Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#1 03-01-2018 08:26:47

yoshi
Membre
Lieu : Normandie
Distrib. : PCLinuxOS / Debian 9
Noyau : 4.14.19 / 4.9.0-5-amd64
(G)UI : Plasma 5.12.1 /Mate 1.16.2
Inscription : 05-03-2014

Faille de sécurité gravissime sur les CPU Intel

source: LinuxFR.org:

http://linuxfr.org/users/pied/journaux/ … chez-intel

source: lord.re:

https://lord.re/fast-posts/04-faille-cpu-intel-2018/

Sur Framasphere également, le journal du hacker, etc .....

Desktop: CM Asus KCMA-D8. 2x AMD Opteron 4234 six coeurs @ 3,1 Ghz. 32 Go ddr3. GeForce GTX 1060.
Laptop: Toshiba C660-2D6. Intel core I3 2330M dual-core + HT @ 2,2 Ghz. 8 Go ddr3. GeForce 315M.
Media-Center: HP Compaq 6000 Pro. Intel Celeron E3400 dual-core @ 2,6 Ghz. 6 Go ddr3. GeForce GT 710.

Hors ligne

#2 03-01-2018 09:22:09

smolski
administrateur quasi...modo
Lieu : AIN
Distrib. : 9 (stretch) 64 bits + backports
Noyau : 4.9.65-3+deb9u2
(G)UI : gnome
Inscription : 21-10-2008

Re : Faille de sécurité gravissime sur les CPU Intel

en me basant sur des pures spéculations à travers le web.


On se calme donc, parce que  le web, hein § big_smile


"Théo et Adama te rappellent pourquoi Zyed et Bouna couraient…"
"L'utopie ne signifie pas l'irréalisable, mais l'irréalisée." - T Monod (source :  La zone de Siné)
"Je peux rire de tout mais pas avec n'importe qui." - P Desproges
"saque eud dun" (patois chtimi : fonce dedans)

Hors ligne

#3 03-01-2018 10:04:48

sogal
Black Metal Modo
Lieu : Nord Isère
Distrib. : openSUSE Leap 42.3
Noyau : Linux 4.4.76
(G)UI : GNOME
Inscription : 09-05-2013
Site Web

Re : Faille de sécurité gravissime sur les CPU Intel

Ce ne sont pas des spéculations, c'est connu depuis plusieurs années maintenant.
Les CPU Intel post-2005 embarque une fonctionnalité appelée "ME" pour "Management Engine" qui est en fait un véritable système d'exploitation (une version de Minix en l'occurrence).
Ce dernier embarque par exemple un serveur Web et peut fonctionner ordinateur éteint pour peu que ce dernier soit connecté à une source d'alimentation.

Plusieurs sources généralistes, en anglais essentiellement, désolé :
http://www.tomshardware.com/news/google … 35876.html
https://www.bleepingcomputer.com/news/h … -minix-os/

Les chercheurs de Google prennent cette menace au sérieux et souhaitent travailler sur un remplacement (voir ces slides, en anglais certes mais bien faites je trouve):
https://schd.ws/hosted_files/osseu17/84 … 0Linux.pdf

Et pour aller dans le détail, une thèse de 2010 traitant déjà du sujet :
https://people.kth.se/~maguire/DEGREE-P … -cover.pdf

En gros, nous utilisons tous MINIX et le choix d'une distribution GNU-Linux/UNIX ne nous protège guère en fin de compte si le vers est directement dans le matériel smile

1485418338.png Hello IT ! Have you tried turning it off and on again ?

Hors ligne

#4 03-01-2018 10:06:55

yoshi
Membre
Lieu : Normandie
Distrib. : PCLinuxOS / Debian 9
Noyau : 4.14.19 / 4.9.0-5-amd64
(G)UI : Plasma 5.12.1 /Mate 1.16.2
Inscription : 05-03-2014

Re : Faille de sécurité gravissime sur les CPU Intel

Et bien, attendons de voir la suite.
Et oui, avec des failles comme ça (hardware), le système d'exploitation ne peut pas nous protéger ...

Dernière modification par yoshi (03-01-2018 10:09:18)


Desktop: CM Asus KCMA-D8. 2x AMD Opteron 4234 six coeurs @ 3,1 Ghz. 32 Go ddr3. GeForce GTX 1060.
Laptop: Toshiba C660-2D6. Intel core I3 2330M dual-core + HT @ 2,2 Ghz. 8 Go ddr3. GeForce 315M.
Media-Center: HP Compaq 6000 Pro. Intel Celeron E3400 dual-core @ 2,6 Ghz. 6 Go ddr3. GeForce GT 710.

