n versiota 4.0 ja TXE:n versiota 3.0. Käytännössä tämä tarkoittaa 6., 7. ja 8. sukupolven Core-, Xeon E3-1200 v5- ja v6-, Xeon Scalable-, Xeon W-, Atom C3000-, Apollo Lake -arkkitehtuurin Atom E3900- ja Pentium- sekä Celeron N- ja J -prosessoreita.
Haavoittuvuudet koskevat siis kolmea viimeisintä Core-sukupolvea eli pöytäkoneissa ja läppäreissä Core i3/i5/i7 6xxx (Skylake), 7xxx (Kaby Lake) ja 8xxx (Coffee Lake) -suorittimia ja niiden Pentium- ja Celeron-kevytversioita. Turha ajella noita tarkistustyökaluja yli kolme vuotta vanhoissa koneissa.
-
Haavoittuvuudet koskevat siis kolmea viimeisintä Core-sukupolvea eli pöytäkoneissa ja läppäreissä Core i3/i5/i7 6xxx (Skylake), 7xxx (Kaby Lake) ja 8xxx (Coffee Lake) -suorittimia ja niiden Pentium- ja Celeron-kevytversioita. Turha ajella noita tarkistustyökaluja yli kolme vuotta vanhoissa koneissa.
Minulla osui ja upposi yhdessä (n. vuoden ikäisessä i5) koneessa, miten tulee toimia ?
-
Minulla osui ja upposi yhdessä (n. vuoden ikäisessä i5) koneessa, miten tulee toimia ?
Tarkista koneen tai emolevyn valmistajan sivuilta, onko UEFI/BIOS-päivitystä saatavilla. Jos ei ole, tarkista uudelleen myöhemmin, viikon tai parin kuluttua.
Haavoittuvuuksien vakavuutta on tässä vaiheessa vielä vaikea arvioida. Käytännössä hyökkäys kuitenkin edellyttää ylläpito-oikeuksia käyttöjärjestelmään tai pääsyä koneelle tai lähiverkkoon. Vierasverkoissa liikkuessa tämä on hyvä pitää mielessä, mutta toistaiseksi riskit ovat varsin pieniä, koska aukkoja hyödyntäviä haittaohjelmia tai tunkeutumistyökaluja ei ole liikkeellä.
Tässä yksi selventävä artikkeli aiheesta: https://www.howtogeek.com/334013/intel-management-engine-explained-the-tiny-computer-inside-your-cpu/
-
Tässä yksi selventävä artikkeli aiheesta: https://www.howtogeek.com/334013/intel-management-engine-explained-the-tiny-computer-inside-your-cpu/
Tuon kun olisi heti nähnyt, ei olisi tarvinnut ajaa testiä turhaan. Sieltä nimittäin käy ilmi että kyse on UEFI-koneista. Windows-kneessa kylläkin on ME, mutta testi sanoi että kone ei ole haavoittuva. Tuo UEFI, niin se selittää miksi: mun kumpikaan kone ole UEFI-kone.
-
Minulla osui ja upposi yhdessä (n. vuoden ikäisessä i5) koneessa, miten tulee toimia ?
Tarkista koneen tai emolevyn valmistajan sivuilta, onko UEFI/BIOS-päivitystä saatavilla. Jos ei ole, tarkista uudelleen myöhemmin, viikon tai parin kuluttua.
Kannattaisiko ensiksi kysyä myyjältä, kuuluuko kyseinen takuun piiriin ?
Kyseessä kuitenkin tuotteessa esiintynyt virhe. En ole koskaan päivittänyt edes BIOSia saati UEFIa.
Tosin kyseinen ei taida olla rakettitiedettä, mutta jos UEFI-päivityksen sössii, niin käsittääkseni emolevystä tulee paperipaino.
