Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#26 04-01-2018 22:03:52

nIQnutn
Modeb
Distrib. : Stretch
Noyau : Linux 4.9.0-3-amd64
(G)UI : Gnome
Inscription : 16-03-2012

Re : Faille de sécurité gravissime sur les CPU Intel

En ligne

#27 04-01-2018 22:53:50

yoshi
Membre
Lieu : Normandie
Distrib. : PCLinuxOS
Noyau : 4.18.1
(G)UI : KDE Plasma 5.13.4
Inscription : 05-03-2014

Re : Faille de sécurité gravissime sur les CPU Intel

Excellent ! smile

Desktop: CM Asus KCMA-D8. 2x AMD Opteron 4234 six coeurs @ 3,1 Ghz. 32 Go ddr3. GeForce GTX 1060.
Laptop: Toshiba C660-2D6. Intel core I3 2330M dual-core + HT @ 2,2 Ghz. 8 Go ddr3. GeForce 315M.
Media-Center: HP Compaq 6000 Pro. Intel Celeron E3400 dual-core @ 2,6 Ghz. 6 Go ddr3. GeForce GT 710.

Hors ligne

#28 05-01-2018 01:34:44

nono47
Invité

Re : Faille de sécurité gravissime sur les CPU Intel

en dessin :
1515108865.jpg

#29 05-01-2018 11:29:31

yoshi
Membre
Lieu : Normandie
Distrib. : PCLinuxOS
Noyau : 4.18.1
(G)UI : KDE Plasma 5.13.4
Inscription : 05-03-2014

Re : Faille de sécurité gravissime sur les CPU Intel

Ce que l'on peut lire ce matin:

Debian, RedHat/CentOS, Fedora et ArchLinux ont fait la mise à jour avec un kernel patché.
Slackware a patché sa version current mais pas sa version stable (14.2).

Ubuntu avoue avoir été pris de court:

https://wiki.ubuntu.com/SecurityTeam/Kn … ndMeltdown

On apprend avec Ubuntu que "l'embargo" ou "divulgation" (disclosure) aurait dû être pour le 9 janvier ....

Les autres distributions restent muettes pour l'instant.

** + Suse Enterprise, donc je suppose OpenSuse aussi.

Dernière modification par yoshi (05-01-2018 11:43:46)


Desktop: CM Asus KCMA-D8. 2x AMD Opteron 4234 six coeurs @ 3,1 Ghz. 32 Go ddr3. GeForce GTX 1060.
Laptop: Toshiba C660-2D6. Intel core I3 2330M dual-core + HT @ 2,2 Ghz. 8 Go ddr3. GeForce 315M.
Media-Center: HP Compaq 6000 Pro. Intel Celeron E3400 dual-core @ 2,6 Ghz. 6 Go ddr3. GeForce GT 710.

Hors ligne

#30 05-01-2018 12:32:13

robert2a
Membre
Lieu : France
Inscription : 15-11-2014

Re : Faille de sécurité gravissime sur les CPU Intel

Bonjour

c'est celui la le patch ?