Hors ligne

#5 03-01-2018 10:24:59

robert2a
Membre
Lieu : France
Distrib. : Buster 10
Noyau : Linux 4.14.0-2 4.14.7-1
(G)UI : Mate/Gnome
Inscription : 15-11-2014

Re : Faille de sécurité gravissime sur les CPU Intel

Bonjour
il me semble que ce que donne yoshi est un autre problème qui n'a rien a voir avec ME
pour mon Asus en Z270 en section mise a jour du bios


MEUpdateTool
Intel has identified security issue that could potentially place impacted platform at risk.
 Use ME Update tool to update your ME.
 


que je ne peu pas appliquer sous debian ( un .exe)

nota: il y a série pro (ou pas) entreprise pour les cpu (intel ou amd)
de plus le truc semble ne pas etre configuré par défaut ( ip domaine etc .... )
ce serait en local a priori

alors que le lien de yoshi parle de réservation mémoire pour les applications

=> https://fr.wikipedia.org/wiki/Unit%C3%A … C3%A9moire


nommée KAISER, renommée depuis KPTI, Kernel Page Table Isolation.
Comprendre l’intérêt de cette sécurité nécessite un peu de compréhension
de l’agencement de la mémoire virtuelle de nos machines x86 64 bits.
 

Dernière modification par robert2a (03-01-2018 11:18:11)

Hors ligne

#6 03-01-2018 11:18:16

Tristan07
Adhérent(e)
Distrib. : Debian 9, Stretch
Noyau : Linux 4.9.0-4-amd64
(G)UI : Gnome 3.22
Inscription : 21-05-2016
Site Web

Re : Faille de sécurité gravissime sur les CPU Intel

Bonjour,

que je ne peu pas appliquer sous debian ( un .exe)


Il va falloir repasser sous windows pour mettre à jour le bios ! peace_flag.gif zen.gif
(Ce que je n'ai pas fait depuis .... très longtemps)
Je n'ai pas de Windows installé ...

Hors ligne

#7 03-01-2018 14:00:17

raleur
Membre
Inscription : 03-10-2014

Re : Faille de sécurité gravissime sur les CPU Intel

sogal a écrit :

Ce ne sont pas des spéculations, c'est connu depuis plusieurs années maintenant.Les CPU Intel post-2005 embarque une fonctionnalité appelée "ME" pour "Management Engine"


Robert2a a raison, il s'agit d'un problème totalement différent qui affecte la façon dont le noyau gère la mémoire virtuelle.
Et si je ne m'abuse, l'Intel Management Engine (IME) est dans le chipset, pas le processeur. (ceci dit, comme une partie de plus en plus important du chipset est intégrée au processeur, on ne sait jamais...)

yoshi a écrit :

Et oui, avec des failles comme ça (hardware), le système d'exploitation ne peut pas nous protéger


En l'occurrence, si, puisque le patch KPTI a précisément pour but d'empêcher l'exploitation de cette faille (au prix d'un baisse de performance).
Ce qui n'est pas le cas des failles touchant l'AMT/IME qui est indépendant de l'OS.

Hors ligne

#8 03-01-2018 14:12:24

otyugh
Membre
Lieu : Quimperlé/Arzano
Distrib. : Debian Stable
Inscription : 20-09-2016

Re : Faille de sécurité gravissime sur les CPU Intel

Selon les sources ça parle de 5 à 30% de perte de perf. Bref. Si j'ai bien compris, ça veut juste dire qu'il y a une grosse lacune de sécurité au niveau des accès mémoir, qu'il faut passer par une couche d'abstraction logiciel pour l'éviter (et ça se fait au niveau du kernel windows comme linux - personne ne parle de bsd ou de hurd tongue), et que ça mange du pain.
Cela dit, le problème ne touche pas AMD, du coup, donc c'est un peu la fête pour eux.

https://www.theregister.co.uk/2018/01/0 … sign_flaw/

Dernière modification par otyugh (03-01-2018 14:13:46)


Agenda du libre : dépannage par des bénévoles pour tout le monde !
Arzano Informatique : dépannage gagne-pain.
Liste de balados (aussi dit "podcast") : emissions audio pro/amateur

Hors ligne

#9 03-01-2018 14:17:31

robert2a
Membre
Lieu : France
Distrib. : Buster 10
Noyau : Linux 4.14.0-2 4.14.7-1
(G)UI : Mate/Gnome
Inscription : 15-11-2014

