Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#226 10-02-2018 00:16:16

yoshi
Membre
Inscription : 05-03-2014

Re : Faille de sécurité gravissime sur les CPU Intel

Oui, PCLinuxOS est une distribution Linux, dérivée de Mandriva en 2002/2003.
C'est une rolling qui utilise des paquets rpm gérés par apt/synaptic.
SysVinit, pas de systemd.

C'est ma distribution principale. Sur 2 de mes trois machines. J'ai réinstallé une Debian 9 sur ma 3eme machine il y a peu de temps.

https://distrowatch.com/table.php?distr … =pclinuxos

Dernière modification par yoshi (10-02-2018 00:23:06)

Hors ligne

#227 10-02-2018 00:31:32

Haricophile
Adhérent(e)
Lieu : Pignans (Var)
Distrib. : SID
Noyau : 4.0.0-1-amd64
(G)UI : Mate / i3 selon...
Inscription : 14-09-2009

Re : Faille de sécurité gravissime sur les CPU Intel

Au fait, je crois qu'on a oublié de poster le commentaire de Linus à propos des patches d'Intel, ou il explique avec sa délicatesse habituelles que c'est de la foutaise qui pose de graves problèmes sans résoudre quoique ce soit.

« Argumenter avec des imbéciles, c'est comme jouer aux échecs contre un pigeon.  Peu importe votre niveau, le pigeon va juste renverser toutes les pièces, chier sur le plateau et se pavaner fièrement comme si il avait gagné. »

Hors ligne

#228 10-02-2018 01:18:11

yoshi
Membre
Inscription : 05-03-2014

Re : Faille de sécurité gravissime sur les CPU Intel

Oui, c'est vrai. Je l'ai vu et lu, mais pas pensé à mettre un lien...

Dernière modification par yoshi (10-02-2018 01:19:06)

Hors ligne

#229 10-02-2018 01:25:21

yoshi
Membre
Inscription : 05-03-2014

Re : Faille de sécurité gravissime sur les CPU Intel

http://www.zdnet.fr/actualites/spectre- … 63076.html

Voila, c'est fait ....

Dernière modification par yoshi (10-02-2018 01:28:30)

Hors ligne

#230 18-02-2018 04:25:48

yoshi
Membre
Inscription : 05-03-2014

Re : Faille de sécurité gravissime sur les CPU Intel

J'ai enfin trouvé (tout seul) ce qui bloquait le boot du 4.15 sur ma machine bi-Opteron.
A force de regarder les erreurs de "tentative de boot" .....

Un module à blacklister dans /etc/modprobe.d/blacklist-compat:

blacklist ipmi_si



Par contre, je n'ai pas trop compris pourquoi ce truc me bloquait.
Ca m'a l'air d'être une fonction serveur. Si un connaisseur pouvait éclairer ma lanterne, je lui en serais reconnaissant !

Hors ligne

#231 18-02-2018 11:55:08

Haricophile
Adhérent(e)
Lieu : Pignans (Var)
Distrib. : SID
Noyau : 4.0.0-1-amd64
(G)UI : Mate / i3 selon...
Inscription : 14-09-2009

Re : Faille de sécurité gravissime sur les CPU Intel

yoshi a écrit :


Par contre, je n'ai pas trop compris pourquoi ce truc me bloquait.
Ca m'a l'air d'être une fonction serveur. Si un connaisseur pouvait éclairer ma lanterne, je lui en serais reconnaissant !



Je ne saurais pas t'en dire plus que  :

https://packages.debian.org/stretch/ipmitool
http://www.gnu.org/software/freeipmi/

Tu as du installer un outil de supervision a un moment ou a un autre. Rien ne semble installé par défaut. Je ne sais pas si ça bloque à cause de ton installation ou a cause de quelque chose de buggué dans ton matériel (un bios foireux, un firmware...), sans rien connaître je suivrais ces deux pistes : installation incomplète ou mal configurée // pb matériel non conforme ou défectueux. Ça c'est si tu avais besoin de cet outil, ta solution résoud le problème, un peu brutalement certes... cool


« Argumenter avec des imbéciles, c'est comme jouer aux échecs contre un pigeon.  Peu importe votre niveau, le pigeon va juste renverser toutes les pièces, chier sur le plateau et se pavaner fièrement comme si il avait gagné. »

Hors ligne

#232 18-02-2018 12:09:33

Debian Alain
Adhérent(e)
Lieu : BREST
Distrib. : W$10 / stable / ubuntu / testing
Noyau : Linux 4.18.0-2-amd64 debian
(G)UI : Gnome wayland / Gdm3
Inscription : 11-03-2017

Re : Faille de sécurité gravissime sur les CPU Intel

enfin !

