Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

Faille de sécurité Intel: Comment mettre son noyau à jour ?

metalux

grandtoubab a écritc'est le paquets microcode qui contient les patchs

Bonjour,
Ce n'est pas clair tout ça, je croyais que c'était la mise à jour du noyau qui corrigeait la faille? Donc le patch serait dans le noyau ou dans le microcode?

nam1962 a écritA propos, les patchs sont aussi sortis pour la plupart des navigateurs.

j'en perd mon latin, que je n'ai jamais eu 😛
Le patch--->dans le noyau, dans le microcode ou dans le navigateur??? A moins qu'il faille combler celles-ci à plusieurs niveaux?

grandtoubab

metalux a écrit
grandtoubab a écritc'est le paquets microcode qui contient les patchs
Bonjour,
Ce n'est pas clair tout ça, je croyais que c'était la mise à jour du noyau qui corrigeait la faille? Donc le patch serait dans le noyau ou dans le microcode?
?

je parle d'une bonne pratique de sécurité de façon générale pas de la faille Meltdown qui n'est pas patché actuellement. Il y a simplement un palliatif d'urgence ajouté dans le noyau

Et pour protger Firefox des pages web malicieuses Firefox a patché son code aussi
https://www.mozilla.org/en-US/security/advisories/mfsa2018-01/

nam1962

Il y a en fait plusieurs niveaux de patch.

A propos, de mémoire, le microcode AMD est inclus dans le kernel, le microcode Intel est un paquet séparé mais dans la plupart des cas inclus dans les distros (je le mets toujours dans mes tutos au cas où.

Pour les navigateurs il y a un test : http://xlab.tencent.com/special/spectre/spectre_check.html que j'ai inclus dans le papier de l'Almanet sur le sujet

Complément d'info : https://www.numerama.com/tech/319046-meltdown-spectre-pourquoi-mozilla-patche-son-navigateur-firefox.html

grandtoubab

nam1962 a écritIl y a en fait plusieurs niveaux de patch.

A propos, de mémoire, le microcode AMD est inclus dans le kernel, le microcode Intel est un paquet séparé mais dans la plupart des cas inclus dans les distros (je le mets toujours dans mes tutos au cas où.

Pour les navigateurs il y a un test : http://xlab.tencent.com/special/spectre/spectre_check.html que j'ai inclus dans le papier de l'Almanet sur le sujet

Complément d'info : https://www.numerama.com/tech/319046-meltdown-spectre-pourquoi-mozilla-patche-son-navigateur-firefox.html

sur Debian il y a aussi un paquet dedié pour AMD

 apt list amd64-microcode -a
En train de lister... Fait
amd64-microcode/testing,now 3.20171205.1 amd64  [installé]
amd64-microcode/stable 3.20160316.3 amd64

metalux

je ne peux pas installer le microcode sur Manjaro sinon il ne démarre pas sur mon dual-boot 🙁
Il y a une méthode de contournement pour pouvoir l'installer, va falloir que je regarde.
Bon, si j'en crois les résultats:

Spectre and Meltdown mitigation detection tool v0.21

Checking for vulnerabilities against live running kernel Linux 4.13.0-26-generic #29~16.04.2-Ubuntu SMP Tue Jan 9 22:00:44 UTC 2018 x86_64

CVE-2017-5753 [bounds check bypass] aka 'Spectre Variant 1'
* Checking count of LFENCE opcodes in kernel: 
 NO  (only 42 opcodes found, should be >= 70)
> STATUS:  VULNERABLE  (heuristic to be improved when official patches become available)

CVE-2017-5715 [branch target injection] aka 'Spectre Variant 2'
* Mitigation 1
*   Hardware (CPU microcode) support for mitigation:  NO 
*   Kernel support for IBRS:  NO 
*   IBRS enabled for Kernel space:  NO 
*   IBRS enabled for User space:  NO 
* Mitigation 2
*   Kernel compiled with retpoline option:  NO 
*   Kernel compiled with a retpoline-aware compiler:  NO 
> STATUS:  VULNERABLE  (IBRS hardware + kernel support OR kernel with retpoline are needed to mitigate the vulnerability)

CVE-2017-5754 [rogue data cache load] aka 'Meltdown' aka 'Variant 3'
* Kernel supports Page Table Isolation (PTI):  YES 
* PTI enabled and active:  YES 
> STATUS:  NOT VULNERABLE  (PTI mitigates the vulnerability)

Je suis vulnérable à spectre mais mon navigateur est patché, Your browser is NOT VULNERABLE to Spectre avec le lien que tu indiques nam.
Donc en l'état actuel, suis-je protégé contre spectre ou non? Je suppose que non mais que la "contamination" ne peut pas se faire par le navigateur. Le risque est donc limité.

nam1962

En fait, comme je crois déjà dit plus haut, les vulnérabilités en question sont très complexes à exploiter.
Par ailleurs, comme tu le vois, les patches arrivent progressivement (complexifiant encore plus l'attaque).