Récupération des rapports de bogue… Fait
Analyse des informations Trouvé/Corrigé… Fait
(Lecture de la base de données... 217642 fichiers et répertoires déjà installés.)
Préparation du dépaquetage de .../0-linux-compiler-gcc-6-x86_4.9.65-3+deb9u2_amd64.deb ...
Dépaquetage de linux-compiler-gcc-6-x86 (4.9.65-3+deb9u2) sur (4.9.65-3+deb9u1) ...
Sélection du paquet linux-headers-4.9.0-5-common précédemment désélectionné.
Préparation du dépaquetage de .../1-linux-headers-4.9.0-5-common_4.9.65-3+deb9u2_all.deb ...
Dépaquetage de linux-headers-4.9.0-5-common (4.9.65-3+deb9u2) ...
Préparation du dépaquetage de .../2-linux-kbuild-4.9_4.9.65-3+deb9u2_amd64.deb ...
Dépaquetage de linux-kbuild-4.9 (4.9.65-3+deb9u2) sur (4.9.65-3+deb9u1) ...
Sélection du paquet linux-headers-4.9.0-5-amd64 précédemment désélectionné.
Préparation du dépaquetage de .../3-linux-headers-4.9.0-5-amd64_4.9.65-3+deb9u2_amd64.deb ...
Dépaquetage de linux-headers-4.9.0-5-amd64 (4.9.65-3+deb9u2) ...
Préparation du dépaquetage de .../4-linux-headers-amd64_4.9+80+deb9u3_amd64.deb ...
Dépaquetage de linux-headers-amd64 (4.9+80+deb9u3) sur (4.9+80+deb9u2) ...
Sélection du paquet linux-image-4.9.0-5-amd64 précédemment désélectionné.
Préparation du dépaquetage de .../5-linux-image-4.9.0-5-amd64_4.9.65-3+deb9u2_amd64.deb ...
Dépaquetage de linux-image-4.9.0-5-amd64 (4.9.65-3+deb9u2) ...
Préparation du dépaquetage de .../6-linux-image-amd64_4.9+80+deb9u3_amd64.deb ...
Dépaquetage de linux-image-amd64 (4.9+80+deb9u3) sur (4.9+80+deb9u2) ...
Préparation du dépaquetage de .../7-linux-libc-dev_4.9.65-3+deb9u2_amd64.deb ...
Dépaquetage de linux-libc-dev:amd64 (4.9.65-3+deb9u2) sur (4.9.65-3+deb9u1) ...
Paramétrage de linux-headers-4.9.0-5-common (4.9.65-3+deb9u2) ...
Paramétrage de linux-libc-dev:amd64 (4.9.65-3+deb9u2) ...
Paramétrage de linux-compiler-gcc-6-x86 (4.9.65-3+deb9u2) ...
Paramétrage de linux-image-4.9.0-5-amd64 (4.9.65-3+deb9u2) ...
I: /vmlinuz.old is now a symlink to boot/vmlinuz-4.9.0-4-amd64
I: /initrd.img.old is now a symlink to boot/initrd.img-4.9.0-4-amd64
I: /vmlinuz is now a symlink to boot/vmlinuz-4.9.0-5-amd64
I: /initrd.img is now a symlink to boot/initrd.img-4.9.0-5-amd64
/etc/kernel/postinst.d/initramfs-tools:
update-initramfs: Generating /boot/initrd.img-4.9.0-5-amd64
/etc/kernel/postinst.d/zz-update-grub:
Création du fichier de configuration GRUB…
Found background image: /usr/share/images/desktop-base/desktop-grub.png
Image Linux trouvée : /boot/vmlinuz-4.9.0-5-amd64
Image mémoire initiale trouvée : /boot/initrd.img-4.9.0-5-amd64
Image Linux trouvée : /boot/vmlinuz-4.9.0-4-amd64
Image mémoire initiale trouvée : /boot/initrd.img-4.9.0-4-amd64
Image Linux trouvée : /boot/vmlinuz-4.9.0-2-amd64
Image mémoire initiale trouvée : /boot/initrd.img-4.9.0-2-amd64
fait
Paramétrage de linux-image-amd64 (4.9+80+deb9u3) ...
Paramétrage de linux-kbuild-4.9 (4.9.65-3+deb9u2) ...
Paramétrage de linux-headers-4.9.0-5-amd64 (4.9.65-3+deb9u2) ...
Paramétrage de linux-headers-amd64 (4.9+80+deb9u3) ...
 



découvert ce matin

juste pour info la liste de bug de stretch du noyau 4.9.0-2  vers 4.9.0-4 ( machine remise en route hier , pas trop de logiciel installé (debian de base))


Récupération des rapports de bogue… Fait
Analyse des informations Trouvé/Corrigé… Fait
bogues de gravité serious sur ca-certificates-java (20161107 → 20170531+nmu1) <En attente de traitement>
 b1 - #864657 - ca-certificates-java has circular Depends on openjdk-8-jre-headless
bogues de gravité grave sur ca-certificates-java (20161107 → 20170531+nmu1) <Résolus dans une version donnée>
 b2 - #874276 - ca-certificates-java: fails to install on armhf: Error: missing `server' JVM at `/usr/lib/jvm/java-8-openjdk-armhf/jre/lib/arm/server/libjvm.so' (Corrigé : openjdk-8/8u144-b01-2)
   Fusionné avec : 874434
bogues de gravité serious sur binutils (2.28-2 → 2.28-5) <Résolus dans une version donnée>
 b3 - #863152 - regression with PIE on arm64: /usr/bin/ld: final link failed: Nonrepresentable section on output (Corrigé : binutils/2.28-6)
Résumé :
 binutils(1 bogue), ca-certificates-java(2 bogues)
Êtes-vous certain(e) de vouloir installer/mettre à jour les paquets ci-dessus ? [Y/n/?/...]


Récupération des rapports de bogue… Fait
Analyse des informations Trouvé/Corrigé… Fait
bogues de gravité grave sur dbus (1.10.16-1 → 1.10.24-0+deb9u1) <En attente de traitement>
 b1 - #886325 - dbus daemon does not start with error "undefined symbol: XML_SetHashSalt"
Résumé :
 dbus(1 bogue)
Êtes-vous certain(e) de vouloir installer/mettre à jour les paquets ci-dessus ? [Y/n/?/...]


Récupération des rapports de bogue… Fait
Analyse des informations Trouvé/Corrigé… Fait
bogues de gravité serious sur sudo (1.8.19p1-1 → 1.8.19p1-2.1) <Résolus dans une version donnée>
 b1 - #870456 - postinst script is not executed until the end skipping debhelper bits (Corrigé : sudo/1.8.21-1)
Résumé :
 sudo(1 bogue)
Êtes-vous certain(e) de vouloir installer/mettre à jour les paquets ci-dessus ? [Y/n/?/...]


Récupération des rapports de bogue… Fait
Analyse des informations Trouvé/Corrigé… Fait
bogues de gravité grave sur imagemagick (8:6.9.7.4+dfsg-2 → 8:6.9.7.4+dfsg-11+deb9u4) <Transférés>
 b1 - #872373 - CVE-2017-12877 (Corrigé : imagemagick/8:6.8.9.9-5+deb8u11)
Résumé :
 imagemagick(1 bogue)
Êtes-vous certain(e) de vouloir installer/mettre à jour les paquets ci-dessus ? [Y/n/?/...]