~$ grep . /sys/devices/system/cpu/vulnerabilities/*


/sys/devices/system/cpu/vulnerabilities/meltdown:Not affected
/sys/devices/system/cpu/vulnerabilities/spectre_v1:Mitigation: __user pointer sanitization
/sys/devices/system/cpu/vulnerabilities/spectre_v2:Mitigation: Full AMD retpoline



avec :

~$ uname -a


Linux Alain-PC-BUSTER 4.15.4-amd64 #1 SMP Sat Feb 17 20:42:01 CET 2018 x86_64 GNU/Linux



et malgré :

~$ apt policy gcc


gcc:
  Installé : 4:7.2.0-1d1
  Candidat : 4:7.2.0-1d1
 Table de version :
 *** 4:7.2.0-1d1 500
        500 http://ftp.fr.debian.org/debian testing/main amd64 Packages
        100 http://ftp.fr.debian.org/debian unstable/main amd64 Packages
        100 /var/lib/dpkg/status



et pour finir :

~$ sudo sh spectre-meltdown-checker.sh


Spectre and Meltdown mitigation detection tool v0.34+

Checking for vulnerabilities on current system
Kernel is Linux 4.15.4-amd64 #1 SMP Sat Feb 17 20:42:01 CET 2018 x86_64
CPU is AMD Ryzen 7 1700X Eight-Core Processor

Hardware check
* Hardware support (CPU microcode) for mitigation techniques
  * Indirect Branch Restricted Speculation (IBRS)
    * SPEC_CTRL MSR is available:  NO
    * CPU indicates IBRS capability:  NO
  * Indirect Branch Prediction Barrier (IBPB)
    * PRED_CMD MSR is available:  NO
    * CPU indicates IBPB capability:  NO
  * Single Thread Indirect Branch Predictors (STIBP)
    * SPEC_CTRL MSR is available:  NO
    * CPU indicates STIBP capability:  NO
  * Enhanced IBRS (IBRS_ALL)
    * CPU indicates ARCH_CAPABILITIES MSR availability:  NO
    * ARCH_CAPABILITIES MSR advertises IBRS_ALL capability:  NO
  * CPU explicitly indicates not being vulnerable to Meltdown (RDCL_NO):  NO
  * CPU microcode is known to cause stability problems:  NO
* CPU vulnerability to the three speculative execution attacks variants
  * Vulnerable to Variant 1:  YES
  * Vulnerable to Variant 2:  YES
  * Vulnerable to Variant 3:  NO

CVE-2017-5753 [bounds check bypass] aka 'Spectre Variant 1'
* Mitigated according to the /sys interface:  YES  (kernel confirms that the mitigation is active)
* Kernel has array_index_mask_nospec:  YES  (1 occurence(s) found of 64 bits array_index_mask_nospec())
> STATUS:  NOT VULNERABLE  (Mitigation: __user pointer sanitization)

CVE-2017-5715 [branch target injection] aka 'Spectre Variant 2'
* Mitigated according to the /sys interface:  YES  (kernel confirms that the mitigation is active)
* Mitigation 1
  * Kernel is compiled with IBRS/IBPB support:  NO
  * Currently enabled features
    * IBRS enabled for Kernel space:  NO
    * IBRS enabled for User space:  NO
    * IBPB enabled:  NO
* Mitigation 2
  * Kernel compiled with retpoline option:  YES
  * Kernel compiled with a retpoline-aware compiler:  YES  (kernel reports full retpoline compilation)
  * Retpoline enabled:  NO
> STATUS:  NOT VULNERABLE  (Mitigation: Full AMD retpoline)

CVE-2017-5754 [rogue data cache load] aka 'Meltdown' aka 'Variant 3'
* Mitigated according to the /sys interface:  YES  (kernel confirms that your CPU is unaffected)
* Kernel supports Page Table Isolation (PTI):  YES
* PTI enabled and active:  NO
* Running as a Xen PV DomU:  NO
> STATUS:  NOT VULNERABLE  (your CPU vendor reported your CPU model as not vulnerable)

