Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#101 12-01-2018 23:06:13

Y316
Membre
Distrib. : stretch
Noyau : Linux 4.9.0-5-amd64
(G)UI : MATE
Inscription : 15-11-2012

Re : Faile de sécurité gravissime sur les CPU Intel

Encore un coup des reptiliens.

Je parie que la solution sera d'acheter quelque chose de plus puissant.
Ou plus merdique mais " new technologie à haut potentiel de dévellopement".

Debian 9 (stretch)  + la pire ICC que vous ayez probablement jamais rencontré.

Hors ligne

#102 12-01-2018 23:26:58

Frosch
Adhérent(e)
Lieu : Fabrique de chocolat
Distrib. : openSUSE Leap
Noyau : Linux 4.4
(G)UI : Plasma 5.8
Inscription : 09-12-2015
Site Web

Re : Faile de sécurité gravissime sur les CPU Intel

La faille en question est-elle spécifique à Intel ou AMD ou autres sont-ils concernés également?

Schokolade ist keine Lüge.
kde_userbar.gif

Hors ligne

#103 13-01-2018 00:08:25

d33p
Adhérent(e)
Lieu : Lorraine
Distrib. : Debian testing buster 64bits
Noyau : En fonction des updates testing buster
(G)UI : En fonction des updates testing buster
Inscription : 01-12-2015

Re : Faile de sécurité gravissime sur les CPU Intel

hello,

sous buster j'ai:

uname -a


Linux xxx 4.14.0-2-amd64 #1 SMP Debian 4.14.7-1 (2017-12-22) x86_64 GNU/Linux


sous stretch j'ai:

uname -a


Linux xxx 4.9.0-5-amd64 #1 SMP Debian 4.9.65-3+deb9u2 (2018-01-04) x86_64 GNU/Linux



Et il semble que le package "intel-microcode" est aussi important dans cette histoire...

JC

Dernière modification par d33p (13-01-2018 00:08:44)


science sans conscience n'est que ruine de l'âme...

En ligne

#104 13-01-2018 00:13:04

d33p
Adhérent(e)
Lieu : Lorraine
Distrib. : Debian testing buster 64bits
Noyau : En fonction des updates testing buster
(G)UI : En fonction des updates testing buster
Inscription : 01-12-2015

Re : Faile de sécurité gravissime sur les CPU Intel

Frosch a écrit :

La faille en question est-elle spécifique à Intel ou AMD ou autres sont-ils concernés également?


salut apparemment intel, amd, arm etc...
pas mal le link la:
https://www.ovh.com/fr/blog/failles-de- … ic-averti/

JC


science sans conscience n'est que ruine de l'âme...

En ligne

#105 13-01-2018 08:11:19

yoshi
Membre
Lieu : Normandie
Distrib. : PCLinuxOS / Salix
Noyau : 4.14.13 & 4.9.76 / 4.4.111
(G)UI : Plasma 5.11.5 / XFCE 4.12.3
Inscription : 05-03-2014

Re : Faile de sécurité gravissime sur les CPU Intel

Oui, Spectre, c'est tous les processeurs qui sont concernés. Et pas uniquement les X86.
Arm, mais aussi les POWER et SystemZ d'IBM, enfin quasiment tout cpu contemporain.

Dernière modification par yoshi (13-01-2018 08:23:04)


Desktop: CM Asus KCMA-D8. 2x AMD Opteron 4234 six coeurs @ 3,1 Ghz. 32 Go ddr3. GeForce GTX 1060.
Laptop: Toshiba C660-2D6. Intel core I3 2330M dual-core + HT @ 2,2 Ghz. 8 Go ddr3. GeForce 315M.
Media-Center: HP Compaq 6000 Pro. Intel Celeron E3400 dual-core @ 2,6 Ghz. 6 Go ddr3. GeForce GT 710.

Hors ligne

#106 13-01-2018 14:48:09

Tuxuedo
Membre
Inscription : 13-01-2018

Re : Faile de sécurité gravissime sur les CPU Intel

Hello

J'ai besoin de votre aide.
je viens de tester le script spectre-meltdown-checker.sh (v0.28) sous plusieurs machines sous Linux.
Malgré le fait que mon système debian soit à jour (4.9.0-5-686-pae), il semblerait qu'il soit toujours vulnérable.
Je ne comprends pas !
D'ailleurs, je pensais que les processeurs Intel Atom 2013> étaient immunisés à spectre. ?!?
J'ai testé le script sur raspbian (RPI3), il semblerai que ce soit ok, j'espère que le script vérifie quand même ..

Pouvez vous m'aider ?
Merci
---------------

26804775_10156235508578296_6588754656650608995_n.jpg?oh=5ecf6d9c6266c8e55834584212f16e4e&oe=5AE0AF3A

26733678_10156235508573296_4802005529569758240_n.jpg?oh=76c72cb4bb63a4ff3fb6f068fead1080&oe=5AED0998

script : https://raw.githubusercontent.com/…/spe … wn-checke…
Disclaimer:

This tool does its best to determine whether your system is immune (or has proper mitigations in place) for the
collectively named "speculative execution" vulnerabilities. It doesn't attempt to run any kind of exploit, and can't guarantee
that your system is secure, but rather helps you verifying whether your system has the known correct mitigations in place.
However, some mitigations could also exist in your kernel that this script doesn't know (yet) how to detect, or it might
falsely detect mitigations that in the end don't work as expected (for example, on backported or modified kernels).