Re : Faille de sécurité gravissime sur les CPU Intel

re,

bonjour raleur

pour ME , le firmware est caché dans le bios UEFI
a priori l update du bios ne touche pas a cette partie cachée
on trouve des procédures compliqués pour désactiver ME et toujours risqué

nota: pas réussi a l utiliser ou le configurer , je me demande si pas uniquement sur la série pro des processeurs

ps: la question a été posé , utiliser une carte réseau discrète peu enlever ce souci si celle intégré est désactivé , mais pas de certitude

=>  https://debian-facile.org/viewtopic.php … 94#p246094

pour ceux qui me lisent j'ai perdu ma carte réseau sur cette carte mère (mise a jour du bios) , de mémoire de vieux la première fois que j'étais confronté a ce problème ,
heureusement j'ai réussi a la récupérer , je pense avec le recul a un bug de ME
le lien :
=> https://debian-facile.org/viewtopic.php?id=16688

cela ne s 'est plus reproduit sur les mises a jour suivantes du bios

Dernière modification par robert2a (03-01-2018 14:32:37)

Hors ligne

#10 03-01-2018 14:31:00

raleur
Membre
Inscription : 03-10-2014

Re : Faille de sécurité gravissime sur les CPU Intel

otyugh a écrit :

Bref. Si j'ai bien compris, ça veut juste dire qu'il y a une grosse lacune de sécurité au niveau des accès mémoir


Oui.

otyugh a écrit :

qu'il faut passer par une couche d'abstraction logiciel pour l'éviter


Non, pas du tout.
Le patch oblige à désactiver une optimisation qui fait gagner beaucoup de temps lors des appels système (appel d'un processus au noyau, interruption...).
Les processus qui font le plus d'appels système (réseau, lecture/écriture, accès aux périphériques...) sont donc les plus affectés par la baisse de performance.

Hors ligne

#11 03-01-2018 15:13:08

phreg
Membre
Distrib. : Debian Testing
Noyau : 4.13 amd64
(G)UI : Xfce
Inscription : 02-04-2011

Re : Faille de sécurité gravissime sur les CPU Intel

Bonjour, ce qui me fait le plus rire (jaune) c'est le boss d'Intel qui vient de vendre toutes les actions qu'il pouvait. Pas idiot de sa part mais limite côté délit d'initié...

Hors ligne

#12 03-01-2018 18:53:26

joko
Membre
Inscription : 24-11-2017

Re : Faille de sécurité gravissime sur les CPU Intel

bonjour,
pour nous, les neuneus, y a une manip' à faire, ou y aura-t-il une simple m-à-j du kernel ?

Hors ligne

#13 03-01-2018 19:26:20

phreg
Membre
Distrib. : Debian Testing
Noyau : 4.13 amd64
(G)UI : Xfce
Inscription : 02-04-2011

Re : Faille de sécurité gravissime sur les CPU Intel

Bonjour,
pour nous, ce sera corrigé par une simple mise à jour.
Bien plus simple qu'une mise à jour de BIOS.

Hors ligne

#14 03-01-2018 20:17:56

joko
Membre
Inscription : 24-11-2017

Re : Faille de sécurité gravissime sur les CPU Intel

a-t-on une idée du délai ? car j'ai lu qu'il y avait déjà une m-à-j linux

Hors ligne

#15 03-01-2018 20:39:01

yoshi
Membre
Lieu : Normandie
Distrib. : PCLinuxOS / Debian 9
Noyau : 4.14.19 / 4.9.0-5-amd64
(G)UI : Plasma 5.12.1 /Mate 1.16.2
Inscription : 05-03-2014

Re : Faille de sécurité gravissime sur les CPU Intel

Apparemment, il y a un "embargo" au sujet de cette faille.
De ce que j'ai compris, jusqu'à demain. On va donc voir de nouvelles versions patchées de tous les kernels encore maintenus
arriver sur kernel.org. Sur les distros aussi bien sur.
Linus Torvalds a insisté pour que le patch soit "backporté" sur tous les kernels LTS.

Tous les systèmes sont impactés puisque c'est une faille hardware.
Linux, BSD, Windows, MacOs et autres moins connus.

Desktop: CM Asus KCMA-D8. 2x AMD Opteron 4234 six coeurs @ 3,1 Ghz. 32 Go ddr3. GeForce GTX 1060.
Laptop: Toshiba C660-2D6. Intel core I3 2330M dual-core + HT @ 2,2 Ghz. 8 Go ddr3. GeForce 315M.
Media-Center: HP Compaq 6000 Pro. Intel Celeron E3400 dual-core @ 2,6 Ghz. 6 Go ddr3. GeForce GT 710.