Récupération des rapports de bogue… Fait
Analyse des informations Trouvé/Corrigé… Fait
bogues de gravité grave sur libpam-runtime (1.1.8-3.5 → 1.1.8-3.6) <En attente de traitement>
 b1 - #880501 - pam-auth-update may create empty configuration file, disabling all authentication
Résumé :
 libpam-runtime(1 bogue)
Êtes-vous certain(e) de vouloir installer/mettre à jour les paquets ci-dessus ? [Y/n/?/...]


Récupération des rapports de bogue… Fait
Analyse des informations Trouvé/Corrigé… Fait
bogues de gravité critical sur libc6 (2.24-9 → 2.24-11+deb9u1) <Résolus dans une version donnée>
 b1 - #882272 - libc6:amd64: upgrade of libc6:amd64 + libc6:i386 + libc6-i686 breaks system (Corrigé : glibc/2.24-11+deb9u2 glibc/2.25-2)
Résumé :
 libc6(1 bogue)
Êtes-vous certain(e) de vouloir installer/mettre à jour les paquets ci-dessus ? [Y/n/?/...]


Récupération des rapports de bogue… Fait
Analyse des informations Trouvé/Corrigé… Fait
bogues de gravité critical sur linux-image-4.9.0-4-amd64 (→ 4.9.65-3+deb9u1) <En attente de traitement>
 b1 - #880554 - xen domu freezes with kernel linux-image-4.9.0-4-amd64
 b2 - #885570 - linux-image-4.9.0-4-amd64: display breakage with Intel HD Graphics 5500
Résumé :
 linux-image-4.9.0-4-amd64(2 bogues)
Êtes-vous certain(e) de vouloir installer/mettre à jour les paquets ci-dessus ? [Y/n/?/...]


Récupération des rapports de bogue… Fait
Analyse des informations Trouvé/Corrigé… Fait
bogues de gravité critical sur nvidia-driver (375.39-1 → 375.82-1~deb9u1) <En attente de traitement>
 b1 - #883615 - nvidia-driver: crashes with /etc/ld.so.nohwcap
bogues de gravité serious sur nvidia-cuda-toolkit (8.0.44-3 → 8.0.44-4) <Résolus dans une version donnée>
 b2 - #873468 - nvidia-cuda-toolkit: move away from clang-3.8 (Corrigé : nvidia-cuda-toolkit/9.0.176-1)
Résumé :
 nvidia-driver(1 bogue), nvidia-cuda-toolkit(1 bogue)
Êtes-vous certain(e) de vouloir installer/mettre à jour les paquets ci-dessus ? [Y/n/?/...]
 



le souci sur xen domu est résolu ?  (4.9.0-4 => 4.9.0-5 )

Dernière modification par robert2a (05-01-2018 12:58:22)

Hors ligne

#31 05-01-2018 13:57:39

joko
Membre
Inscription : 24-11-2017

Re : Faille de sécurité gravissime sur les CPU Intel

bonjour robert2a,
comment savoir si le patch a été appliqué  ?
ce matin j'ai lancé une m-à-j
suis passé  4.9.0-4 à...


uname -a
Linux debian 4.9.0-5-amd64 #1 SMP Debian 4.9.65-3+deb9u2 (2018-01-04) x86_64 GNU/Linux
 


mon proce :-) est un  intel i3

Hors ligne

#32 05-01-2018 14:24:35

nIQnutn
Modeb
Distrib. : Stretch
Noyau : Linux 4.9.0-3-amd64
(G)UI : Gnome
Inscription : 16-03-2012

Re : Faille de sécurité gravissime sur les CPU Intel

En ligne

#33 05-01-2018 14:46:35

lann
Membre
Distrib. : Debian Stretch
Noyau : 4.9.0-3-amd64
(G)UI : XFCE
Inscription : 28-04-2015