Your system exposure also depends on your CPU. As of now, AMD and ARM processors are marked as immune to some or all of these
vulnerabilities (except some specific ARM models). All Intel processors manufactured since circa 1995 are thought to be vulnerable.
Whatever processor one uses, one might seek more information from the manufacturer of that processor and/or of the device
in which it runs.

The nature of the discovered vulnerabilities being quite new, the landscape of vulnerable processors can be expected
to change over time, which is why this script makes the assumption that all CPUs are vulnerable, except if the manufacturer
explicitly stated otherwise in a verifiable public announcement.

This tool has been released in the hope that it'll be useful, but don't use it to jump to conclusions about your security.

Dernière modification par Tuxuedo (13-01-2018 15:43:25)

Hors ligne

#107 13-01-2018 16:58:51

robert2a
Membre
Lieu : France
Distrib. : Buster 10
Noyau : Linux 4.14.0-2 4.14.7-1
(G)UI : Mate/Gnome
Inscription : 15-11-2014

Re : Faile de sécurité gravissime sur les CPU Intel

Bonjour


Spectre and Meltdown mitigation detection tool v0.29

Checking for vulnerabilities against running kernel Linux 4.9.0-5-amd64 #1 SMP Debian 4.9.65-3+deb9u2 (2018-01-04) x86_64
CPU is Intel(R) Core(TM) i7-3770 CPU @ 3.40GHz

CVE-2017-5753 [bounds check bypass] aka 'Spectre Variant 1'
* Checking count of LFENCE opcodes in kernel:  NO
> STATUS:  VULNERABLE  (only 25 opcodes found, should be >= 70, heuristic to be improved when official patches become available)

CVE-2017-5715 [branch target injection] aka 'Spectre Variant 2'
* Mitigation 1
*   Hardware (CPU microcode) support for mitigation:  NO
*   Kernel support for IBRS:  NO
*   IBRS enabled for Kernel space:  NO
*   IBRS enabled for User space:  NO
* Mitigation 2
*   Kernel compiled with retpoline option:  NO
*   Kernel compiled with a retpoline-aware compiler:  NO
> STATUS:  VULNERABLE  (IBRS hardware + kernel support OR kernel with retpoline are needed to mitigate the vulnerability)

CVE-2017-5754 [rogue data cache load] aka 'Meltdown' aka 'Variant 3'
* Kernel supports Page Table Isolation (PTI):  YES
* PTI enabled and active:  YES
> STATUS:  NOT VULNERABLE  (PTI mitigates the vulnerability)

A false sense of security is worse than no security at all, see --disclaimer
 




Spectre and Meltdown mitigation detection tool v0.29

Checking for vulnerabilities against running kernel Linux 4.9.0-5-amd64 #1 SMP Debian 4.9.65-3+deb9u2 (2018-01-04) x86_64
CPU is Intel(R) Core(TM)2 Quad CPU Q9550 @ 2.83GHz

CVE-2017-5753 [bounds check bypass] aka 'Spectre Variant 1'
* Checking count of LFENCE opcodes in kernel:  NO
> STATUS:  VULNERABLE  (only 25 opcodes found, should be >= 70, heuristic to be improved when official patches become available)

CVE-2017-5715 [branch target injection] aka 'Spectre Variant 2'
* Mitigation 1
*   Hardware (CPU microcode) support for mitigation:  NO
*   Kernel support for IBRS:  NO
*   IBRS enabled for Kernel space:  NO
*   IBRS enabled for User space:  NO
* Mitigation 2
*   Kernel compiled with retpoline option:  NO
*   Kernel compiled with a retpoline-aware compiler:  NO
> STATUS:  VULNERABLE  (IBRS hardware + kernel support OR kernel with retpoline are needed to mitigate the vulnerability)

CVE-2017-5754 [rogue data cache load] aka 'Meltdown' aka 'Variant 3'
* Kernel supports Page Table Isolation (PTI):  YES
* PTI enabled and active:  YES
> STATUS:  NOT VULNERABLE  (PTI mitigates the vulnerability)

A false sense of security is worse than no security at all, see --disclaimer
 



je vais pas tous les faire  roll
le plus récent


Spectre and Meltdown mitigation detection tool v0.29

Checking for vulnerabilities against running kernel Linux 4.9.0-5-amd64 #1 SMP Debian 4.9.65-3+deb9u2 (2018-01-04) x86_64
CPU is AMD Ryzen Threadripper 1950X 16-Core Processor

CVE-2017-5753 [bounds check bypass] aka 'Spectre Variant 1'
* Checking count of LFENCE opcodes in kernel:  NO
> STATUS:  VULNERABLE  (only 25 opcodes found, should be >= 70, heuristic to be improved when official patches become available)

