Faille de sécurité gravissime sur les CPU Intel

yoshi · 02-02-2018 13:48:20

Effectivement, sous Stretch, 4.9.0-5-amd64 est le dernier en date et potentiellement sécurisé.

Je me suis réinstallé une Debian Stretch Mate, standard, sans les backports. Au reboot après install, j'ai eu la maj vers linux-image 4.9.0-5-amd64.
J'ai vérifié hier soir, la commande renvoie:

grep: /sys/devices/system/cpu/vulnerabilities/*: Aucun fichier ou dossier de ce type

Alors, je ne sais pas ....

anonyme · 02-02-2018 14:07:01

bonjours

ils vont certainement travailler sur sid , avant d'appliquer les modifications aux autres noyaux.
ça impacte moins de monde en cas de problèmes .
enfin je suppose ........
nota: sur le changelog (par synaptic ou sur kernel.org) il doit y avoir les modifications des noyaux , mais bon pas toujours très clair pour un utilisateur lambda

chalu · 02-02-2018 16:06:27

Je ne comprends pas tout mais l’essentiel : l’equipe Sécurité s’en occupe

https://bugs.debian.org/cgi-bin/bugrepo … bug=888263

yoshi · 02-02-2018 19:35:07

C'est vrai que les derniers kernels patchés demandent une version "up-to-date" de GCC.
Pas évident sur une version stable où les briques de base sont censées être figées.
Plus facile sur une rolling.

Après, est-ce-que les derniers kernels patchés protègent contre tout, je n'y crois guère ....

Dernière modification par yoshi (02-02-2018 19:36:59)

enicar · 03-02-2018 19:18:27

yoshi a écrit :

Après, est-ce-que les derniers kernels patchés protègent contre tout, je n'y crois guère ....

En effet, j'utilise une noyau de kernel.org le 4.14.16. J'ai compilé ce noyau avec gcc7 (je suis en sid) :

grep . /sys/devices/system/cpu/vulnerabilities/*

 

/sys/devices/system/cpu/vulnerabilities/meltdown:Mitigation: PTI

/sys/devices/system/cpu/vulnerabilities/spectre_v1:Vulnerable

/sys/devices/system/cpu/vulnerabilities/spectre_v2:Mitigation: Full generic retpoline

Donc il reste encore « la spectre v1 » qui n'est pas « bouchée ».
Je n'ai pas encore essayé le noyau 4.15…

enicar · 03-02-2018 21:53:11

Je suis en train de tester le noyau 4.15.1, j'ai les mêmes messages que précédemment (message #205)…
Donc pour l'instant il n'y aucune protection contre la faille spectre v1 dans linux… c'est ce que j'ai cru
comprendre d'après certains messages ici et là… mais il faudrait que j'approfondisse le sujet pour en
savoir plus.

Dernière modification par enicar (04-02-2018 12:13:07)

anonyme · 03-02-2018 22:51:24

le changelog du 4.15.1 stable

commit d55dce9083d0308333c83d6abb8ea3560a8293b8

Author: Greg Kroah-Hartman <gregkh@linuxfoundation.org>

Date:   Sat Feb 3 17:58:44 2018 +0100

    Linux 4.15.1

commit d4374d0a85e54aaf01726b0514958612c9edbd31

Author: Matthew Garrett <mjg59@google.com>

Date:   Tue Jan 16 09:10:02 2018 +0000

    x86/efi: Clarify that reset attack mitigation needs appropriate userspace

    commit a5c03c31af2291f13689d11760c0b59fb70c9a5a upstream.

    Some distributions have turned on the reset attack mitigation feature,

    which is designed to force the platform to clear the contents of RAM if

    the machine is shut down uncleanly. However, in order for the platform

    to be able to determine whether the shutdown was clean or not, userspace

    has to be configured to clear the MemoryOverwriteRequest flag on

    shutdown - otherwise the firmware will end up clearing RAM on every

    reboot, which is unnecessarily time consuming. Add some additional

    clarity to the kconfig text to reduce the risk of systems being

    configured this way.