Re : Faille de sécurité gravissime sur les CPU Intel

J'ai eu ça ce matin avec apt-listchanges


  * x86: setup PCID, preparation work for KPTI.
    - x86/mm/64: Fix reboot interaction with CR4.PCIDE
    - x86/mm: Add the 'nopcid' boot option to turn off PCID
    - x86/mm: Disable PCID on 32-bit kernels
    - x86/mm: Enable CR4.PCIDE on supported systems
  * [amd64] Implement Kernel Page Table Isolation (KPTI, aka KAISER)
    (CVE-2017-5754)
    - kaiser: add "nokaiser" boot option, using ALTERNATIVE
    - kaiser: align addition to x86/mm/Makefile
    - kaiser: asm/tlbflush.h handle noPGE at lower level
    - kaiser: cleanups while trying for gold link
    - kaiser: delete KAISER_REAL_SWITCH option
    - kaiser: disabled on Xen PV
    - kaiser: do not set _PAGE_NX on pgd_none
    - kaiser: drop is_atomic arg to kaiser_pagetable_walk()
    - kaiser: enhanced by kernel and user PCIDs
    - kaiser: ENOMEM if kaiser_pagetable_walk() NULL
    - kaiser: fix build and FIXME in alloc_ldt_struct()
    - kaiser: fix perf crashes
    - kaiser: fix regs to do_nmi() ifndef CONFIG_KAISER
    - kaiser: fix unlikely error in alloc_ldt_struct()
    - kaiser: KAISER depends on SMP
    - kaiser: kaiser_flush_tlb_on_return_to_user() check PCID
    - kaiser: kaiser_remove_mapping() move along the pgd
    - KAISER: Kernel Address Isolation
    - x86_64: KAISER - do not map kernel in user mode
    - kaiser: load_new_mm_cr3() let SWITCH_USER_CR3 flush user
    - kaiser: merged update
    - kaiser: name that 0x1000 KAISER_SHADOW_PGD_OFFSET
    - kaiser: paranoid_entry pass cr3 need to paranoid_exit
    - kaiser: PCID 0 for kernel and 128 for user
    - kaiser: stack map PAGE_SIZE at THREAD_SIZE-PAGE_SIZE
    - kaiser: tidied up asm/kaiser.h somewhat
    - kaiser: tidied up kaiser_add/remove_mapping slightly
    - kaiser: use ALTERNATIVE instead of x86_cr3_pcid_noflush
    - kaiser: vmstat show NR_KAISERTABLE as nr_overhead
    - kaiser: x86_cr3_pcid_noflush and x86_cr3_pcid_user
    - KPTI: Rename to PAGE_TABLE_ISOLATION
    - KPTI: Report when enabled
    - x86/boot: Add early cmdline parsing for options with arguments
    - x86/kaiser: Check boottime cmdline params
    - x86/kaiser: Move feature detection up
    - x86/kaiser: Reenable PARAVIRT
    - x86/kaiser: Rename and simplify X86_FEATURE_KAISER handling
    - x86/paravirt: Dont patch flush_tlb_single
  * Bump ABI to 5.
 

Hors ligne

#34 05-01-2018 17:12:27

yoshi
Membre
Lieu : Normandie
Distrib. : PCLinuxOS
Noyau : 4.18.1
(G)UI : KDE Plasma 5.13.4
Inscription : 05-03-2014

Re : Faille de sécurité gravissime sur les CPU Intel

Pour Debian:

https://lists.debian.org/debian-securit … 00000.html

4.9.65-3+deb9u2.

Chez moi, c'est patché aussi: 4.14.11-pclos-2.

Firefox et Chrome vont aussi sortir des versions corrigées (spectre/javascript).

Desktop: CM Asus KCMA-D8. 2x AMD Opteron 4234 six coeurs @ 3,1 Ghz. 32 Go ddr3. GeForce GTX 1060.
Laptop: Toshiba C660-2D6. Intel core I3 2330M dual-core + HT @ 2,2 Ghz. 8 Go ddr3. GeForce 315M.
Media-Center: HP Compaq 6000 Pro. Intel Celeron E3400 dual-core @ 2,6 Ghz. 6 Go ddr3. GeForce GT 710.

Hors ligne

#35 05-01-2018 20:04:36

robert2a
Membre
Lieu : France
Inscription : 15-11-2014

Re : Faille de sécurité gravissime sur les CPU Intel

Sur Debian
toutes les machines Stretch avec les méta-paquet linux-image et linux-headers en noyau 4.9 ont reçu la mise a jour
toutes les machines en Buster avec les méta-paquet n'ont rien reçu noyau 4.9 + 4.14
pas de patch pour le 4.14 et le 4.15
toutes mes machines en Buster sur un noyau 4.9 n'ont rien reçu (pourtant le sources.list pour stretch est activée (ainsi que la ligne sécurité )

donc pour l instant seul la stable avec les méta paquet du kernel (image et headers) a reçu le 4.9.65-3+deb9u2.
ps: buster a les méta paquet pour le 4.14

ps: il me semble qu un patch (pour un bug) doit etre traitée comme une mise a jour , pas une nouvelle version
mais peut etre que je me trompe  roll

ce que donne update-grub (sur une pure stretch)


update-grub
Création du fichier de configuration GRUB…
Found background image: /usr/share/images/desktop-base/desktop-grub.png
Image Linux trouvée : /boot/vmlinuz-4.9.0-5-amd64
Image mémoire initiale trouvée : /boot/initrd.img-4.9.0-5-amd64
Image Linux trouvée : /boot/vmlinuz-4.9.0-4-amd64
Image mémoire initiale trouvée : /boot/initrd.img-4.9.0-4-amd64
Debian GNU/Linux buster/sid trouvé sur /dev/sdb2
Debian GNU/Linux buster/sid trouvé sur /dev/sdc2
fait
 



sdb et sdc sont buster (mate) et sid (gnome) (un disque par  version ) sda est le disque de stretch (mate)

sur buster une simulation d un upgrade


apt-get -s upgrade
 


retour


Lecture des listes de paquets... Fait
Construction de l'arbre des dépendances      
Lecture des informations d'état... Fait
Calcul de la mise à jour... Fait
Les paquets suivants ont été conservés :
  libelf-dev libelf1
Les paquets suivants seront mis à jour :
  cups cups-client cups-common cups-core-drivers cups-daemon cups-ipp-utils cups-ppdc cups-server-common debianutils exim4 exim4-base exim4-config exim4-daemon-light klibc-utils libcups2 libcupscgi1
  libcupsimage2 libcupsmime1 libcupsppdc1 libklibc libnorm1 librsvg2-2 librsvg2-common libx265-146 linux-doc-4.9 linux-kbuild-4.9
26 mis à jour, 0 nouvellement installés, 0 à enlever et 2 non mis à jour.
 


