Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

Faille de sécurité Intel: Comment mettre son noyau à jour ?

nam1962

A priori ce que tu cherches à faire est complètement inutile.
Un système à jour suffit amplement.
Donne le retour complet de spectre-meltdown checker et également :

cat /etc/apt/sources.list
ls /etc/apt/sources.list.d -1

jnq

Bonjour la mise ajour du bios permet de mettre a jour le micro code de votre processeur pour ces failles ce qui n'est pas inutile. Attention toutefois les dernier bios asus active par défaut le secure boot. Il faut supprimer les clefs dans le bios.
Sinon votre ubuntu ne démarrera plus. C'est ce qui m'est arrivé et j'ai été bon pour une réinstallation.

bruno

La mise à jour du BIOS est toujours risquée, il vaut mieux s'abstenir. D'autant plus que les mises à jour du microcode des processeurs Intel n'ont pas bonne presse auprès du père de Linux.

uboops

Pour info, la mise à jour des micro-codes peut se faire par plusieurs biais, le kernel lui-même avec un noyau linux récent, ou via les packages, ex: (le bios c'est en effet toujours risqué et en plus pas toujours possible)
intel-microcode
amd64-microcode

Anacamptis3

Finalement, j'ai pu faire une mise à jour du bios via internet directement à partir du bios. Je n'ai pas eu de problème pour redémarrer ubuntu 17.10.
Pour ce qui est du contrôle des vulnérabilités voici:

sudo sh spectre-meltdown-checker.sh
Spectre and Meltdown mitigation detection tool v0.37+

Checking for vulnerabilities on current system
Kernel is Linux 4.13.0-39-generic #44-Ubuntu SMP Thu Apr 5 14:25:01 UTC 2018 x86_64
CPU is Intel(R) Core(TM) i5-7400 CPU @ 3.00GHz

Hardware check
* Hardware support (CPU microcode) for mitigation techniques
  * Indirect Branch Restricted Speculation (IBRS)
    * SPEC_CTRL MSR is available:  YES 
    * CPU indicates IBRS capability:  YES  (SPEC_CTRL feature bit)
  * Indirect Branch Prediction Barrier (IBPB)
    * PRED_CMD MSR is available:  YES 
    * CPU indicates IBPB capability:  YES  (SPEC_CTRL feature bit)
  * Single Thread Indirect Branch Predictors (STIBP)
    * SPEC_CTRL MSR is available:  YES 
    * CPU indicates STIBP capability:  YES  (Intel STIBP feature bit)
  * Enhanced IBRS (IBRS_ALL)
    * CPU indicates ARCH_CAPABILITIES MSR availability:  NO 
    * ARCH_CAPABILITIES MSR advertises IBRS_ALL capability:  NO 
  * CPU explicitly indicates not being vulnerable to Meltdown (RDCL_NO):  NO 
  * CPU microcode is known to cause stability problems:  NO  (model 158 stepping 9 ucode 0x84 cpuid 0x906e9)
* CPU vulnerability to the three speculative execution attack variants
  * Vulnerable to Variant 1:  YES 
  * Vulnerable to Variant 2:  YES 
  * Vulnerable to Variant 3:  YES 

CVE-2017-5753 [bounds check bypass] aka 'Spectre Variant 1'
* Mitigated according to the /sys interface:  YES  (Mitigation: OSB (observable speculation barrier, Intel v6))
* Kernel has array_index_mask_nospec (x86):  NO 
* Kernel has the Red Hat/Ubuntu patch:  YES 
* Kernel has mask_nospec64 (arm):  NO 
> STATUS:  NOT VULNERABLE  (Mitigation: OSB (observable speculation barrier, Intel v6))

CVE-2017-5715 [branch target injection] aka 'Spectre Variant 2'
* Mitigated according to the /sys interface:  YES  (Mitigation: Full generic retpoline, IBPB (Intel v4))
* Mitigation 1
  * Kernel is compiled with IBRS support:  YES 
    * IBRS enabled and active:  NO 
  * Kernel is compiled with IBPB support:  YES 
    * IBPB enabled and active:  YES 
* Mitigation 2
  * Kernel has branch predictor hardening (arm):  NO 
  * Kernel compiled with retpoline option:  YES 
    * Kernel compiled with a retpoline-aware compiler:  YES  (kernel reports full retpoline compilation)
  * Kernel supports RSB filling:  YES 
> STATUS:  NOT VULNERABLE  (Full retpoline + IBPB are mitigating the vulnerability)

