Faille de sécurité Intel: Comment mettre son noyau à jour ?

Ubuntu1988 · Le 10/01/2018, à 01:49

berserk a écrit :

Et donc pour Spectre on peut rien faire c'est comme si on était à poil sur le net

Ça dépend, tant que tu as un usage sain de ton ordinateur (éviter les installations hors dépôts autant que possible), le risque que tu sois touché est quasi nul, sans oublier que les navigateurs se mettent aussi à jour, sans compter les bloqueurs de contenu qui peuvent aussi bloquer les scripts malicieux qui peuvent exploiter la faille. Donc oui, il faut rester méfiant mais pas non plus verser dans la parano

abecidofugy · Le 10/01/2018, à 04:32

Bon, tous mes serveurs sont à jour. Merci aux devs !

Baltus · Le 10/01/2018, à 04:59

Mise à jour du noyau réalisée (version 4.4.0-108.131-generic) pour Xenial 16.04 64 bits.

Blocage complet au démarrage de la machine avec ce noyau.

Boot sur l'ancien noyau 4.4.0-104.127-generic OK.

hguilbert · Le 10/01/2018, à 07:58

même problème chez moi.

http://ovh.to/Th8NHvc

Comme fournir plus d'info ??

Baltus · Le 10/01/2018, à 08:20

hguilbert a écrit :

même problème chez moi.
http://ovh.to/Th8NHvc
Comme fournir plus d'info ??

Salut

J'ai le même point de blocage que toi sur ta photo d'écran, je vais attendre ce soir, on aura peut-être un noyau corrigé.

Brunod · Le 10/01/2018, à 08:34

Attention : Il semble urgent d'attendre pour les 16.04 64 bits, le redémarrage pose problème. Voyez l'autre fil.
https://forum.ubuntu-fr.org/viewtopic.php?id=2020433

Baltus · Le 10/01/2018, à 08:46

Rapport de bug ici.

Lifesaver · Le 10/01/2018, à 09:26

berserk a écrit :

C'est bien pour combler la faille Meltdown ?
Et donc pour Spectre on peut rien faire c'est comme si on était à poil sur le net

Là je ne pige pas. J'ai bien conscience que la faille spectre est la plus dure à combler, pour autant le correctif fait référence à meltown ET spectre !
https://wiki.ubuntu.com/SecurityTeam/Kn … ndMeltdown
Alors que croire ?

grandtoubab · Le 10/01/2018, à 09:36

Le point sur les 3 failles vu de Debian
https://security-tracker.debian.org/tra … -2017-5715
https://security-tracker.debian.org/tra … -2017-5753
https://security-tracker.debian.org/tra … -2017-5754

1 seule corrigée sur les noyaux 3.2, 3.16, 4.9 et 4.14 qui sont des noyaux LTS ( https://www.kernel.org/category/releases.html )
ça doit pas être si facile que ça a corriger

Dernière modification par grandtoubab (Le 10/01/2018, à 09:48)

berserk · Le 10/01/2018, à 10:53

Baltus a écrit :

Mise à jour du noyau réalisée (version 4.4.0-108.131-generic) pour Xenial 16.04 64 bits.
Blocage complet au démarrage de la machine avec ce noyau.
Boot sur l'ancien noyau 4.4.0-104.127-generic OK.

ça serait pas un processeur AMD ?
car pour Windows la mise à jour a posé des problemes avec les processeurs AMD https://www.lesnumeriques.com/cpu-proce … 70111.html

Lifesaver · Le 10/01/2018, à 11:16

Je pige pas... Je viens d'avoir une maj de sécurité sur l'ensemble de mes 17.10

$ cat /proc/version
Linux version 4.13.0-25-generic (buildd@lgw01-amd64-039) (gcc version 7.2.0 (Ubuntu 7.2.0-8ubuntu3)) #29-Ubuntu SMP Mon Jan 8 21:14:41 UTC 2018

Mais j'ai toujours la glute d'intel qui me dit que je suis vulnérable, et phoronix test suite ne m'indique aucune perte de performance sensible...

bruno · Le 10/01/2018, à 11:31

grandtoubab a écrit :

ça doit pas être si facile que ça a corriger

Non, surtout qu'il ne s'agit pas de corriger mais de contourner un bug matériel (défaut des CPU). Un article un peu technique mais de très bone qualité en français : https://www.ovh.com/fr/blog/failles-de- … ic-averti/ , extrait:

OVH blog - Thomas Soete a écrit :

Il existe deux pistes pour corriger cette faille : la première consiste donc à modifier les compilateurs (Retpoline) ; la seconde repose sur le patch du microcode des CPU, comportant une nouvelle fonctionnalité sur laquelle travaille Intel, permettant au kernel de contrôler les prédictions du CPU. Mais, comme le kernel est lui aussi faillible à ce genre d’attaque, il faut également le corriger.
Comme vous pouvez le constater, exploiter les failles Meltdown et Spectre est loin d’être trivial. Il existe bel et bien des POC en laboratoire de l’exploitation de ces vulnérabilités, mais nous n’avons à ce jour aucune information faisant état d’une attaque par ce biais dans un environnement réel.