CVE-2017-5715 [branch target injection] aka 'Spectre Variant 2'
* Mitigation 1
*   Hardware (CPU microcode) support for mitigation:  NO
*   Kernel support for IBRS:  NO
*   IBRS enabled for Kernel space:  NO
*   IBRS enabled for User space:  NO
* Mitigation 2
*   Kernel compiled with retpoline option:  NO
*   Kernel compiled with a retpoline-aware compiler:  NO
> STATUS:  VULNERABLE  (IBRS hardware + kernel support OR kernel with retpoline are needed to mitigate the vulnerability)

CVE-2017-5754 [rogue data cache load] aka 'Meltdown' aka 'Variant 3'
* Kernel supports Page Table Isolation (PTI):  YES
* PTI enabled and active:  NO
> STATUS:  NOT VULNERABLE  (your CPU vendor reported your CPU model as not vulnerable)

A false sense of security is worse than no security at all, see --disclaimer
 

Dernière modification par robert2a (13-01-2018 17:10:55)

Hors ligne

#108 13-01-2018 17:31:08

Tuxuedo
Membre
Inscription : 13-01-2018

Re : Faile de sécurité gravissime sur les CPU Intel

robert2a a écrit :

Bonjour



Hello
Ce sont  de beaux processeurs !

En ce qui me concerne, je n'ai que de vielles machines, dont beaucoup de vieux x86 32-bits à part 2 ou 3 exceptions.
Des pc familiaux ou que j'ai récupéré, je fais tourner Debian.
On m'a dit que ça n'avait pas de d'intérêt de tester le script sur des processeurs 32 bits parce que le script ne teste que (KPTI)..
Donc les processeurs 32 bits ne feraient pas de calcul spéculatif ?

Dans l'exemple que j'ai donné il s'agit d'un laptop avec un proc Intel Atom N270 x 2, il me semblait que cette série était immunisé !?
Sur chaque pc que j'ai testé (32bits ou 64), ils étaient tous vulnérables d'après le script pourtant j'ai fais un mise à jour de tous les systèmes.
J'ai par contre faire une erreur car sur les 64 bits ce sont de vielles debian dont j'ai toujours fais l'upgrade et il faut que je les formates pour les passer sour linux-image-64.

Mais j'aimerais vraiment comprendre ce qu'il en est pour tous les vieux pc en 32 bits.

Merci

Hors ligne

#109 13-01-2018 18:28:57

robert2a
Membre
Lieu : France
Distrib. : Buster 10
Noyau : Linux 4.14.0-2 4.14.7-1
(G)UI : Mate/Gnome
Inscription : 15-11-2014

Re : Faile de sécurité gravissime sur les CPU Intel

je sais pas pour le 32bits , AMD est en 64 depuis très longtemps et intel les derniers Pentium4 étaient en 64 il me semble , donc le problème est très ancien.
le gros souci est au niveau des entreprises , pour un pariculier c'est moins sensible je suppose .
toute manière on ne peut que subir  roll

Hors ligne

#110 13-01-2018 19:21:55

Tuxuedo
Membre
Inscription : 13-01-2018

Re : Faile de sécurité gravissime sur les CPU Intel

robert2a a écrit :

toute manière on ne peut que subir  roll



Lol, En effet ... hmm
En parlant d'AMD j'ai encore un Athlon XP 1800+ big_smile

J'ai trouvé une liste complète des processeurs affectés par Meltdown/Spectre, tout ceux ces vieux trucs ne semble pas y figurer mais j'aimerais être certain..
On dit pourtant dans la presse que même les processeurs datant de 95 sont affectés .. en 95 j'avais un 486 .. so !! scratchhead.gif

Merci pour tes réponses

Hors ligne

#111 13-01-2018 19:58:24

Y316
Membre
Distrib. : stretch
Noyau : Linux 4.9.0-5-amd64
(G)UI : MATE
Inscription : 15-11-2012

Re : Faile de sécurité gravissime sur les CPU Intel

x86_64  32-bit, 64-bit
AMD Athlon(tm) II X2 250 Processor 800MHz

4.9.0-5-amd64 #1 SMP Debian 4.9.65-3+deb9u2 (2018-01-04) x86_64 GNU/Linux

disable
unpatched sad

Debian 9 (stretch)  + la pire ICC que vous ayez probablement jamais rencontré.

Hors ligne

#112 13-01-2018 20:14:00

robert2a
Membre
Lieu : France
Distrib. : Buster 10
Noyau : Linux 4.14.0-2 4.14.7-1
(G)UI : Mate/Gnome
Inscription : 15-11-2014

Re : Faile de sécurité gravissime sur les CPU Intel

=>  https://bugs.debian.org/cgi-bin/pkgrepo … t=unstable


Resolved bugs -- Grave functionality bugs (2 bugs)

    #886367 [G|S|☺] [intel-microcode] intel-microcode: coming updates for meltdown/spectre
    #886806 [G|PS|☺] [intel-microcode] intel-microcode: New version 20180108 published
 



ceci est pas cool


Outstanding bugs -- Grave functionality bugs; Unclassified (1 bug)

    #886998 [G|  |  ] [intel-microcode] intel-microcode: regressions on Haswell, Broadwell (crashes/reboots) and Kaby Lake (sleep-to-ram)
 



sur un intel kabylake


Spectre and Meltdown mitigation detection tool v0.29

Checking for vulnerabilities against running kernel Linux 4.14.0-2-amd64 #1 SMP Debian 4.14.7-1 (2017-12-22) x86_64
CPU is Intel(R) Core(TM) i7-7700 CPU @ 3.60GHz