Bref, je pense que sur un ordi perso on peut-être relativement serein.

Pour un hébergeur, c'est sans doute plus agaçant, cela dit, ils travaillent directement avec RedHat, Suse, Canonical et doivent avoir un temps d'avance 😉

De ce que j'ai compris en trrrès gros de ces failles, elles permettraient d'exploiter le buffer du CPU en le faisant "déborder", encore faut il saisir l'instant du "débordement" et que l'info cruciale y soit à cet instant.

Cela dit, si un gros malin trouve une soluce pour envoyer en buffer une data cruciale et la piquer à ce moment là, les blockchains sont potentiellement toutes en péril (imagine que la clef privée soit en buffer... Uhhh !)
Mais ça parait un peu science-fictionnel.

nam1962

A priori, côté kernels ça avance :

~]$ cat /proc/cpuinfo | grep bugs
bugs		: cpu_meltdown spectre_v1 spectre_v2
bugs		: cpu_meltdown spectre_v1 spectre_v2
bugs		: cpu_meltdown spectre_v1 spectre_v2
bugs		: cpu_meltdown spectre_v1 spectre_v2

heronheronpetitpatapon

nam1962 a écritA priori, côté kernels ça avance :

~]$ cat /proc/cpuinfo | grep bugs
bugs		: cpu_meltdown spectre_v1 spectre_v2
bugs		: cpu_meltdown spectre_v1 spectre_v2
bugs		: cpu_meltdown spectre_v1 spectre_v2
bugs		: cpu_meltdown spectre_v1 spectre_v2

Ah! Bien tu as fait comment pour sécurisé ton cpu ?
Moi c'est toujours pas ça.

~$  cat /proc/cpuinfo | grep bugs
bugs		: cpu_insecure
bugs		: cpu_insecure
bugs		: cpu_insecure
bugs		: cpu_insecure

Je dois installer quoi pour résoudre ça finalement?

bruno

heronheronpetitpatapon a écrit Ah! Bien tu as fait comment pour sécurisé ton cpu ?

Sécuriser le CPU… wouaouh ! :lol:

heronheronpetitpatapon

bruno a écrit
heronheronpetitpatapon a écrit Ah! Bien tu as fait comment pour sécurisé ton cpu ?
Sécuriser le CPU… wouaouh ! :lol:

Pour colmater cette faille je voulais dire!

nam1962

heronheronpetitpatapon a écrit(..)
Je dois installer quoi pour résoudre ça finalement?

Manjaro ! 😛 Because je triche et je donne les résultats de mon ordi sous Manjaro (par ailleurs avec kernels 4.14/4.9/4.4 car je n'ai pas installé le 4.15 pour le moment) 😉

xinu

Y a du changement avec le 4.13.0.31

michel@asus:~$ uname -a
Linux asus 4.13.0-31-generic #34~16.04.1-Ubuntu SMP Fri Jan 19 17:11:01 UTC 2018 x86_64 x86_64 x86_64 GNU/Linux
michel@asus:~$

michel@asus:~$ dmesg | grep 'Kernel/User page tables isolation'
0.000000] Kernel/User page tables isolation: enabled
michel@asus:~$

michel@asus:~$ cat /proc/cpuinfo| grep bugs
bugs		: cpu_meltdown spectre_v1 spectre_v2
bugs		: cpu_meltdown spectre_v1 spectre_v2
bugs		: cpu_meltdown spectre_v1 spectre_v2
bugs		: cpu_meltdown spectre_v1 spectre_v2
michel@asus:~$

xubu1957

Bonjour,

Nouvelle info > europe1.fr/technologies

Faille dans les puces : Intel reconnaît des problèmes avec ses correctifs

Alors que l'inquiétude demeure quant aux failles de sécurité de certaines puces Intel, le groupe a demandé à ses clients de ne plus utiliser les correctifs qu'il avait lui-même mis en place pour y remédier.
Le groupe Intel, aux prises comme ses concurrents avec des failles de sécurité dans les semi-conducteurs, a demandé lundi à ses clients de cesser de mettre en place certains correctifs qu'il a diffusés, reconnaissant qu'ils pouvaient poser des problèmes "imprévus".