j'ai linux-doc-4.9 et linux-kbuild-4.9 seulement proposé
le noyau actuel chargé


Linux kabylake1 4.9.0-4-amd64 #1 SMP Debian 4.9.65-3+deb9u1 (2017-12-23) x86_64 GNU/Linux
 


le sources.list


#stretch 9
deb http://deb.debian.org/debian/ stretch main contrib non-free
deb http://security.debian.org/debian-security stretch/updates main contrib non-free
deb http://deb.debian.org/debian/ stretch-updates main contrib non-free

#buster 10
deb http://deb.debian.org/debian/ buster main contrib non-free
deb http://security.debian.org/debian-security buster/updates main contrib non-free
deb http://deb.debian.org/debian/ buster-updates main contrib non-free
 



nota: la mise a jour du noyau 4.9 du 23/12/2017 a bien fonctionné , pourquoi aujourd'hui non ?

Dernière modification par robert2a (05-01-2018 20:38:01)

Hors ligne

#36 05-01-2018 20:15:10

otyugh
CA Debian-Facile
Lieu : Quimperlé/Arzano
Distrib. : Debian Stable
Inscription : 20-09-2016
Site Web

Re : Faille de sécurité gravissime sur les CPU Intel

Ce qui est top avec cette faille c'est qu'elle soit exploitable par du javascript entre autre. Ça rend le JS vraiment dangereux, et je trouve ça génial : ouvrir une page inconnue est équivalent à installer un logiciel inconnu, et je trouve ça bien que ce soit considéré comme un problème.

Dernière modification par otyugh (05-01-2018 20:17:19)


Agenda du libre : dépannage par des bénévoles pour tout le monde !
Arzano Informatique : dépannage gagne-pain.
Liste de balados (aussi dit "podcast") : emissions audio pro/amateur

Hors ligne

#37 05-01-2018 20:25:33

robert2a
Membre
Lieu : France
Inscription : 15-11-2014

Re : Faille de sécurité gravissime sur les CPU Intel

pour Linux je connais pas bien , mais pour win10 , controle de compte , utilisateur standard tu n installe rien par défaut (java ou pas java)
pour GNU Linux un barbu t'expliquera comment Debian  se défend sur ce genre de choses
faut pas oublier la première faille de sécurité c'est l'utilisateur  roll

Hors ligne

#38 05-01-2018 20:27:05

Haricophile
Adhérent(e)
Lieu : Pignans (Var)
Distrib. : SID
Noyau : 4.0.0-1-amd64
(G)UI : Mate / i3 selon...
Inscription : 14-09-2009

Re : Faille de sécurité gravissime sur les CPU Intel

Moi je n'arrive pas a comprendre pourquoi tout le monde appelle "une faille de sécurité" ce qui n'est en fin de compte qu'une fonctionnalité mwahaha.gif

Pour être plus précis, quand on a des mauvaises pratiques, on obtient inévitablement un jour au l'autre le résultat attendu. il n'y a aucune surprise, que de la causalité.

« la France d'en bas manque peut-être de hauteur mais la France d'en haut ne manque jamais de bassesse... »
    Georges Coulonges

Hors ligne

#39 05-01-2018 21:47:43

yoshi
Membre
Lieu : Normandie
Distrib. : PCLinuxOS
Noyau : 4.18.1
(G)UI : KDE Plasma 5.13.4
Inscription : 05-03-2014

Re : Faille de sécurité gravissime sur les CPU Intel

@ robert2a: Il est normal que le correctif de sécurité (en l'occurence un kernel patché) soit arrivé sur stable avant les autres branches.
                    Stable est la seule vraie Debian de production. Pas Testing/Unstable qui théoriquement sont des versions de développement.
                    Après stable, c'est unstable qui doit recevoir le correctif, et testing en dernier.

Desktop: CM Asus KCMA-D8. 2x AMD Opteron 4234 six coeurs @ 3,1 Ghz. 32 Go ddr3. GeForce GTX 1060.
Laptop: Toshiba C660-2D6. Intel core I3 2330M dual-core + HT @ 2,2 Ghz. 8 Go ddr3. GeForce 315M.
Media-Center: HP Compaq 6000 Pro. Intel Celeron E3400 dual-core @ 2,6 Ghz. 6 Go ddr3. GeForce GT 710.