CVE-2017-5753 [bounds check bypass] aka 'Spectre Variant 1'
* Checking count of LFENCE opcodes in kernel:  NO
> STATUS:  VULNERABLE  (only 23 opcodes found, should be >= 70, heuristic to be improved when official patches become available)

CVE-2017-5715 [branch target injection] aka 'Spectre Variant 2'
* Mitigation 1
*   Hardware (CPU microcode) support for mitigation:  YES
*   Kernel support for IBRS:  NO
*   IBRS enabled for Kernel space:  NO
*   IBRS enabled for User space:  NO
* Mitigation 2
*   Kernel compiled with retpoline option:  NO
*   Kernel compiled with a retpoline-aware compiler:  NO
> STATUS:  VULNERABLE  (IBRS hardware + kernel support OR kernel with retpoline are needed to mitigate the vulnerability)

CVE-2017-5754 [rogue data cache load] aka 'Meltdown' aka 'Variant 3'
* Kernel supports Page Table Isolation (PTI):  NO
* PTI enabled and active:  NO
> STATUS:  VULNERABLE  (PTI is needed to mitigate the vulnerability)

A false sense of security is worse than no security at all, see --disclaimer
 



le firmware de buster/sid apporte quelque chose


* Mitigation 1
*   Hardware (CPU microcode) support for mitigation:  YES
 



en #107 j'ai soit aucun microcode installé , soit trop vieux  , les 3 sont sur "NO"

Dernière modification par robert2a (13-01-2018 20:23:29)

Hors ligne

#113 13-01-2018 20:42:08

Tuxuedo
Membre
Inscription : 13-01-2018

Re : Faile de sécurité gravissime sur les CPU Intel

Oui j'ai lu qu'il y avait aussi ce genre de problème sur les correctifs d'intel ..
J'espère au moins que les pc ne "rebootent" pas en boucle ..

Il y a deux machines (64bits) que je dois formater, je me demandais si je n'allais pas installer Buster.
Histoire d'être un peu plus à jour dans les softwares. J'échange aussi un peu de stabilité contre de la sécurité si possible.

Haaaa ! L'informatique !

Hors ligne

#114 14-01-2018 10:03:11

d33p
Adhérent(e)
Lieu : Lorraine
Distrib. : Debian testing buster 64bits
Noyau : En fonction des updates testing buster
(G)UI : En fonction des updates testing buster
Inscription : 01-12-2015

Re : Faile de sécurité gravissime sur les CPU Intel

hello,

mode blague "ON"

Au fait les gars, j'espere que vous avez tous pris le pli, depuis ce scandale, lorsque vous achetez un processeur, de demander 30 % de ristourne dessus! lol... (cf 30 % de perte de perf) ^^

mode blague "OFF"

bye
JC

science sans conscience n'est que ruine de l'âme...

En ligne

#115 14-01-2018 11:24:01

nono47
Membre
Lieu : dans l'engrenage ...
Distrib. : sid
Noyau : Linux 4.14.0-3-amd64
(G)UI : gnome-shell
Inscription : 09-05-2012

Re : Faile de sécurité gravissime sur les CPU Intel

Salut,

C'est surtout que les ordinausores avec leurs vieux processeurs vont aller plus vite que les nouveaux ordinateurs ! coyotus.png

Dernière modification par nono47 (14-01-2018 11:24:11)

Hors ligne

#116 14-01-2018 11:44:22

robert2a
Membre
Lieu : France
Distrib. : Buster 10
Noyau : Linux 4.14.0-2 4.14.7-1
(G)UI : Mate/Gnome
Inscription : 15-11-2014

Re : Faile de sécurité gravissime sur les CPU Intel

Bonjour
je regarde sur mon ryzen 1700X avec le noyau 4.9 en testing

https://packages.debian.org/fr/buster/amd64-microcode
https://bugs.debian.org/cgi-bin/pkgrepo … t=unstable


Spectre and Meltdown mitigation detection tool v0.29

Checking for vulnerabilities against running kernel Linux 4.9.0-5-amd64 #1 SMP Debian 4.9.65-3+deb9u2 (2018-01-04) x86_64
CPU is AMD Ryzen 7 1700X Eight-Core Processor

CVE-2017-5753 [bounds check bypass] aka 'Spectre Variant 1'
* Checking count of LFENCE opcodes in kernel:  NO
> STATUS:  VULNERABLE  (only 25 opcodes found, should be >= 70, heuristic to be improved when official patches become available)

CVE-2017-5715 [branch target injection] aka 'Spectre Variant 2'
* Mitigation 1
*   Hardware (CPU microcode) support for mitigation:  NO
*   Kernel support for IBRS:  NO
*   IBRS enabled for Kernel space:  NO
*   IBRS enabled for User space:  NO
* Mitigation 2
*   Kernel compiled with retpoline option:  NO
*   Kernel compiled with a retpoline-aware compiler:  NO
> STATUS:  VULNERABLE  (IBRS hardware + kernel support OR kernel with retpoline are needed to mitigate the vulnerability)