Je conseillerais donc de ne pas se précipiter sur les dernières mises à jour des noyaux avant qu'elles n'aient été éprouvées. Il n'y a pour l'heure aucune urgence.
D'autant que si ces failles arrivaient à être exploitées il faudrait un accès physique à la machine ou une action volontaire de l'administrateur pour installer une application malveillante.

Dernière modification par bruno (Le 10/01/2018, à 11:34)

jnq · Le 10/01/2018, à 11:42

Bonjour "D'autant que si ces failles arrivaient à être exploitées il faudrait un accès physique à la machine ou une action volontaire de l'administrateur pour installer une application malveillante."
Même pas un site internet avec le script java qui va bien et on vous vole toutes vos donnée et secret sans aucune trace. Sans compter un virus ou un malware qui pourrait faire de même. Un script sous ubuntu comme le script de test peu y arriver aussi.

bipede · Le 10/01/2018, à 12:52

jnq a écrit :

Bonjour "D'autant que si ces failles arrivaient à être exploitées il faudrait un accès physique à la machine ou une action volontaire de l'administrateur pour installer une application malveillante."
Même pas un site internet avec le script java qui va bien et on vous vole toutes vos donnée et secret sans aucune trace. Sans compter un virus ou un malware qui pourrait faire de même. Un script sous ubuntu comme le script de test peu y arriver aussi.

Il faut pour ça le mot de passe administrateur, et un script malveillant ne le possède pas, sauf si tu le lui donnes.
Le script de test peut le faire car tu le lances par sudo, c'est pourquoi il ne faut lancer que des scripts de source sûre (Intel ou Canonical).

LeJediGris · Le 10/01/2018, à 12:57

Salut,

Des tests de chez Phoronix.

A+

bruno · Le 10/01/2018, à 14:07

bipede a écrit :

…c'est pourquoi il ne faut lancer que des scripts de source sûre (Intel ou Canonical).

Idéalement il ne faut lancer aucun script, d'où qu'il vienne, sans en avoir analysé et compris le code.

nam1962 · Le 10/01/2018, à 14:49

nam1962 a écrit :

Pour la détection, il y aurait un [url=[modéré : pas d’auto-pub, merci]-meltdown-ordinateur-concerne/]moyen simple[/url] (à confirmer)

Tiens, je suis passé de :

~]$ cat /proc/cpuinfo| grep bugs
bugs		: cpu_insecure
bugs		: cpu_insecure
bugs		: cpu_insecure
bugs		: cpu_insecure

à

~]$ cat /proc/cpuinfo | grep bugs
bugs		: cpu_meltdown
bugs		: cpu_meltdown
bugs		: cpu_meltdown
bugs		: cpu_meltdown

herve33 · Le 10/01/2018, à 15:10

Slt,
avec quel OS, et les màj ont été faites ?

nam1962 · Le 10/01/2018, à 15:16

Là c'est une Manjaro unstable avec kernel 4.14, sur ma Xub, toujours :

~]$ cat /proc/cpuinfo | grep bugs
bugs		: 
bugs		:

Lifesaver · Le 10/01/2018, à 15:27

La maj de ce matin ne m'a résolu que la faille Meltdown, c'est normal à ce stade ?

Spectre and Meltdown mitigation detection tool v0.21

Checking for vulnerabilities against live running kernel Linux 4.13.0-25-generic #29-Ubuntu SMP Mon Jan 8 21:14:41 UTC 2018 x86_64

CVE-2017-5753 [bounds check bypass] aka 'Spectre Variant 1'
* Checking count of LFENCE opcodes in kernel:  NO  (only 42 opcodes found, should be >= 70)
> STATUS:  VULNERABLE  (heuristic to be improved when official patches become available)

CVE-2017-5715 [branch target injection] aka 'Spectre Variant 2'
* Mitigation 1
*   Hardware (CPU microcode) support for mitigation:  NO 
*   Kernel support for IBRS:  NO 
*   IBRS enabled for Kernel space:  NO 
*   IBRS enabled for User space:  NO 
* Mitigation 2
*   Kernel compiled with retpoline option:  NO 
*   Kernel compiled with a retpoline-aware compiler:  NO 
> STATUS:  VULNERABLE  (IBRS hardware + kernel support OR kernel with retpoline are needed to mitigate the vulnerability)

CVE-2017-5754 [rogue data cache load] aka 'Meltdown' aka 'Variant 3'
* Kernel supports Page Table Isolation (PTI):  YES 
* PTI enabled and active:  YES 
> STATUS:  NOT VULNERABLE  (PTI mitigates the vulnerability)

nam1962 · Le 10/01/2018, à 15:33

Même résultat chez moi sur Manjaro et Xubuntu

Nicolas13 · Le 10/01/2018, à 15:39

Bonjour,

Idem mais on dirait qu'il y a une nouvelle version en préparation :

Préparation du dépaquetage de .../linux-libc-dev_[b]4.4.0-109.132[/b]_amd64.deb ...
Dépaquetage de linux-libc-dev:amd64 (4.4.0-109.132) sur (4.4.0-108.131) ...
Paramétrage de linux-libc-dev:amd64 (4.4.0-109.132) ...