Hors ligne

#40 05-01-2018 22:02:42

nIQnutn
Modeb
Distrib. : Stretch
Noyau : Linux 4.9.0-3-amd64
(G)UI : Gnome
Inscription : 16-03-2012

Re : Faille de sécurité gravissime sur les CPU Intel

yoshi a écrit :

Après stable, c'est unstable qui doit recevoir le correctif, et testing en dernier.


t'es sûre de toi ?

En ligne

#41 05-01-2018 23:00:35

yoshi
Membre
Lieu : Normandie
Distrib. : PCLinuxOS
Noyau : 4.18.1
(G)UI : KDE Plasma 5.13.4
Inscription : 05-03-2014

Re : Faille de sécurité gravissime sur les CPU Intel

Si rien n'a changé, et si Debian a toujours les mêmes règles, oui.

Mais là, la situation est exceptionnelle. C'est du jamais vu, donc ......

Desktop: CM Asus KCMA-D8. 2x AMD Opteron 4234 six coeurs @ 3,1 Ghz. 32 Go ddr3. GeForce GTX 1060.
Laptop: Toshiba C660-2D6. Intel core I3 2330M dual-core + HT @ 2,2 Ghz. 8 Go ddr3. GeForce 315M.
Media-Center: HP Compaq 6000 Pro. Intel Celeron E3400 dual-core @ 2,6 Ghz. 6 Go ddr3. GeForce GT 710.

Hors ligne

#42 05-01-2018 23:18:10

otyugh
CA Debian-Facile
Lieu : Quimperlé/Arzano
Distrib. : Debian Stable
Inscription : 20-09-2016
Site Web

Re : Faille de sécurité gravissime sur les CPU Intel

Raté tongue

@Haricophile: tu fais la critique du hardware fermé d'intel comme développant de mauvaises pratiques ? Ça s'applique à toute la high tech, non ?

Toujours en recherche du "plus" plutôt que le "suffisant" des réels besoin des utilisateurs : consulter et émettre des textes, des images, et des vidéos : ça fait depuis des années qu'on va "plus loin que nécessaire", et les constructeurs passent leur temps à surenchérir. En résultat on a des logiciels qui enflent démesurément en dépendances et en lourdeur.

Certes ça permet des trucs de dingues, des prouesses techniques dans le domaine vidéo-ludique, franchement je doute que ça en vaille le... coût. Une technologie jetable, peu fiable, toujours plus complexe et difficile à s'approprier... hmm
On pourra m'objecter "ben t'as qu'à rester sur un RPi1, alors !" : et ce serait vrai si le développement des logiciels ou du web n'étaient pas influencé par la progression du hardware : beaucoup de contenus deviennent inaccessibles ou d'outils inutilisables sur une machine "aux capacités raisonnable".

Comme la voiture a obligé les gens à en acheter une pour aller à leur job à 1h de là, je continue à me dire qu'avant ça, on devait ptéte marcher 1h pour aller au boulot, et que je vois pas trop l'intêret. Comme on doit avoir un ordi récent pour profiter du web, quand les ordis 10x moins performant d'époque proposaient une navigation beaucoup plus fluide. Ça nous enchaîne sans cesse plus à une logique de dépendance de besoins artificiels... Rendant la technologie déborder de performances, et à la fois ultra-bancale, parce que sans autre objectif que de remporter un marché en faisant toujours "plus".

Dernière modification par otyugh (05-01-2018 23:25:07)


Agenda du libre : dépannage par des bénévoles pour tout le monde !
Arzano Informatique : dépannage gagne-pain.
Liste de balados (aussi dit "podcast") : emissions audio pro/amateur

Hors ligne

#43 05-01-2018 23:24:06

Haricophile
Adhérent(e)
Lieu : Pignans (Var)
Distrib. : SID
Noyau : 4.0.0-1-amd64
(G)UI : Mate / i3 selon...
Inscription : 14-09-2009

Re : Faille de sécurité gravissime sur les CPU Intel

yoshi a écrit :

Si rien n'a changé, et si Debian a toujours les mêmes règles, oui.

Mais là, la situation est exceptionnelle. C'est du jamais vu, donc ......



Jamais vu ou pas, la priorité reste la même : Stable avant tout qui a une équipe de sécurité dévouée à cette tâche. Après, il est précisé que Testing peut rester longtemps sans correctif de bug, mais cela concerne les bugs fonctionnels et pas les problèmes critiques de sécurité comme c'est le cas. Mais même en cas d'urgence (surtout en cas d'urgence), on corrige d'abord Stable.


« la France d'en bas manque peut-être de hauteur mais la France d'en haut ne manque jamais de bassesse... »
    Georges Coulonges

Hors ligne

#44 05-01-2018 23:51:29

yoshi
Membre
Lieu : Normandie
Distrib. : PCLinuxOS
Noyau : 4.18.1
(G)UI : KDE Plasma 5.13.4
Inscription : 05-03-2014

Re : Faille de sécurité gravissime sur les CPU Intel

@ Haricophile: on est bien d'accord.
                     Ce que je voulais préciser à robert2a, c'est que c'est d'abord stable, puis unstable et testing à la fin.
                     Tout ce qui est nouveau dans la branche de développement doit d'abord passer par unstable avant
                     d'arriver dans testing.