A false sense of security is worse than no security at all, see --disclaimer
 


1498812139.jpg    Antonio Vivaldi - Winter (Trance Remix) 
RYZEN7 1700X - PRIME X370 PRO - 16 Go DDR4 - RADEON PULSE RX 550 4GB DDR5 OC UEFI - CORSAIR RM750X - SSD crucial MX500 500GB

En ligne

#233 18-02-2018 14:10:14

robert2a
Membre
Lieu : France
Inscription : 15-11-2014

Re : Faille de sécurité gravissime sur les CPU Intel

yoshi a écrit :

J'ai enfin trouvé (tout seul) ce qui bloquait le boot du 4.15 sur ma machine bi-Opteron.
A force de regarder les erreurs de "tentative de boot" .....

Un module à blacklister dans /etc/modprobe.d/blacklist-compat:

blacklist ipmi_si



Par contre, je n'ai pas trop compris pourquoi ce truc me bloquait.
Ca m'a l'air d'être une fonction serveur. Si un connaisseur pouvait éclairer ma lanterne, je lui en serais reconnaissant !



Bonjour yoshi

IPMI est pour la gestion de ton serveur , je l'ai installé sur intel mais jamais utilisé (ensuite supprimé).
nota:j'ai une connection par http sur le réseau (par une carte dédié ou redirigé sur le réseau local)

sur l' Opteron ça fait un momment que j'ai une erreur IPMI avec le 4.14 mais j'ai pas cherché plus loin.
ce qui me dérrange c'est que le noyau détecte des choses alors que le module du serveur est désactivé (par strap et dans le bios )
donc sans logiciel et le matériel désactivé pour moi c'est un bug
le petit module s'appelle BMC (sur intel et amd ) donc désactivé chez moi (je peu meme enlever le module sur le serveur intel ) , il y a peut etre une autre option dans le bios pour empécher cette erreur , mais bon blacklister c'est bien aussi

si tu fais "apt search ipmi" ou une recherche dans synaptic  , tu verra  des paquets disponibles si tu veut tester.
il faut un barbu pour confirmer si réellement un lien avec le petit module BMC du serveur et cette erreur IPMI

nota : sans trop tester tu a le watch dog , température , reboot , arret , démarrage ,toutes les alarmes etc .....
renseigne toi sur ta carte mère sur cette option
sur l opteron par exemple j'ai 2 cartes réseau plus une troisième pour la gestion du serveur (hors réseau ou dans le réseau local par un switch)  (qui peut etre redirigé (pas de cable réseau sur le RJ45 de la gestion ) sur la carte du réseau local (la première ))
comme toi j'ai le serveur chez moi , donc la gestion a distance n'est pas utilisé.

sur la documentation de la carte mère tu dois trouver ton bonheur.
mon explication n'est pas des plus claire  roll

En ligne

#234 18-02-2018 14:50:29

yoshi
Membre
Inscription : 05-03-2014

Re : Faille de sécurité gravissime sur les CPU Intel

Merci pour vos réponses !

@ robert2a: tes explications sont claires, pas de soucis ! wink

J'ai bien sur été regarder sur le net ce qu'était IPMI. Je ne connaissais pas .... Et je n'ai pas du tout besoin des fonctions qu'offre cette techno.
Je pense effectivement que le problème vient du fait que mes deux Opteron sont bien sur une carte mère serveur. (deux cartes réseau pour moi).

Je n'ai pas vu d'option(s) dans le bios. Peut être un bug matériel/logiciel, je ne sais pas vraiment ....
En tous cas, le problème est apparu avec le kernel 4.15, pas avec les 4.14, 4.9 et 4.4.

Le "blacklist" règle le problème et c'est le plus important pour moi. Je ne suis plus bloqué sur le 4.14 LTS.

Dernière modification par yoshi (18-02-2018 16:11:22)

Hors ligne

#235 19-02-2018 00:10:47

yoshi
Membre
Inscription : 05-03-2014

Re : Faille de sécurité gravissime sur les CPU Intel

https://www.asus.com/Commercial-Servers … ns/KCMAD8/

https://www.asus.com/Commercial-Servers … ASMB4iKVM/

J'ai mes réponses.
Pour l'ipmi sur ma carte mère, il faut un module optionnel que je ne possède pas.