CVE-2017-5754 [rogue data cache load] aka 'Meltdown' aka 'Variant 3'
* Mitigated according to the /sys interface:  YES  (Mitigation: PTI)
* Kernel supports Page Table Isolation (PTI):  YES 
  * PTI enabled and active:  YES 
  * Reduced performance impact of PTI:  YES  (CPU supports INVPCID, performance impact of PTI will be greatly reduced)
* Running as a Xen PV DomU:  NO 
> STATUS:  NOT VULNERABLE  (Mitigation: PTI)

A false sense of security is worse than no security at all, see --disclaimer

Anacamptis3

$ cat /etc/apt/sources.list
# deb cdrom:[Ubuntu 17.04 _Zesty Zapus_ - Release amd64 (20170412)]/ zesty main restricted

# See http://help.ubuntu.com/community/UpgradeNotes for how to upgrade to
# newer versions of the distribution.
deb http://mirror.unix-solutions.be/ubuntu/ artful main restricted universe
deb-src http://mirror.unix-solutions.be/ubuntu/ artful main universe restricted multiverse #Added by software-properties
deb-src http://fr.archive.ubuntu.com/ubuntu/ zesty main restricted

## Major bug fix updates produced after the final release of the
## distribution.
deb http://mirror.unix-solutions.be/ubuntu/ artful-updates main restricted universe
deb-src http://mirror.unix-solutions.be/ubuntu/ artful-updates main universe restricted multiverse #Added by software-properties
deb-src http://fr.archive.ubuntu.com/ubuntu/ zesty-updates main restricted

## N.B. software from this repository is ENTIRELY UNSUPPORTED by the Ubuntu
## team. Also, please note that software in universe WILL NOT receive any
## review or updates from the Ubuntu security team.
deb-src http://fr.archive.ubuntu.com/ubuntu/ zesty universe
deb-src http://fr.archive.ubuntu.com/ubuntu/ zesty-updates universe

## N.B. software from this repository is ENTIRELY UNSUPPORTED by the Ubuntu 
## team, and may not be under a free licence. Please satisfy yourself as to 
## your rights to use the software. Also, please note that software in 
## multiverse WILL NOT receive any review or updates from the Ubuntu
## security team.
deb http://mirror.unix-solutions.be/ubuntu/ artful multiverse
deb-src http://fr.archive.ubuntu.com/ubuntu/ zesty multiverse
deb http://mirror.unix-solutions.be/ubuntu/ artful-updates multiverse
deb-src http://fr.archive.ubuntu.com/ubuntu/ zesty-updates multiverse

## N.B. software from this repository may not have been tested as
## extensively as that contained in the main release, although it includes
## newer versions of some applications which may provide useful features.
## Also, please note that software in backports WILL NOT receive any review
## or updates from the Ubuntu security team.
deb-src http://fr.archive.ubuntu.com/ubuntu/ zesty-backports main restricted universe multiverse

## Uncomment the following two lines to add software from Canonical's
## 'partner' repository.
## This software is not part of Ubuntu, but is offered by Canonical and the
## respective vendors as a service to Ubuntu users.
deb http://archive.canonical.com/ubuntu artful partner
deb-src http://archive.canonical.com/ubuntu artful partner

deb http://mirror.unix-solutions.be/ubuntu/ artful-security main restricted universe
deb-src http://mirror.unix-solutions.be/ubuntu/ artful-security main universe restricted multiverse #Added by software-properties
deb-src http://security.ubuntu.com/ubuntu zesty-security main restricted
deb-src http://security.ubuntu.com/ubuntu zesty-security universe
deb http://mirror.unix-solutions.be/ubuntu/ artful-security multiverse
deb-src http://security.ubuntu.com/ubuntu zesty-security multiverse
deb http://mirror.unix-solutions.be/ubuntu/ artful-proposed multiverse main restricted universe
deb-src http://mirror.unix-solutions.be/ubuntu/ artful-proposed multiverse main restricted universe #Added by software-properties