Desktop: CM Asus KCMA-D8. 2x AMD Opteron 4234 six coeurs @ 3,1 Ghz. 32 Go ddr3. GeForce GTX 1060.
Laptop: Toshiba C660-2D6. Intel core I3 2330M dual-core + HT @ 2,2 Ghz. 8 Go ddr3. GeForce 315M.
Media-Center: HP Compaq 6000 Pro. Intel Celeron E3400 dual-core @ 2,6 Ghz. 6 Go ddr3. GeForce GT 710.

Hors ligne

#45 05-01-2018 23:58:45

yoshi
Membre
Lieu : Normandie
Distrib. : PCLinuxOS
Noyau : 4.18.1
(G)UI : KDE Plasma 5.13.4
Inscription : 05-03-2014

Re : Faille de sécurité gravissime sur les CPU Intel

@ robert2a:

pas de patch pour le 4.14 et le 4.15



Le premier kernel à avoir été patché est le 4.15-rc6 (le 30/12/2017). C'est Linus Torvalds lui même qui l'a intégré, en demandant
que le patch soit intégré à tous les kernels encore maintenus.


Desktop: CM Asus KCMA-D8. 2x AMD Opteron 4234 six coeurs @ 3,1 Ghz. 32 Go ddr3. GeForce GTX 1060.
Laptop: Toshiba C660-2D6. Intel core I3 2330M dual-core + HT @ 2,2 Ghz. 8 Go ddr3. GeForce 315M.
Media-Center: HP Compaq 6000 Pro. Intel Celeron E3400 dual-core @ 2,6 Ghz. 6 Go ddr3. GeForce GT 710.

Hors ligne

#46 06-01-2018 00:16:43

nIQnutn
Modeb
Distrib. : Stretch
Noyau : Linux 4.9.0-3-amd64
(G)UI : Gnome
Inscription : 16-03-2012

Re : Faille de sécurité gravissime sur les CPU Intel

yoshi a écrit :

Si rien n'a changé, et si Debian a toujours les mêmes règles, oui.

Mais là, la situation est exceptionnelle. C'est du jamais vu, donc ......


exceptionnelle ?

Q. : Comment est gérée la sécurité pour unstable ?

R. : La sécurité pour unstable est d’abord gérée par les responsables de paquets et non par l’équipe chargée de la sécurité. Bien que l’équipe chargée de la sécurité puisse envoyer des correctifs de sécurité urgents quand les responsables ont l’air inactifs, la prise en charge de stable sera toujours la priorité. Si vous souhaitez un serveur sûr (et stable), vous devriez garder la distribution stable.

Q. : Comment est gérée la sécurité pour testing  ?

R. : La sécurité pour testing bénéficie des efforts sur la sécurité réalisés par tout le projet pour unstable. Cependant, un délai minimal de deux jours existe pour la migration, et les correctifs de sécurité peuvent parfois être retenus par les transitions. L’équipe chargée de la sécurité aide à faire avancer ces transitions qui retiennent les envois de sécurité importants, mais ce n’est pas toujours possible et des contretemps peuvent survenir. En particulier, les mois qui suivent une nouvelle publication de stable, quand de nombreuses nouvelles versions sont envoyées dans unstable, les correctifs de sécurité pourraient être mis en attente. Si vous souhaitez un serveur sûr (et stable), vous devriez garder la distribution stable.


traduction ?
https://www.debian.org/security/faq.fr.html#testing
ça correspond à ce que j'avais lu ailleurs, la Security Team s'occupe de stable. les autres branches, c'est un peu le bordel.
on ne parle même pas des LTS.

https://security-tracker.debian.org/tra … -2017-5754

En ligne

#47 06-01-2018 00:30:40

yoshi
Membre
Lieu : Normandie
Distrib. : PCLinuxOS
Noyau : 4.18.1
(G)UI : KDE Plasma 5.13.4
Inscription : 05-03-2014

Re : Faille de sécurité gravissime sur les CPU Intel

Oui c'est vrai.

Mais je pense que ça vient d'un malentendu: certains utilisent testing et unstable sur leur machine comme une rolling-release.
Je l'ai moi même fait dans le passé et j'aimais utiliser ces versions, surtout unstable.
Mais voilà, en théorie, ces versions de Debian sont destinées aux développeurs et aux mainteneurs de paquets. Les utilisateurs
qui choisissent de les utiliser le font à leurs risques et périls.

Testing et Unstable ne sont pas de vraies rolling-release comme peut l'être ArchLinux qui a été conçue comme telle.

*** quand je disais "situation exceptionnelle" c'est que généralement les failles viennent  d'un problème software.
      Failles dans du code ...
      Là c'est un truc inédit, des processeurs qui mettent en danger quasi tous les systèmes d'exploitation. Du jamais
      vu il me semble.

Dernière modification par yoshi (06-01-2018 00:39:31)


Desktop: CM Asus KCMA-D8. 2x AMD Opteron 4234 six coeurs @ 3,1 Ghz. 32 Go ddr3. GeForce GTX 1060.
Laptop: Toshiba C660-2D6. Intel core I3 2330M dual-core + HT @ 2,2 Ghz. 8 Go ddr3. GeForce 315M.
Media-Center: HP Compaq 6000 Pro. Intel Celeron E3400 dual-core @ 2,6 Ghz. 6 Go ddr3. GeForce GT 710.