Des correctifs qui peuvent provoquer des bugs. Ces failles, baptisées Spectre et Meltdown et révélées début janvier, exposent à de possibles piratages serveurs, ordinateurs et smartphones, qui fonctionnent grâce à ces puces électroniques. Les entreprises technologiques s'emploient désormais à limiter les risques en diffusant et en installant des correctifs de sécurité.

Mais lundi, le géant des semi-conducteurs a recommandé aux "fabricants d'ordinateurs, fournisseurs de services informatiques dématérialisés ('cloud'), fabricants de systèmes informatiques, éditeurs de logiciels et utilisateurs finaux de cesser le déploiement des versions actuelles (de certains correctifs), car elles sont susceptibles d'entraîner des redémarrages plus fréquents que prévu" ainsi que des anomalies "imprévisibles" dans le fonctionnement des systèmes.

De forts ralentissements des systèmes. Cela concerne en particulier les puces de type Broadwell et Haswell, a précisé Intel, qui sera en mesure d'indiquer à la fin de la semaine à quelle date sera diffusé un nouveau "patch". Le groupe n'a pas précisé davantage les problèmes posés par ces correctifs, mais des analystes et la presse spécialisée avaient notamment évoqué de forts ralentissements des systèmes informatiques qui avaient déployés certains patches. Lors du salon de l'électronique grand public de Las Vegas, le patron d'Intel Brian Krzanich avait assuré le 8 janvier qu'aucun piratage informatique via ces failles n'avait été rapporté.

Remplacer la puce, seule solution ? Mais l'enjeu est majeur pour le secteur technologique tant le type de puces concerné est répandu à travers le monde. De plus, selon certains experts, comme les failles touchent à l'architecture même de la puce - par opposition à un problème logiciel plus facile à régler via des mises à jour -, il est probable que le seul moyen de se prémunir durablement des risques de piratage serait de remplacer la puce elle-même.

et aussi > developpez.com

bruno

Intel fait de la m****, dixit Linus Torvalds. Le seul moyen de contourner les failles Spectre c'est Reptoline. Donc mise à jour des compilateurs et re-compilation de tous les logiciels

http://www.lemagit.fr/actualites/252433518/La-protection-contre-Spectre-titube-du-fait-de-bugs-dans-les-correctifs-de-microcodes-dIntel

Nicolas13

Bonjour,

Je suis passé en 4.13.0-31#34 (Installation et reboot sur le nouveau kernel) et depuis mon cpu est à fond (+100% sur process VboxClient). Je sais pas si c'est lié. Vous avez ce problème de votre coté ?
Merci.

EDIT : Après un 2ème reboot je n'ai plus le problème de charge CPU.
EDIT2 : La charge Cpu est liée à une appli. Je cherche à savoir si c'est lié à la maj du kernel.

heronheronpetitpatapon

Nicolas13 a écrit EDIT2 : La charge Cpu est lié à une appli. Je cherche à savoir si c'est lié avec la maj du kernel.

Sans doute Tracker!

heronheronpetitpatapon

Bingo ça y est les failles de mon processeur sont colmatées.

marco@marco-K43SJ:~$ uname -r
4.13.0-31-generic

marco@marco-K43SJ:~$ dmesg | grep 'Kernel/User page tables isolation'
[    0.000000] Kernel/User page tables isolation: enabled

marco@marco-K43SJ:~$  cat /proc/cpuinfo | grep bugs
bugs		: cpu_meltdown spectre_v1 spectre_v2
bugs		: cpu_meltdown spectre_v1 spectre_v2
bugs		: cpu_meltdown spectre_v1 spectre_v2
bugs		: cpu_meltdown spectre_v1 spectre_v2
marco@marco-K43SJ:~$

La mise à jour est quand même arrivé un mois après la faille, bizzare car tout le monde disait que ça allait arriver 3-4 jours après.en effet il y a bien eu un PPA, mais il n'a pas été très efficace!

nam1962

Maintenant, comme personne ne sait exploiter ces failles et que d'ailleurs (et pour cause) il n'y a pas de signalements de leur exploitation, ton ordi perso n'a jamais été en risque ! 😛

Ayral

Tout ça relève quand même du grand guignol ! M'enfin ça en occupe quelques uns sur le forum !

xubu1957

Cela a des incidences > Le noyau Linux 4.15 est en retard en raison de Meltdown et Spectre > ginjfo.com

« Page précédente Page suivante »