CVE-2017-5754 [rogue data cache load] aka 'Meltdown' aka 'Variant 3'
* Kernel supports Page Table Isolation (PTI):  YES
* PTI enabled and active:  NO
> STATUS:  NOT VULNERABLE  (your CPU vendor reported your CPU model as not vulnerable)

A false sense of security is worse than no security at all, see --disclaimer
 


ps: ci dessus pas de microcode amd64  installé
je vais repasser au 4.14.7 avec le firmware "amd64-microcode" installé (de décembre 2017) , et peut etre testé le noyau de sid (4.14.12)
et mettre a jour mon bios ASUS (mais je me fait pas trop d'illusion )

rien a changé  =>  *   Hardware (CPU microcode) support for mitigation:  NO

dès que je peut faire un reboot je teste le noyau de Sid (je suis toujours sur le 4.14.7-1 ) ......  (dans sid le 4.14.13-1  devrait pas tarder ......  )
voila avec le noyau de sid
a priori le cpu n'est pas vulnérable a  Meltdown donc le noyau n'a pas activé PTI (si j'ai bien tout compris )
pour Spectre c'est loin d'etre réglé  roll


Spectre and Meltdown mitigation detection tool v0.29

Checking for vulnerabilities against running kernel Linux 4.14.0-3-amd64 #1 SMP Debian 4.14.12-2 (2018-01-06) x86_64
CPU is AMD Ryzen 7 1700X Eight-Core Processor

CVE-2017-5753 [bounds check bypass] aka 'Spectre Variant 1'
* Checking count of LFENCE opcodes in kernel:  NO
> STATUS:  VULNERABLE  (only 23 opcodes found, should be >= 70, heuristic to be improved when official patches become available)

CVE-2017-5715 [branch target injection] aka 'Spectre Variant 2'
* Mitigation 1
*   Hardware (CPU microcode) support for mitigation:  NO
*   Kernel support for IBRS:  NO
*   IBRS enabled for Kernel space:  NO
*   IBRS enabled for User space:  NO
* Mitigation 2
*   Kernel compiled with retpoline option:  NO
*   Kernel compiled with a retpoline-aware compiler:  NO
> STATUS:  VULNERABLE  (IBRS hardware + kernel support OR kernel with retpoline are needed to mitigate the vulnerability)

CVE-2017-5754 [rogue data cache load] aka 'Meltdown' aka 'Variant 3'
* Kernel supports Page Table Isolation (PTI):  YES
* PTI enabled and active:  NO
> STATUS:  NOT VULNERABLE  (your CPU vendor reported your CPU model as not vulnerable)

A false sense of security is worse than no security at all, see --disclaimer
 



un serveur en Intel Xeon


Spectre and Meltdown mitigation detection tool v0.29

Checking for vulnerabilities against running kernel Linux 4.9.0-5-amd64 #1 SMP Debian 4.9.65-3+deb9u2 (2018-01-04) x86_64
CPU is Intel(R) Xeon(R) CPU E5-2620 0 @ 2.00GHz

CVE-2017-5753 [bounds check bypass] aka 'Spectre Variant 1'
* Checking count of LFENCE opcodes in kernel:  NO
> STATUS:  VULNERABLE  (only 25 opcodes found, should be >= 70, heuristic to be improved when official patches become available)

CVE-2017-5715 [branch target injection] aka 'Spectre Variant 2'
* Mitigation 1
*   Hardware (CPU microcode) support for mitigation:  NO
*   Kernel support for IBRS:  NO
*   IBRS enabled for Kernel space:  NO
*   IBRS enabled for User space:  NO
* Mitigation 2
*   Kernel compiled with retpoline option:  NO
*   Kernel compiled with a retpoline-aware compiler:  NO
> STATUS:  VULNERABLE  (IBRS hardware + kernel support OR kernel with retpoline are needed to mitigate the vulnerability)

CVE-2017-5754 [rogue data cache load] aka 'Meltdown' aka 'Variant 3'
* Kernel supports Page Table Isolation (PTI):  YES
* PTI enabled and active:  YES
> STATUS:  NOT VULNERABLE  (PTI mitigates the vulnerability)

A false sense of security is worse than no security at all, see --disclaimer
 

Dernière modification par robert2a (14-01-2018 18:47:45)

Hors ligne

#117 15-01-2018 03:32:48

scorpio810
Membre
Lieu : 81
Distrib. : Debian SID
Noyau : Latest
(G)UI : KDE
Inscription : 22-06-2017
Site Web

Re : Faile de sécurité gravissime sur les CPU Intel

@robert2a : le firmware "amd64-microcode" tous frais dans Sid ne concerne que les Ryzen Epyc (Naples) 800f12, et pas les Ryzen r3, r5, r7 et TR dont leur CPUID est 800f11.
Je l'ai quand même essayé sur un kernel 4.14.13 vanilla : la version du microcode reste le même. -> https://forum.hardware.fr/hfr/Hardware/ … #t10310799
https://forum.hardware.fr/hfr/Hardware/ … #t10307642