Hors ligne

#16 04-01-2018 00:43:09

raleur
Membre
Inscription : 03-10-2014

Re : Faille de sécurité gravissime sur les CPU Intel

Pas forcément tous les systèmes. Seulement ceux qui utilisent l'optimisation permettant d'accélérer les appels systèmes (mapping de la mémoire du noyau dans l'espace d'adressage des processus).

Dernière modification par raleur (04-01-2018 00:43:37)

Hors ligne

#17 04-01-2018 00:47:32

Tristan07
Adhérent(e)
Distrib. : Debian 9, Stretch
Noyau : Linux 4.9.0-4-amd64
(G)UI : Gnome 3.22
Inscription : 21-05-2016
Site Web

Re : Faille de sécurité gravissime sur les CPU Intel

Merci pour vos précieux commentaires ...

Hors ligne

#18 04-01-2018 07:06:21

yoshi
Membre
Lieu : Normandie
Distrib. : PCLinuxOS / Debian 9
Noyau : 4.14.19 / 4.9.0-5-amd64
(G)UI : Plasma 5.12.1 /Mate 1.16.2
Inscription : 05-03-2014

Re : Faille de sécurité gravissime sur les CPU Intel

Ce matin, les infos sont un peu confuses, ça fuse d'un peu partout: annonces faites par Google, RedHat, FreeBSD.

Deux liens, tirés des commentaires  du post de LinuxFR.org:

https://googleprojectzero.blogspot.fr/2 … -side.html

https://spectreattack.com/

L'embargo semble avoir fait "pschitt" vu le foin fait autour de cette affaire.
Pour les kernels Linux, c'est patché avec les:
4.15-rc6
4.14.11
4.9.74
4.4.109
Les 4.1, 3.18, 3.16, 3.2 je ne sais pas mais je pense que oui. (à vérifier).

Chez moi, il y a eu une maj des LTS avec les 4.9.73 et 4.4.108, donc avant le patch. Le 4.14 est resté en 4.14.8 et ça ne bouge plus.
Je ne sais pas trop quoi penser de tout ça, c'est hyper technique. Attendre et voir ..... Mais il est clair maintenant que ce truc fout un bordel monstre.

Desktop: CM Asus KCMA-D8. 2x AMD Opteron 4234 six coeurs @ 3,1 Ghz. 32 Go ddr3. GeForce GTX 1060.
Laptop: Toshiba C660-2D6. Intel core I3 2330M dual-core + HT @ 2,2 Ghz. 8 Go ddr3. GeForce 315M.
Media-Center: HP Compaq 6000 Pro. Intel Celeron E3400 dual-core @ 2,6 Ghz. 6 Go ddr3. GeForce GT 710.

Hors ligne

#19 04-01-2018 10:10:29

robert2a
Membre
Lieu : France
Distrib. : Buster 10
Noyau : Linux 4.14.0-2 4.14.7-1
(G)UI : Mate/Gnome
Inscription : 15-11-2014

Re : Faille de sécurité gravissime sur les CPU Intel

Bonjour
pour 2018 il est prévu pour AMD et Intel , de nouveau processeurs , avec une autre finesse de gravure. (10nm au lieu de 14++  (a vérifier) )
ce problème sera corrigé sur les nouveaux cpu ? , une bonne question  roll

par exemple amd a prévu une révision (2) sur ses cpu Ryzen , (et (peut etre) sortie de nouveau cpu avec un apu , cpu pour portable)
intel risque de sortir (après avoir sortie en urgence ses cpu grand public 6 cores ) des 8 cores pour répondre a amd
2018 risque de pas etre triste sur les calendriers de sortie des nouveaux cpu pour corriger ce bug hardware  tongue

nota: ce qui n'est pas trop clair qui est touché et qui ne l'est pas par ce bug (tout en anglais  hmm  ) , le patch logiciel touche tous les cpu si j'ai bien compris .

Hors ligne

#20 04-01-2018 11:41:40

yoshi
Membre
Lieu : Normandie
Distrib. : PCLinuxOS / Debian 9
Noyau : 4.14.19 / 4.9.0-5-amd64
(G)UI : Plasma 5.12.1 /Mate 1.16.2
Inscription : 05-03-2014

Re : Faille de sécurité gravissime sur les CPU Intel

RedHat ratisse très très large:

"ACTION CLIENT:
Les clients exécutant des noyaux et des composants de virtualisation dans les produits énumérés ci-dessous sont affectés. Ces vulnérabilités affectent de nombreuses architectures de CPU (par exemple Intel, ARM, AMD, POWER 8, POWER 9 et System z) et de nombreux systèmes d'exploitation qui permettent ces architectures.