Même conclusion que robert2a: c'est un bug du noyau !

Merci à Debian Alain pour son aide et ses recherches en MP !  wink

Dernière modification par yoshi (19-02-2018 00:11:09)

Hors ligne

#236 19-02-2018 00:30:42

robert2a
Membre
Lieu : France
Inscription : 15-11-2014

Re : Faille de sécurité gravissime sur les CPU Intel

Pour Asus le module BMC te permet a l'aide de firefox par exemple de joindre le serveur et de faire de la maintenance ou relever les erreurs (journal) et configurer les IP , envoie de journaux etc ........

voila a quoi ça ressemble  =>  https://www.asus.com/us/Commercial-Serv … ASMB6iKVM/

sont contenu


Chipset
Aspeed 2300  => un gpu basic
Internal RAM
112 MB for system  => un peu de mémoire
16 MB for video
Internal ROM
32 MB   => une rom (petit bios pour le ipmi )
Timers
32-bit Watchdog Timer    =>  (le chien de garde pour un reboot automatique en cas de plantage du système)
Features
IPMI 2.0-compliant and supports  =>    compatible ipmi version 2.0
KVM over LAN
Web-based user interface (remote management)     =>    l'interface web
Virtual media
Network Bonding support  
Form Factor
22 mm x 17 mm
 



c'est tout petit   wink
nota: la rom peu se mettre a jour comme le bios

Dernière modification par robert2a (19-02-2018 00:37:54)

En ligne

#237 19-02-2018 15:26:54

robert2a
Membre
Lieu : France
Inscription : 15-11-2014

Re : Faille de sécurité gravissime sur les CPU Intel

Bonjour

sur Sid le noyau 4.15 serait disponible , mais avec synaptic je ne vois pas tous les paquets (avec "apt search" il semble que oui )
je vais attendre un peu , avec le driver nonfree il me faut quelque chose de complet  pour bien compiler les modules

En ligne

#238 20-02-2018 10:17:33

Debian Alain
Adhérent(e)
Lieu : BREST
Distrib. : W$10 / stable / ubuntu / testing
Noyau : Linux 4.18.0-2-amd64 debian
(G)UI : Gnome wayland / Gdm3
Inscription : 11-03-2017

Re : Faille de sécurité gravissime sur les CPU Intel

noyau 4.15.0-1-amd64 officiel debian :

~$ uname -a


Linux Alain-PC-BUSTER 4.15.0-1-amd64 #1 SMP Debian 4.15.4-1 (2018-02-18) x86_64 GNU/Linux



~$ sudo sh spectre-meltdown-checker.sh


[sudo] Mot de passe de alain : 
Spectre and Meltdown mitigation detection tool v0.34+

Checking for vulnerabilities on current system
Kernel is Linux 4.15.0-1-amd64 #1 SMP Debian 4.15.4-1 (2018-02-18) x86_64
CPU is AMD Ryzen 7 1700X Eight-Core Processor

Hardware check
* Hardware support (CPU microcode) for mitigation techniques
  * Indirect Branch Restricted Speculation (IBRS)
    * SPEC_CTRL MSR is available:  NO
    * CPU indicates IBRS capability:  NO
  * Indirect Branch Prediction Barrier (IBPB)
    * PRED_CMD MSR is available:  NO
    * CPU indicates IBPB capability:  NO
  * Single Thread Indirect Branch Predictors (STIBP)
    * SPEC_CTRL MSR is available:  NO
    * CPU indicates STIBP capability:  NO
  * Enhanced IBRS (IBRS_ALL)
    * CPU indicates ARCH_CAPABILITIES MSR availability:  NO
    * ARCH_CAPABILITIES MSR advertises IBRS_ALL capability:  NO
  * CPU explicitly indicates not being vulnerable to Meltdown (RDCL_NO):  NO
  * CPU microcode is known to cause stability problems:  NO
* CPU vulnerability to the three speculative execution attacks variants
  * Vulnerable to Variant 1:  YES
  * Vulnerable to Variant 2:  YES
  * Vulnerable to Variant 3:  NO

CVE-2017-5753 [bounds check bypass] aka 'Spectre Variant 1'
* Mitigated according to the /sys interface:  YES  (kernel confirms that the mitigation is active)
* Kernel has array_index_mask_nospec:  YES  (1 occurence(s) found of 64 bits array_index_mask_nospec())
> STATUS:  NOT VULNERABLE  (Mitigation: __user pointer sanitization)