Hors ligne

#48 06-01-2018 00:41:57

robert2a
Membre
Lieu : France
Inscription : 15-11-2014

Re : Faille de sécurité gravissime sur les CPU Intel

tout ça n'explique pas que le noyau de stable (4.9.0-4 ) ne soit pas mit a jour mais remplacé par le 4.9.0-5
toutes les machines en noyau stable qui n'ont pas au moins le méta-paquet "linux-image-amd64" ne seront pas mit a jour
comme j'explique plus haut , sur mes Buster , le noyau n'est pas mit a jour , malgrés le sources.list avec "stretch" et l utilisation du noyau 4.9
a cause du driver nonfree toutes mes machines en stretch ont les 2 méta-paquet linux-image et headers donc je n'ai pas eu de soucis , les dépendances ont fait leur job
aucune des busters/sid en noyau 4.9.0-4 n'a reçu la mise a jours .
depuis la création de Buster je reçois les mises a jour de sécurité de stretch , et meme de la section main quand le paquet est encore en version stable. (en autre noyau et driver nvidia nonfree )
pour moi c'est un bug , le correctif est mal appliqué .
a priori il n'y a que moi que ça perturbe tongue

Hors ligne

#49 06-01-2018 00:51:10

yoshi
Membre
Lieu : Normandie
Distrib. : PCLinuxOS
Noyau : 4.18.1
(G)UI : KDE Plasma 5.13.4
Inscription : 05-03-2014

Re : Faille de sécurité gravissime sur les CPU Intel

Là, je ne sais pas quoi te répondre .....
Je pense que c'est dû au fait que tout ça est fait dans l'urgence, je dirais même à l'arrache.

Desktop: CM Asus KCMA-D8. 2x AMD Opteron 4234 six coeurs @ 3,1 Ghz. 32 Go ddr3. GeForce GTX 1060.
Laptop: Toshiba C660-2D6. Intel core I3 2330M dual-core + HT @ 2,2 Ghz. 8 Go ddr3. GeForce 315M.
Media-Center: HP Compaq 6000 Pro. Intel Celeron E3400 dual-core @ 2,6 Ghz. 6 Go ddr3. GeForce GT 710.

Hors ligne

#50 06-01-2018 01:07:19

naguam
Membre
Lieu : Quelque part
Distrib. : Plusieurs
Noyau : Ça dépend
(G)UI : La CLI il n'y a que ça de vrai!
Inscription : 13-06-2016

Re : Faille de sécurité gravissime sur les CPU Intel

Dites les mecs, je suis aussi utilisateur de Gentoo et j'aime beaucoup les BSD et j'ai pas vu de fil parlant de correction à ce niveau là chez eux dans leur kernel (linux et BSD)
Si vous avez des liens je suis preneur.

Vous pensez que les intel atom Z520 (gentoo) sont touchés (les fameux accompagnés de pousbo gma500) ? (moins de dix ans mais comme les atoms ont toujours été différents de cores et des célerons de la même époque (par exemple 32 au lieux de 64bit pour les autres ou encore sous-architecture bonnell de l'architecture silverthorne pour ce momèle cela n'existant pas chez les autres séries)

Et ah tien en passant un kernel 4.15-rc6 compilé a faillit cramer mon latitude (physiquement parlant) j'ai du repasser au 4.14 des depots debian (je tiens a dire que c'est pas la première fois que je compile un kernel surtout pour cette machine sachant que le tuto que j'ai rédigé avec un pote est dans ma signature).
c'était un problème de sonde de température qui crépitait. Voilà un fait amusant mais ce n'est pas un troll)

Je tiens à dire, ce n'est pas une faille car tout le monde le savais en interne (Ceux qui démentent doivent répondre a la question de: pk le CEO a revendu toutes ces actions juste avant?)

Ce qui est cool c'est qu'en réalité c'est deux dites par abus de language failles et que amd est moins touché par la baisse de performance du fix alors que chez intel ça va jusqu'a 30% de pertes ce qui va rerééquilibrer les marchés (surtout du serveur avec les epyc (la suite des opteron verison ryzen) car xeon 30% moins performants et en serveurs le processeur est assez important). Déjà que amd avait ébranl" intel avec la sortie des ryzen là c'est bon pour nous. économiquement parlant (niveaux cracks (hack méchants) c'est une autre histoire, moins cool)

Soyons honnêtes ici sauf si vous compilez beaucoup de choses ce qui fait qu'un laptop de qqn rame c'est souvent le manque de perf gpu avec les DE très complets bourré d'animation qui demandent l'accéleration 3D ou par manque de ram (swap lent) (firefox + onglet + de ram). 

Après si vous avez une machine très vieille vous serez pas touchez par la baisse donc si votre processeur vous limite ce seras plus un problème de pertes de perfs dues au fix.

Dernière modification par naguam (06-01-2018 01:17:57)

En ligne

Pied de page des forums