OVH a mis en place une documentation qui recense l'avancées des patchs Meltdown et variantes de Spectre suivant les OS et versions, OS que OHV propose of course : Find your patch for Meltdown and Spectre
https://docs.ovh.com/fr/dedicated/meltd … ng-system/

Dernière modification par scorpio810 (15-01-2018 03:38:57)


debian Kernel:  4.14.0-trunk-amd64 x86_64 Desktop: KDE Plasma 5.10.5
AMD Ryzen 7 1700X Eight-Core  Advanced Micro Devices [AMD/ATI] Lexa PRO [Radeon RX 550]  Display Server: x11 (X.Org 1.19.5 ) drivers: ati,amdgpu (unloaded: modesetting,fbdev,vesa,radeon)  OpenGL: renderer: Radeon RX 550 Series (POLARIS12 / DRM 3.19.0 / 4.14.0-trunk-amd64, LLVM 5.0.0)
version: 4.5 Mesa 17.3.0-rc5

Hors ligne

#118 15-01-2018 05:32:16

robert2a
Membre
Lieu : France
Distrib. : Buster 10
Noyau : Linux 4.14.0-2 4.14.7-1
(G)UI : Mate/Gnome
Inscription : 15-11-2014

Re : Faile de sécurité gravissime sur les CPU Intel

Bonjour
donc pour AMD rien , quand au firmware il est de décembre 2017 sur Buster et Sid

le firmware d'intel a un bug grave (reboot , freeze )  de janvier 2018
mais le noyau de sid (4.14.12) donne une alerte (carte mère avec le dernier bios du constructeur)


janv. 15 04:05:36 debian11 kernel: [Firmware Bug]: TSC_DEADLINE disabled due to Errata;
 please update microcode to version: 0x22 (or later)
 


je veut bien updater mais pour l'instant pas de mise a jour du microcode (sans prise de risque  roll  )


Spectre and Meltdown mitigation detection tool v0.29

Checking for vulnerabilities against running kernel Linux 4.14.0-3-amd64 #1 SMP Debian 4.14.12-2 (2018-01-06) x86_64
CPU is Intel(R) Core(TM) i7-4770K CPU @ 3.50GHz

CVE-2017-5753 [bounds check bypass] aka 'Spectre Variant 1'
* Checking count of LFENCE opcodes in kernel:  NO
> STATUS:  VULNERABLE  (only 23 opcodes found, should be >= 70, heuristic to be improved when official patches become available)

CVE-2017-5715 [branch target injection] aka 'Spectre Variant 2'
* Mitigation 1
*   Hardware (CPU microcode) support for mitigation:  NO
*   Kernel support for IBRS:  NO
*   IBRS enabled for Kernel space:  NO
*   IBRS enabled for User space:  NO
* Mitigation 2
*   Kernel compiled with retpoline option:  NO
*   Kernel compiled with a retpoline-aware compiler:  NO
> STATUS:  VULNERABLE  (IBRS hardware + kernel support OR kernel with retpoline are needed to mitigate the vulnerability)

CVE-2017-5754 [rogue data cache load] aka 'Meltdown' aka 'Variant 3'
* Kernel supports Page Table Isolation (PTI):  YES
* PTI enabled and active:  YES
> STATUS:  NOT VULNERABLE  (PTI mitigates the vulnerability)

A false sense of security is worse than no security at all, see --disclaimer
 



je vais finir par passer toutes les machines en Sid  tongue

Dernière modification par robert2a (15-01-2018 05:32:59)

Hors ligne

#119 15-01-2018 11:41:33

Tuxuedo
Membre
Inscription : 13-01-2018

Re : Faile de sécurité gravissime sur les CPU Intel

Hello
Le script en version 0.31 me donne le résultat que j'attendais .. un bon point pour ce vieux processeur.

Spectre and Meltdown mitigation detection tool v0.31

Checking for vulnerabilities against running kernel Linux 4.9.0-5-686-pae #1 SMP Debian 4.9.65-3+deb9u2 (2018-01-04) i686
CPU is Intel(R) Atom(TM) CPU N270 @ 1.60GHz

CVE-2017-5753 [bounds check bypass] aka 'Spectre Variant 1'
* Checking count of LFENCE opcodes in kernel:  NO
> STATUS:  VULNERABLE  (only 26 opcodes found, should be >= 70, heuristic to be improved when official patches become available)

CVE-2017-5715 [branch target injection] aka 'Spectre Variant 2'
* Mitigation 1
*   Hardware (CPU microcode) support for mitigation
*     The SPEC_CTRL MSR is available:  NO
*     The SPEC_CTRL CPUID feature bit is set:  NO
*   Kernel support for IBRS:  NO
*   IBRS enabled for Kernel space:  NO
*   IBRS enabled for User space:  NO
* Mitigation 2
*   Kernel compiled with retpoline option:  NO
*   Kernel compiled with a retpoline-aware compiler:  NO
> STATUS:  NOT VULNERABLE  (your CPU vendor reported your CPU model as not vulnerable)

CVE-2017-5754 [rogue data cache load] aka 'Meltdown' aka 'Variant 3'
* Kernel supports Page Table Isolation (PTI):  NO
* PTI enabled and active:  NO
* Checking if we're running under Xen PV (64 bits):  NO
> STATUS:  NOT VULNERABLE  (your CPU vendor reported your CPU model as not vulnerable)