CVE-2017-5715 [branch target injection] aka 'Spectre Variant 2'
* Mitigated according to the /sys interface:  YES  (kernel confirms that the mitigation is active)
* Mitigation 1
  * Kernel is compiled with IBRS/IBPB support:  NO
  * Currently enabled features
    * IBRS enabled for Kernel space:  NO
    * IBRS enabled for User space:  NO
    * IBPB enabled:  NO
* Mitigation 2
  * Kernel compiled with retpoline option:  YES
  * Kernel compiled with a retpoline-aware compiler:  YES  (kernel reports full retpoline compilation)
  * Retpoline enabled:  NO
> STATUS:  NOT VULNERABLE  (Mitigation: Full AMD retpoline)

CVE-2017-5754 [rogue data cache load] aka 'Meltdown' aka 'Variant 3'
* Mitigated according to the /sys interface:  YES  (kernel confirms that your CPU is unaffected)
* Kernel supports Page Table Isolation (PTI):  YES
* PTI enabled and active:  NO
* Running as a Xen PV DomU:  NO
> STATUS:  NOT VULNERABLE  (your CPU vendor reported your CPU model as not vulnerable)

A false sense of security is worse than no security at all, see --disclaimer
 



~$ grep . /sys/devices/system/cpu/vulnerabilities/*


/sys/devices/system/cpu/vulnerabilities/meltdown:Not affected
/sys/devices/system/cpu/vulnerabilities/spectre_v1:Mitigation: __user pointer sanitization
/sys/devices/system/cpu/vulnerabilities/spectre_v2:Mitigation: Full AMD retpoline



mais toujours :

~$ apt policy gcc


gcc:
  Installé : 4:7.2.0-1d1
  Candidat : 4:7.2.0-1d1
 Table de version :
 *** 4:7.2.0-1d1 500
        500 http://ftp.fr.debian.org/debian testing/main amd64 Packages
        100 http://ftp.fr.debian.org/debian unstable/main amd64 Packages
        100 /var/lib/dpkg/status



je relève les propos de scorpio au post #221 , page 9 je  crois :

scorpio a écrit :

Tu as besoin de compiler ton kernel avec un compilateur récent comme GCC 7.3
Kernel compiled with a retpoline-aware compiler:  YES  (kernel reports full retpoline compilation)
Dernière modification par scorpio810 (09-02-2018 16:36:39)



malgré tout , je relève , dans l'utilitaire :

CVE-2017-5715 [branch target injection] aka 'Spectre Variant 2'
* Mitigated according to the /sys interface:  YES  (kernel confirms that the mitigation is active)
* Mitigation 1
* Kernel is compiled with IBRS/IBPB support:  NO
  * Currently enabled features
    * IBRS enabled for Kernel space:  NO
    * IBRS enabled for User space:  NO
    * IBPB enabled:  NO



plus particulièrement :

  * Kernel is compiled with IBRS/IBPB support:  NO



je ne sais que penser d'autant plus que , apparemment , google n'est pas mon ami sur ce point là .


1498812139.jpg    Antonio Vivaldi - Winter (Trance Remix) 
RYZEN7 1700X - PRIME X370 PRO - 16 Go DDR4 - RADEON PULSE RX 550 4GB DDR5 OC UEFI - CORSAIR RM750X - SSD crucial MX500 500GB

En ligne

#239 20-02-2018 12:00:15

yoshi
Membre
Inscription : 05-03-2014

Re : Faille de sécurité gravissime sur les CPU Intel

Ca donne ça chez moi, je suis avec gcc 7.3 :

sh spectre-meltdown-checker.sh




Spectre and Meltdown mitigation detection tool v0.35

Checking for vulnerabilities on current system
Kernel is Linux 4.15.4-pclos1 #1 SMP Sat Feb 17 12:42:05 CST 2018 x86_64
CPU is AMD Opteron(tm) Processor 4234