Kovin paljoa ei kyseinen haavoittuvuus pelota, kun kone on pöytäkone, jota ei siirellä vaan pyörii sisäverkossa NAT:n takana. Toki, jos riittää sisäverkkoon pääseminen, niin silloin riittää WPA2:n läpäiseminen, vaikkakin salasanani WPA2:ssa on mielestäni varsin vaikea.
-
Haavoittuvuudet koskevat Intel ME:n versioita 11.0 – 11.20, SPS:n versiota 4.0 ja TXE:n versiota 3.0. Käytännössä tämä tarkoittaa 6., 7. ja 8. sukupolven Core-, Xeon E3-1200 v5- ja v6-, Xeon Scalable-, Xeon W-, Atom C3000-, Apollo Lake -arkkitehtuurin Atom E3900- ja Pentium- sekä Celeron N- ja J -prosessoreita.
Haavoittuvuudet koskevat siis kolmea viimeisintä Core-sukupolvea eli pöytäkoneissa ja läppäreissä Core i3/i5/i7 6xxx (Skylake), 7xxx (Kaby Lake) ja 8xxx (Coffee Lake) -suorittimia ja niiden Pentium- ja Celeron-kevytversioita. Turha ajella noita tarkistustyökaluja yli kolme vuotta vanhoissa koneissa.
Sorttinsa helpotus :)
Mahtaakohan olla yhtään noin uutta rautaa nurkissani.
-
Tuon kun olisi heti nähnyt, ei olisi tarvinnut ajaa testiä turhaan. Sieltä nimittäin käy ilmi että kyse on UEFI-koneista. Windows-kneessa kylläkin on ME, mutta testi sanoi että kone ei ole haavoittuva. Tuo UEFI, niin se selittää miksi: mun kumpikaan kone ole UEFI-kone.
UEFI:lla ei varsinaisesti ole tämän kanssa tekemistä, ja Intel ME on ollut mukana prosessoreissa vuonna 2008 julkaistusta Nehalemista lähtien. Nämä haavoittuvuudet kuitenkin koskevat vain uusimpia Intel ME:n, SPS:n ja TXE:n versioita, ja käytännössä sellaisia suorittimia on vain koneissa, joissa on UEFI-BIOS.
Aloitusviestissä lainatussa io-techin artikkelissakin on kyllä varsin selvästi listattu prosessorit, joissa ongelma ilmenee.
Kannattaisiko ensiksi kysyä myyjältä, kuuluuko kyseinen takuun piiriin ?
Voihan sitä kysyä. Veikkaan ettei myyjän mielestä kuulu, ja vastuu siirtyy tässä tapauksessa jälleenmyyjältä koneen valmistajalle ja edelleen Intelille, joten aika monen portaan kautta voit joutua taistelemaan, jos haluat jonkun vastaamaan virheestä ja maksamaan huoltotoimenpiteet. Nyt kun vakavuudesta ei vielä ole selkeää näyttöä, kuluttajalla taitaa olla vähän heikot aseet vaatia mitään.
Tosin kyseinen ei taida olla rakettitiedettä, mutta jos UEFI-päivityksen sössii, niin käsittääkseni emolevystä tulee paperipaino.
Jos valmistajan tarjoamilla virallisilla työkaluilla tehty päivitys rikkoo koneen, uskoisin että se menee takuuseen. Pyydä tästä kirjallinen lausunto myyjältä tai valmistajalta, jos epäilyttää.
-
Tosin kyseinen ei taida olla rakettitiedettä, mutta jos UEFI-päivityksen sössii, niin käsittääkseni emolevystä tulee paperipaino.
Ei ole rakettitiedettä. Keväällä hankittu emolevy ja päivitys sujui muutamalla hiiren klikkauksella.
Hiukan piti säätää (puhaltimien nopeudet ja herätys), mutta sekin on tehty helpoksi tässä mallissa.
Niin ja kyseessä Ubuntu 16.04
E. Haavoittuvuus ja korjaus siihen löytyi :-X