A false sense of security is worse than no security at all, see --disclaimer
 

Hors ligne

#120 Hier 00:25:47

Tristan07
Adhérent(e)
Distrib. : Debian 9, Stretch
Noyau : Linux 4.9.0-4-amd64
(G)UI : kde Plasma 5.8.6
Inscription : 21-05-2016
Site Web

Re : Faile de sécurité gravissime sur les CPU Intel

scorpio810 a écrit :

@robert2a : le firmware "amd64-microcode" tous frais dans Sid ne concerne que les Ryzen Epyc (Naples) 800f12, et pas les Ryzen r3, r5, r7 et TR dont leur CPUID est 800f11.
Je l'ai quand même essayé sur un kernel 4.14.13 vanilla : la version du microcode reste le même. -> https://forum.hardware.fr/hfr/Hardware/ … #t10310799
https://forum.hardware.fr/hfr/Hardware/ … #t10307642

OVH a mis en place une documentation qui recense l'avancées des patchs Meltdown et variantes de Spectre suivant les OS et versions, OS que OHV propose of course : Find your patch for Meltdown and Spectre
https://docs.ovh.com/fr/dedicated/meltd … ng-system/



SAlut,

Du coup maintenant que fait-on ? Trouver des versions plus à jour ? Moins vulnérables ? Ne plus se connecter sur internet ? Abandonner le Cloud ? Revenir au papier ?
Beaucoup de questions, mais j'imagine un peu pour quelqu'un qui débarque ici ou sur une autre disto, à qui l'on a dit que "Linux t'inquiètes c'est tranquille" et là, Bim ! T'es aussi vulnérable que les autres mon coco malgré la merveille de sécurité et de liberté que représente ton système...  Les efforts mis dans le partage, l'ouverture tout ce qui contribue à faire de GNU/Linux un système non pas infaillible mais certainement plus tranquille questions attaques externes, mis en vrac par des industriels qui en plus de te faire payer bien cher ne sont pas capables de maîtriser leur technologie.
Il faudrait des processeurs Libres tiens ! Y a bien des voitures open source !
http://linuxfr.org/news/la-voiture-en-open-source
https://fr.wikipedia.org/wiki/Voiture_open_source

Dernière modification par Tristan07 (Hier 00:27:29)

Hors ligne

#121 Hier 00:25:53

robert2a
Membre
Lieu : France
Distrib. : Buster 10
Noyau : Linux 4.14.0-2 4.14.7-1
(G)UI : Mate/Gnome
Inscription : 15-11-2014

Re : Faile de sécurité gravissime sur les CPU Intel

Bonjour
le noyau 4.14.13 n'apporte rien de mieux que le 4.9 de Stretch
le firmware Intel  améliore ceci (le dernier de janvier 2018 Buster ou Sid)


* Mitigation 1
*   Hardware (CPU microcode) support for mitigation:  NO
*   Kernel support for IBRS:  NO
*   IBRS enabled for Kernel space:  NO
 


le firmware AMD n'apporte rien
AMD ne semble pas touché par 'Meltdown'  , bien que je les ai pas tous testé

nota : sur ASUS quelques bios du 05/01/2018 a mettre a jour , idem n'améliore rien (sur KabyLake par exemple (Z270) , sur TR4 aussi )

Dernière modification par robert2a (Hier 00:27:48)

Hors ligne

#122 Hier 00:36:48

Tristan07
Adhérent(e)
Distrib. : Debian 9, Stretch
Noyau : Linux 4.9.0-4-amd64
(G)UI : kde Plasma 5.8.6
Inscription : 21-05-2016
Site Web

Re : Faile de sécurité gravissime sur les CPU Intel

PAs encore testé sur le portable. Sur le fixe j'ai ceci :

Spectre and Meltdown mitigation detection tool v0.31                                                                                                                                                                              
                                                                                                                                                                                                                                   
Checking for vulnerabilities against running kernel Linux 4.9.0-5-amd64 #1 SMP Debian 4.9.65-3+deb9u2 (2018-01-04) x86_64                                                                                                          
CPU is Intel(R) Core(TM) i5 CPU 760 @ 2.80GHz                                                                                                                                                                                      
                                                                                                                                                                                                                                   
CVE-2017-5753 [bounds check bypass] aka 'Spectre Variant 1'                                                                                                                                                                        
* Checking count of LFENCE opcodes in kernel:  NO                                                                                                                                                                                  
> STATUS:  VULNERABLE  (only 25 opcodes found, should be >= 70, heuristic to be improved when official patches become available)                                                                                                  
                                                                                                                                                                                                                                   
CVE-2017-5715 [branch target injection] aka 'Spectre Variant 2'                                                                                                                                                                    
* Mitigation 1                                                                                                                                                                                                                    
*   Hardware (CPU microcode) support for mitigation                                                                                                                                                                                
*     The SPEC_CTRL MSR is available:  NO                                                                                                                                                                                          
*     The SPEC_CTRL CPUID feature bit is set:  NO                                                                                                                                                                                  
*   Kernel support for IBRS:  NO                                                                                                                                                                                                  
*   IBRS enabled for Kernel space:  NO                                                                                                                                                                                            
*   IBRS enabled for User space:  NO
* Mitigation 2
*   Kernel compiled with retpoline option:  NO
*   Kernel compiled with a retpoline-aware compiler:  NO
> STATUS:  VULNERABLE  (IBRS hardware + kernel support OR kernel with retpoline are needed to mitigate the vulnerability)