Hardware check
* Hardware support (CPU microcode) for mitigation techniques
  * Indirect Branch Restricted Speculation (IBRS)
    * SPEC_CTRL MSR is available:  NO
    * CPU indicates IBRS capability:  NO
  * Indirect Branch Prediction Barrier (IBPB)
    * PRED_CMD MSR is available:  NO
    * CPU indicates IBPB capability:  NO
  * Single Thread Indirect Branch Predictors (STIBP)
    * SPEC_CTRL MSR is available:  NO
    * CPU indicates STIBP capability:  NO
  * Enhanced IBRS (IBRS_ALL)
    * CPU indicates ARCH_CAPABILITIES MSR availability:  NO
    * ARCH_CAPABILITIES MSR advertises IBRS_ALL capability:  NO
  * CPU explicitly indicates not being vulnerable to Meltdown (RDCL_NO):  NO
  * CPU microcode is known to cause stability problems:  NO
* CPU vulnerability to the three speculative execution attacks variants
  * Vulnerable to Variant 1:  YES
  * Vulnerable to Variant 2:  YES
  * Vulnerable to Variant 3:  NO

CVE-2017-5753 [bounds check bypass] aka 'Spectre Variant 1'
* Mitigated according to the /sys interface:  YES  (kernel confirms that the mitigation is active)
* Kernel has array_index_mask_nospec:  NO
* Kernel has the Red Hat/Ubuntu patch:  NO
* Checking count of LFENCE instructions following a jump in kernel...  NO  (only 0 jump-then-lfence instructions found, should be >= 30 (heuristic))
> STATUS:  NOT VULNERABLE  (Mitigation: __user pointer sanitization)

CVE-2017-5715 [branch target injection] aka 'Spectre Variant 2'
* Mitigated according to the /sys interface:  YES  (kernel confirms that the mitigation is active)
* Mitigation 1
  * Kernel is compiled with IBRS/IBPB support:  NO
  * Currently enabled features
    * IBRS enabled for Kernel space:  NO
    * IBRS enabled for User space:  NO
    * IBPB enabled:  NO
* Mitigation 2
  * Kernel compiled with retpoline option:  YES
  * Kernel compiled with a retpoline-aware compiler:  YES  (kernel reports full retpoline compilation)
> STATUS:  NOT VULNERABLE  (Mitigation: Full AMD retpoline)

CVE-2017-5754 [rogue data cache load] aka 'Meltdown' aka 'Variant 3'
* Mitigated according to the /sys interface:  YES  (kernel confirms that your CPU is unaffected)
* Kernel supports Page Table Isolation (PTI):  YES
* PTI enabled and active:  NO
* Running as a Xen PV DomU:  NO
> STATUS:  NOT VULNERABLE  (your CPU vendor reported your CPU model as not vulnerable)

A false sense of security is worse than no security at all, see --disclaimer

Hors ligne

#240 22-02-2018 12:21:28

robert2a
Membre
Lieu : France
Inscription : 15-11-2014

Re : Faille de sécurité gravissime sur les CPU Intel

Bonjour
sur le threadripper avec le noyau de sid


Linux amdtr4 4.15.0-1-amd64 #1 SMP Debian 4.15.4-1 (2018-02-18) x86_64 GNU/Linux
 




grep . /sys/devices/system/cpu/vulnerabilities/*
 



/sys/devices/system/cpu/vulnerabilities/meltdown:Not affected
/sys/devices/system/cpu/vulnerabilities/spectre_v1:Mitigation: __user pointer sanitization
/sys/devices/system/cpu/vulnerabilities/spectre_v2:Mitigation: Full AMD retpoline
 



il faut que je récupère le dernier .sh pour le test


Spectre and Meltdown mitigation detection tool v0.35

Checking for vulnerabilities on current system
Kernel is Linux 4.15.0-1-amd64 #1 SMP Debian 4.15.4-1 (2018-02-18) x86_64
CPU is AMD Ryzen Threadripper 1950X 16-Core Processor

Hardware check
* Hardware support (CPU microcode) for mitigation techniques
  * Indirect Branch Restricted Speculation (IBRS)
    * SPEC_CTRL MSR is available:  NO
    * CPU indicates IBRS capability:  NO
  * Indirect Branch Prediction Barrier (IBPB)
    * PRED_CMD MSR is available:  NO
    * CPU indicates IBPB capability:  NO
  * Single Thread Indirect Branch Predictors (STIBP)
    * SPEC_CTRL MSR is available:  NO
    * CPU indicates STIBP capability:  NO
  * Enhanced IBRS (IBRS_ALL)
    * CPU indicates ARCH_CAPABILITIES MSR availability:  NO
    * ARCH_CAPABILITIES MSR advertises IBRS_ALL capability:  NO
  * CPU explicitly indicates not being vulnerable to Meltdown (RDCL_NO):  NO
  * CPU microcode is known to cause stability problems:  NO
* CPU vulnerability to the three speculative execution attacks variants
  * Vulnerable to Variant 1:  YES
  * Vulnerable to Variant 2:  YES
  * Vulnerable to Variant 3:  NO