Après, selon d'autres sources et le lien que j'ai donné plus haut:

https://spectreattack.com/

Deux failles: Meltdown et Spectre.
Meltdown: problème résolu avec un correctif (patch).
Spectre: Un correctif peut ne pas être disponible pour Spectre jusqu' à ce qu'une nouvelle génération de puces arrive sur le marché.
Commentaire: Il s'agira d'un problème persistant pendant les cycles de vie du matériel. Cela ne changera pas demain ou après-demain .Ça va prendre du temps."

Source: https://mobile.nytimes.com/2018/01/03/b … flaws.html

Ça semble impacter beaucoup plus le monde pro des serveurs que le grand-public.

Desktop: CM Asus KCMA-D8. 2x AMD Opteron 4234 six coeurs @ 3,1 Ghz. 32 Go ddr3. GeForce GTX 1060.
Laptop: Toshiba C660-2D6. Intel core I3 2330M dual-core + HT @ 2,2 Ghz. 8 Go ddr3. GeForce 315M.
Media-Center: HP Compaq 6000 Pro. Intel Celeron E3400 dual-core @ 2,6 Ghz. 6 Go ddr3. GeForce GT 710.

Hors ligne

#21 04-01-2018 11:45:13

yoshi
Membre
Lieu : Normandie
Distrib. : PCLinuxOS / Debian 9
Noyau : 4.14.19 / 4.9.0-5-amd64
(G)UI : Plasma 5.12.1 /Mate 1.16.2
Inscription : 05-03-2014

Re : Faille de sécurité gravissime sur les CPU Intel

Pour une très bonne traduction des articles Anglophones:

https://www.deepl.com/translator

Desktop: CM Asus KCMA-D8. 2x AMD Opteron 4234 six coeurs @ 3,1 Ghz. 32 Go ddr3. GeForce GTX 1060.
Laptop: Toshiba C660-2D6. Intel core I3 2330M dual-core + HT @ 2,2 Ghz. 8 Go ddr3. GeForce 315M.
Media-Center: HP Compaq 6000 Pro. Intel Celeron E3400 dual-core @ 2,6 Ghz. 6 Go ddr3. GeForce GT 710.

Hors ligne

#22 04-01-2018 14:03:16

robert2a
Membre
Lieu : France
Distrib. : Buster 10
Noyau : Linux 4.14.0-2 4.14.7-1
(G)UI : Mate/Gnome
Inscription : 15-11-2014

Re : Faille de sécurité gravissime sur les CPU Intel

j'ai testé "translator" , c'est plus clair traduit  smile

Hors ligne

#23 04-01-2018 16:08:26

nIQnutn
Modérateur
Lieu : Lyon
Distrib. : Stretch
Noyau : Linux 4.9.0-3-amd64
(G)UI : Gnome
Inscription : 16-03-2012
Site Web

Re : Faille de sécurité gravissime sur les CPU Intel

Hors ligne

#24 04-01-2018 16:29:20

lenovice93
Membre
Distrib. : HandyLinux 2.5.1
Noyau : Linux 3.16.0-4-686-pae
(G)UI : XFCE
Inscription : 11-07-2016

Re : Faille de sécurité gravissime sur les CPU Intel

Hors ligne

#25 04-01-2018 20:40:36

yoshi
Membre
Lieu : Normandie
Distrib. : PCLinuxOS / Debian 9
Noyau : 4.14.19 / 4.9.0-5-amd64
(G)UI : Plasma 5.12.1 /Mate 1.16.2
Inscription : 05-03-2014

Re : Faille de sécurité gravissime sur les CPU Intel

@ lenovice93 : l'article de Korben me parait excellent et résume parfaitement la situation. Merci pour le lien.

j'ai testé "translator" , c'est plus clair traduit



Oui robert2a, ce logiciel est génial, beaucoup mieux que le traducteur de Google.


Desktop: CM Asus KCMA-D8. 2x AMD Opteron 4234 six coeurs @ 3,1 Ghz. 32 Go ddr3. GeForce GTX 1060.
Laptop: Toshiba C660-2D6. Intel core I3 2330M dual-core + HT @ 2,2 Ghz. 8 Go ddr3. GeForce 315M.
Media-Center: HP Compaq 6000 Pro. Intel Celeron E3400 dual-core @ 2,6 Ghz. 6 Go ddr3. GeForce GT 710.

Hors ligne

Pied de page des forums