CVE-2017-5754 [rogue data cache load] aka 'Meltdown' aka 'Variant 3'
* Kernel supports Page Table Isolation (PTI):  YES
* PTI enabled and active:  YES
* Checking if we're running under Xen PV (64 bits):  NO
> STATUS:  NOT VULNERABLE  (PTI mitigates the vulnerability)

A false sense of security is worse than no security at all, see --disclaimer


bloc à supprimer si la commande n’affiche rien


Seul Meldown semble "patché" Je reste vulnérable à Spectre ...

Dernière modification par Tristan07 (Hier 00:38:01)

Hors ligne

#123 Hier 00:46:25

Y316
Membre
Distrib. : stretch
Noyau : Linux 4.9.0-5-amd64
(G)UI : MATE
Inscription : 15-11-2012

Re : Faile de sécurité gravissime sur les CPU Intel

Script version 0.31 puis installation amd64-microcode
=>>Rien de changé pour AMD Athlon(tm) II X2 250

Est-ce utile de conserver ce paquet  ?
Si je peux m'en passer, je préfère éviter le non-free.

Checking for vulnerabilities against running kernel Linux 4.9.0-5-amd64 #1 SMP Debian 4.9.65-3+deb9u2 (2018-01-04) x86_64
CPU is AMD Athlon(tm) II X2 250 Processor
CVE-2017-5753 [bounds check bypass] aka 'Spectre Variant 1'
* Checking count of LFENCE opcodes in kernel:  NO
> STATUS:  VULNERABLE  (only 25 opcodes found, should be >= 70, heuristic to be improved when official patches become available)

CVE-2017-5715 [branch target injection] aka 'Spectre Variant 2'
* Mitigation 1
*   Hardware (CPU microcode) support for mitigation
*     The SPEC_CTRL MSR is available:  NO
*     The SPEC_CTRL CPUID feature bit is set:  NO
*   Kernel support for IBRS:  NO
*   IBRS enabled for Kernel space:  NO
*   IBRS enabled for User space:  NO
* Mitigation 2
*   Kernel compiled with retpoline option:  NO
*   Kernel compiled with a retpoline-aware compiler:  NO
> STATUS:  VULNERABLE  (IBRS hardware + kernel support OR kernel with retpoline are needed to mitigate the vulnerability)

CVE-2017-5754 [rogue data cache load] aka 'Meltdown' aka 'Variant 3'
* Kernel supports Page Table Isolation (PTI):  YES
* PTI enabled and active:  NO
* Checking if we're running under Xen PV (64 bits):  NO
> STATUS:  NOT VULNERABLE  (your CPU vendor reported your CPU model as not vulnerable)

A false sense of security is worse than no security at all, see --disclaimer




Du coup maintenant que fait-on ?

Faudrait exiger la désactivation de tout ce qui resemble à un armement quelconque et qui contient un processeur.


Debian 9 (stretch)  + la pire ICC que vous ayez probablement jamais rencontré.

Hors ligne

#124 Hier 00:57:57

jiherbay
Membre
Lieu : sudouest33 sur le A de Atlanti
Distrib. : HL 2.5.x - leap 42.1 - stretch 9
(G)UI : Xfce // KDE
Inscription : 12-07-2016

Re : Faile de sécurité gravissime sur les CPU Intel

Bonsoir à toutes et tous
Comme je suis une part importante des " neuneux " ,je n'ai trouvé nul part dans ce fil la façon dont on peu " chopper " les bêtes en question
Est ce en faisant une installation de logiciel , une MàJ , ??
Et toutes les lignes de codes que je trouve sur le fil ,il faut les taper dans un terminal ou dans un éditeur de texte genre " nano " ou autre
Bonne soirée

Hors ligne

#125 Hier 01:10:42

robert2a
Membre
Lieu : France
Distrib. : Buster 10
Noyau : Linux 4.14.0-2 4.14.7-1
(G)UI : Mate/Gnome
Inscription : 15-11-2014

Re : Faile de sécurité gravissime sur les CPU Intel

pour Intel le microcode de 2018 donne ceci comme amélioration sur Spectre ( debian sid )


CVE-2017-5715 [branch target injection] aka 'Spectre Variant 2'
* Mitigation 1
*   Hardware (CPU microcode) support for mitigation
*     The SPEC_CTRL MSR is available:  YES
*     The SPEC_CTRL CPUID feature bit is set:  YES
 



@jiherbay

non juste mettre a jour ta Stretch et attendre  roll
pour le script tu peu le trouver ici =>  https://github.com/speed47/spectre-meltdown-checker
(a droite le bouton vert )
si tu veut tester.
le lancer en root (console)


./spectre-meltdown-checker.sh
 

Dernière modification par robert2a (Hier 01:12:54)

Hors ligne

Pied de page des forums