CVE-2017-5753 [bounds check bypass] aka 'Spectre Variant 1'
* Mitigated according to the /sys interface:  YES  (kernel confirms that the mitigation is active)
* Kernel has array_index_mask_nospec:  YES  (1 occurence(s) found of 64 bits array_index_mask_nospec())
* Kernel has the Red Hat/Ubuntu patch:  NO
> STATUS:  NOT VULNERABLE  (Mitigation: __user pointer sanitization)

CVE-2017-5715 [branch target injection] aka 'Spectre Variant 2'
* Mitigated according to the /sys interface:  YES  (kernel confirms that the mitigation is active)
* Mitigation 1
  * Kernel is compiled with IBRS/IBPB support:  NO
  * Currently enabled features
    * IBRS enabled for Kernel space:  NO
    * IBRS enabled for User space:  NO
    * IBPB enabled:  NO
* Mitigation 2
  * Kernel compiled with retpoline option:  YES
  * Kernel compiled with a retpoline-aware compiler:  YES  (kernel reports full retpoline compilation)
> STATUS:  NOT VULNERABLE  (Mitigation: Full AMD retpoline)

CVE-2017-5754 [rogue data cache load] aka 'Meltdown' aka 'Variant 3'
* Mitigated according to the /sys interface:  YES  (kernel confirms that your CPU is unaffected)
* Kernel supports Page Table Isolation (PTI):  YES
* PTI enabled and active:  NO
* Running as a Xen PV DomU:  NO
> STATUS:  NOT VULNERABLE  (your CPU vendor reported your CPU model as not vulnerable)

A false sense of security is worse than no security at all, see --disclaimer
 



meme retour que Ryzen

nota : pour Debian Alain  =>  https://packages.debian.org/buster/gcc-7

=>  https://tracker.debian.org/pkg/gcc-7

Dernière modification par robert2a (22-02-2018 13:55:11)

En ligne

#241 25-02-2018 15:48:51

robert2a
Membre
Lieu : France
Inscription : 15-11-2014

Re : Faille de sécurité gravissime sur les CPU Intel

sur stretch avec la mise a jour du noyau
sur un bi-xeon


grep . /sys/devices/system/cpu/vulnerabilities/*
/sys/devices/system/cpu/vulnerabilities/meltdown:Mitigation: PTI
/sys/devices/system/cpu/vulnerabilities/spectre_v1:Mitigation: __user pointer sanitization
/sys/devices/system/cpu/vulnerabilities/spectre_v2:Mitigation: Full generic retpoline
 


roll

sur une machine intel  i7 4770K sous Buster
avec ce noyau :  => " 4.14.0-3-amd64 #1 SMP Debian 4.14.17-1 (2018-02-14) x86_64 GNU/Linux"


grep . /sys/devices/system/cpu/vulnerabilities/*
/sys/devices/system/cpu/vulnerabilities/meltdown:Mitigation: PTI
/sys/devices/system/cpu/vulnerabilities/spectre_v1:Vulnerable
/sys/devices/system/cpu/vulnerabilities/spectre_v2:Mitigation: Full generic retpoline
 



pour l'instant Buster ne me propose pas le 4.15 , je suppose que c'est les paquets "linux-image-amd64 et linux-headers-amd64" qui bloque la mise a jour sur mes machines
sur ryzen et threadripper a partir de Sid je suis passé en 4.15 dans la meme configuration

Dernière modification par robert2a (25-02-2018 16:48:37)

En ligne

#242 13-03-2018 08:59:20

robert2a
Membre
Lieu : France
Inscription : 15-11-2014

Re : Faille de sécurité gravissime sur les CPU Intel

yoshi a écrit :

J'ai enfin trouvé (tout seul) ce qui bloquait le boot du 4.15 sur ma machine bi-Opteron.
A force de regarder les erreurs de "tentative de boot" .....