Dernière modification par Nicolas13 (Le 10/01/2018, à 15:39)

Lifesaver · Le 10/01/2018, à 15:43

Et pour l'instant, aucun benchmark de phoronix suite que j'ai pu testé ne m'indique la moindre perte de performance côté cpu

Nicolas13 · Le 10/01/2018, à 15:51

LifeSaver : Il y a 3 failles.

D'après ton rapport la faille CVE-2017-5754 est corrigée de ton côté (et du miens aussi).
Edit : C'est bien ce que tu signales dans ton message, j'ai répondu un peu vite ^^

Dernière modification par Nicolas13 (Le 10/01/2018, à 15:55)

Nicolas13 · Le 10/01/2018, à 16:02

Ca bouge :

Linux machine2Lamp 4.4.0-109-generic #132-Ubuntu SMP Tue Jan 9 19:52:39 UTC 2018 x86_64 x86_64 x86_64 GNU/Linux

Dernière modification par Nicolas13 (Le 10/01/2018, à 16:02)

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#126 Le 10/01/2018, à 01:49

Re : Faille de sécurité Intel: Comment mettre son noyau à jour ?

#127 Le 10/01/2018, à 04:32

Re : Faille de sécurité Intel: Comment mettre son noyau à jour ?

#128 Le 10/01/2018, à 04:59

Re : Faille de sécurité Intel: Comment mettre son noyau à jour ?

#129 Le 10/01/2018, à 07:58

Re : Faille de sécurité Intel: Comment mettre son noyau à jour ?

#130 Le 10/01/2018, à 08:20

Re : Faille de sécurité Intel: Comment mettre son noyau à jour ?

#131 Le 10/01/2018, à 08:34

Re : Faille de sécurité Intel: Comment mettre son noyau à jour ?

#132 Le 10/01/2018, à 08:46

Re : Faille de sécurité Intel: Comment mettre son noyau à jour ?

#133 Le 10/01/2018, à 09:26

Re : Faille de sécurité Intel: Comment mettre son noyau à jour ?

#134 Le 10/01/2018, à 09:36

Re : Faille de sécurité Intel: Comment mettre son noyau à jour ?

#135 Le 10/01/2018, à 10:53

Re : Faille de sécurité Intel: Comment mettre son noyau à jour ?

#136 Le 10/01/2018, à 11:16

Re : Faille de sécurité Intel: Comment mettre son noyau à jour ?

#137 Le 10/01/2018, à 11:31

Re : Faille de sécurité Intel: Comment mettre son noyau à jour ?

#138 Le 10/01/2018, à 11:42

Re : Faille de sécurité Intel: Comment mettre son noyau à jour ?

#139 Le 10/01/2018, à 12:52

Re : Faille de sécurité Intel: Comment mettre son noyau à jour ?

#140 Le 10/01/2018, à 12:57

Re : Faille de sécurité Intel: Comment mettre son noyau à jour ?

#141 Le 10/01/2018, à 14:07

Re : Faille de sécurité Intel: Comment mettre son noyau à jour ?

#142 Le 10/01/2018, à 14:49

Re : Faille de sécurité Intel: Comment mettre son noyau à jour ?

#143 Le 10/01/2018, à 15:10

Re : Faille de sécurité Intel: Comment mettre son noyau à jour ?

#144 Le 10/01/2018, à 15:16

Re : Faille de sécurité Intel: Comment mettre son noyau à jour ?

#145 Le 10/01/2018, à 15:27

Re : Faille de sécurité Intel: Comment mettre son noyau à jour ?

#146 Le 10/01/2018, à 15:33

Re : Faille de sécurité Intel: Comment mettre son noyau à jour ?

#147 Le 10/01/2018, à 15:39

Re : Faille de sécurité Intel: Comment mettre son noyau à jour ?

#148 Le 10/01/2018, à 15:43

Re : Faille de sécurité Intel: Comment mettre son noyau à jour ?

#149 Le 10/01/2018, à 15:51

Re : Faille de sécurité Intel: Comment mettre son noyau à jour ?

#150 Le 10/01/2018, à 16:02

Re : Faille de sécurité Intel: Comment mettre son noyau à jour ?

Pied de page des forums