Anacamptis3

$ ls /etc/apt/sources.list.d -1
opera-stable.list
opera-stable.list.distUpgrade
opera-stable.list.save
rebuntu16-ubuntu-avidemux_unofficial-artful.list
rebuntu16-ubuntu-avidemux_unofficial-artful.list.save
rolfbensch-ubuntu-sane-git-artful.list
rolfbensch-ubuntu-sane-git-artful.list.save
rvm-ubuntu-smplayer-artful.list
skype-stable.list
skype-stable.list.save
videolan-ubuntu-stable-daily-artful.list
videolan-ubuntu-stable-daily-artful.list.save
vincent-vandevyvre-ubuntu-vvv-artful.list
vincent-vandevyvre-ubuntu-vvv-artful.list.save

nam1962

Sourire, je m'en doutais un peu...
- tu n'as aucun souci avec meltdown et spectre (les 3 sont "mitigated", donc traités)
- tes dépôts sont un bazar total avec un mélange de zesty et de artful et pire : les dépôts proposed totalement toxiques (comment as tu fait la mise à niveau ???)
- tes ppa ne sont pas beaucoup mieux avec des ppa abandonnés (skype ou inutiles (vlc est dasn les dépôts, sane et smplayer aussi)
Le mieux serait de faire une clean install : profite de ce que la 18.04 vienne de sortir pour ce faire et bloque les mises à niveau sur LTS.

abecidofugy

Spectre de retour avec 8 nouvelles failles : https://www.commentcamarche.net/news/5871411-spectre-de-retour-avec-8-nouvelles-failles

:mad:

xubu1957

Bonjour,

De nouvelles mises à jour intel-microcode sont disponibles > UbuntuUpdates

Updated on Package name Release Repository Level New Version
Old Version
05-08 02:06 UTC intel-microcode bionic main updates 3.20180425.1~ubuntu0.18.04.1
05-08 02:06 UTC intel-microcode bionic main security 3.20180425.1~ubuntu0.18.04.1
05-08 02:06 UTC intel-microcode artful main updates 3.20180425.1~ubuntu0.17.10.1
3.20180312.0~ubuntu17.10.1
05-08 02:06 UTC intel-microcode artful main security 3.20180425.1~ubuntu0.17.10.1
3.20180312.0~ubuntu17.10.1
05-08 02:06 UTC intel-microcode xenial main updates 3.20180425.1~ubuntu0.16.04.1
3.20180312.0~ubuntu16.04.1
05-08 02:06 UTC intel-microcode xenial main security 3.20180425.1~ubuntu0.16.04.1
3.20180312.0~ubuntu16.04.1
05-08 02:06 UTC intel-microcode trusty main updates 3.20180425.1~ubuntu0.14.04.1
3.20180312.0~ubuntu14.04.1
05-08 02:06 UTC intel-microcode trusty main security 3.20180425.1~ubuntu0.14.04.1
3.20180312.0~ubuntu14.04.1

xubu1957

Bonjour,

Un nouvel épisode > preparez-vous-a-une-avalanche-de-nouvelles-failles-cpu dans 01net.com.

JLK

xubu1957 a écritBonjour,

Un nouvel épisode > preparez-vous-a-une-avalanche-de-nouvelles-failles-cpu dans 01net.com.

La question que je me pose, est qu'avec toutes ces découvertes de failles et de patches, pourrons-nous encore utiliser un émulateur pour les consoles 8-16 bits avec toutes ces baisses de performances à venir ? (Oui, c'est cynique de ma part...)

uboops

... Le MiniTel va faire son retour JLK ;-) ... le progrès actuellement c'est la régression.

Nuliel

Ou papier crayon, et pour la calculatrice le retour du boulier 🙂

seebz

Salut,
désolé du hors-sujet mais je m'étonne de ne pas (plus ?) voir apparaître le pilote "intel-microcode" dans l'interface "Pilotes additionnels".

Ca a peut-être déjà été dit (auquel cas je m'excuse à l'avance) mais que recommandez-vous pour corriger au mieux ce genre de failles sur Bionic ?

Nuliel

Le paquet n'apparaît effectivement plus dans les pilotes additionnels, mais il est quand même dans les dépôts sous le nom intel-microcode.
Donc à mon avis, l'install de ce paquet si cela n'a pas été fait puis les mises à jour devraient suffire.

seebz

Naziel a écritLe paquet n'apparaît effectivement plus dans les pilotes additionnels, mais il est quand même dans les dépôts sous le nom intel-microcode.

Oui, j'ai vu... Une raison expliquant le fait qu'il ne soit plus proposé dans pilotes additionnels ?

Ubuntu1988

Le principal vecteur d'attaque reste le navigateur, et tant que ce dernier est à jour, ça limite très fortement les attaques. Pour le reste, les noyaux sont aussi patchés

JLK

uboops a écrit... Le MiniTel va faire son retour JLK ;-) ... le progrès actuellement c'est la régression.

3615 Ubuntu... 😛

bruno

seebz a écritUne raison expliquant le fait qu'il ne soit plus proposé dans pilotes additionnels ?

Il est installé automatiquement c'est maintenant une dépendance du noyau et ce n'est pas forcément une bonne idée…

« Page précédente Page suivante »