Un module à blacklister dans /etc/modprobe.d/blacklist-compat:

blacklist ipmi_si



Par contre, je n'ai pas trop compris pourquoi ce truc me bloquait.
Ca m'a l'air d'être une fonction serveur. Si un connaisseur pouvait éclairer ma lanterne, je lui en serais reconnaissant !



le retour du mien avec le 4.15


journalctl -r -p err
 



-- Logs begin at Tue 2018-03-13 07:41:15 CET, end at Tue 2018-03-13 07:42:23 CET. --
mars 13 07:41:19 opterontest kernel: nouveau 0000:01:00.0: bus: MMIO read of 00000000 FAULT at 10ac08 [ IBUS ]
mars 13 07:41:19 opterontest kernel: nouveau 0000:01:00.0: bus: MMIO read of 00000000 FAULT at 3e6684 [ IBUS ]
mars 13 07:41:17 opterontest kernel: ipmi_si dmi-ipmi-si.0: Could not set up I/O space
 



le module est en place mais désactivé dans le bios et par un strap sur la carte mère (comme pour la vidéo intégré )


Linux opterontest 4.15.0-1-amd64 #1 SMP Debian 4.15.4-1 (2018-02-18) x86_64 GNU/Linux
 



la carte mère est mono processeur et de marque différente  roll


Nom de modèle :                          AMD Opteron(tm) Processor 6320
Révision :                               0
Vitesse du processeur en MHz :           2923.271
Vitesse maximale du processeur en MHz :  2800,0000
Vitesse minimale du processeur en MHz :  1400,0000
 



ça reste un mystère que tu sois obligé de blacklister l ipmi

Dernière modification par robert2a (13-03-2018 09:01:33)

En ligne

#243 13-03-2018 09:16:50

yoshi
Membre
Inscription : 05-03-2014

Re : Faille de sécurité gravissime sur les CPU Intel

Bonjour robert2a ;

Oui, ça reste un mystère .... Mais bon, le blacklist a règlé le problème.
J'en suis au 4.15.9 et plus aucun soucis.  wink

Hors ligne

#244 15-03-2018 09:39:35

nono47
Invité

Re : Faille de sécurité gravissime sur les CPU Intel

C'est la même en plus costaud chez AMD ! ( dont les ryzen ) : Processeurs AMD : des failles de sécurité majeures découvertes

un extrait a écrit :


Une autre firme de sécurité informatique, enSilo, a même estimé que les failles révélées mardi étaient sans doute pires que Spectre et Meltdown, notamment en raison de leur résistance à la réinstallation.

#245 15-03-2018 14:18:36

yoshi
Membre
Inscription : 05-03-2014

Re : Faille de sécurité gravissime sur les CPU Intel

Journal de LinuxFR sur le sujet:

https://linuxfr.org/users/spacefox/jour … -la-course

Traduction de l'avis de Linus Torvalds:

Il semble que le monde de la sécurité informatique a atteint un nouveau creux.

Si vous travaillez dans le domaine de la sécurité et que vous pensez avoir de la moralité, je pense que vous voudrez peut-être ajouter l'étiquette

"Non, vraiment, je ne suis pas une pute."

à votre carte de visite. Parce que je pensais que toute l'industrie était corrompue auparavant, mais ça devient ridicule.

À quel moment les agents de sécurité admettront-ils avoir un problème de prostitution?

Dernière modification par yoshi (15-03-2018 14:25:22)

Hors ligne

#246 16-03-2018 02:27:20

yoshi
Membre
Inscription : 05-03-2014

Re : Faille de sécurité gravissime sur les CPU Intel

Hors ligne

#247 19-03-2018 11:50:19

robert2a
Membre
Lieu : France
Inscription : 15-11-2014

Re : Faille de sécurité gravissime sur les CPU Intel

Bonjour
quelqu'un a une idée de pourquoi les deux méta-paquets linux-image-amd64 et linux-headers-amd64 non pas été mit a jour sur Buster ?
a priori ça verrouille la mise a jour du 4.14 vers le 4.15 si ils sont présent
j'ai pensé a un oubli mais maintenant cela fait quelque temps que le 4.15 est présent dans Buster

https://packages.debian.org/fr/buster/linux-image-amd64
https://packages.debian.org/buster/linu … .0-1-amd64

nota : je suis passé par sid pour installer le 4.15 sur certaines machines (toutes ont les "méta-paquet" installés )

En ligne

Pied de page des forums