    Signed-off-by: Matthew Garrett <mjg59@google.com>

    Acked-by: Ard Biesheuvel <ard.biesheuvel@linaro.org>

    Cc: Linus Torvalds <torvalds@linux-foundation.org>

    Cc: Peter Zijlstra <peterz@infradead.org>

    Cc: Thomas Gleixner <tglx@linutronix.de>

    Cc: linux-efi@vger.kernel.org

    Cc: linux-kernel@vger.kernel.org

    Signed-off-by: Ingo Molnar <mingo@kernel.org>

    Signed-off-by: Greg Kroah-Hartman <gregkh@linuxfoundation.org>

yoshi · 05-02-2018 15:57:44

Kernel 4.15.1 cpu Intel:

$ grep . /sys/devices/system/cpu/vulnerabilities/*

/sys/devices/system/cpu/vulnerabilities/meltdown:Mitigation: PTI

/sys/devices/system/cpu/vulnerabilities/spectre_v1:Vulnerable

/sys/devices/system/cpu/vulnerabilities/spectre_v2:Mitigation: Full generic retpoline

Pour cpu AMD, je ne peux pas tester, ma machine bi-Opteron refuse de démarrer avec le 4.15.1 ....

Enfin, vu le résultat sur cpu Intel, aucune différence entre les derniers 4.14/4.9/4.4 patchés et le 4.15.1 ....

Dernière modification par yoshi (05-02-2018 19:49:58)

anonyme · 06-02-2018 14:49:14

Bonjour

ce matin reboot de certaines machines en buster/sid (amd et intel) mais a priori pas de correctifs avec le 4.14 (ne sont pas patchés? )
pas de problèmes non plus

grep . /sys/devices/system/cpu/vulnerabilities/*

 

grep: /sys/devices/system/cpu/vulnerabilities/*: Aucun fichier ou dossier de ce type

 

uname -a

 

Linux debian12 4.14.0-3-amd64 #1 SMP Debian 4.14.13-1 (2018-01-14) x86_64 GNU/Linux

 

que le bi Opteron ne démarre plus avec le 4.15.1 c'est pas bon signe

Haricophile · 06-02-2018 17:04:11

que le bi Opteron ne démarre plus avec le 4.15.1 c'est pas bon signe

Vu les tortillement du cul d'Intel avec ses patches de toute manière toute cette histoire est «defective by design». Je n'ai pas regardé de près, mais des «redémarrages intempestifs» concernant un processeur ça peut aussi correspondre a des déclenchements de sécurité ou de graves bugs internes, et ça pue. Je ne suis pas certain qu'il existera une solution réellement satisfaisante en dehors de changer tous les procs. Et là je ne suis pas sûr qu'on laisse le consommateur bénéficier de la clause d'échange ou remboursement vice de fabrication, c'est pas comme si la loi s'appliquait à tout le monde.

smolski · 06-02-2018 18:50:48

Haricophile a écrit :

c'est pas comme si la loi s'appliquait à tout le monde.

La justice est aveugle : ...

yoshi · 06-02-2018 19:56:55

que le bi Opteron ne démarre plus avec le 4.15.1 c'est pas bon signe

J'ai des erreurs d'udev avec ce kernel. Impossible de démarrer dessus. J'ai été le chercher dans la section "test" de PCLinuxOS.
J'ai bien sur posté un message sur leur forum US.
Par contre ce même bi-Opteron fonctionne nickel avec les derniers 4.14.17 et 4.9.80 ...

Après, si jamais il ne démarre pas sur les 4.15 à venir, je resterai sur les 4.14 et 4.9 LTS. Je n'ai pas besoin des nouveautés du
4.15 liées à Ryzen/Threadripper ..... Mes Opteron, c'est du Bulldozer ....

Dernière modification par yoshi (06-02-2018 20:01:52)

anonyme · 07-02-2018 05:47:33

Bonjour
j'ai fait un test pour une carte graphique sur l'opteron , déja sur stretch j'ai des problème après mise a jour
des milliers de lignes comme ceci (presque a planter la machine )

-- Logs begin at Wed 2018-02-07 03:07:18 CET, end at Wed 2018-02-07 03:09:34 CET. --

févr. 07 03:08:13 debiantest1 pulseaudio[1072]: [pulseaudio] pid.c: Daemon already running.

févr. 07 03:07:42 debiantest1 kernel: AMD-Vi: Event logged [

févr. 07 03:07:42 debiantest1 kernel: AMD-Vi: Event logged [

févr. 07 03:07:42 debiantest1 kernel: AMD-Vi: Event logged [

il faudra que je regarde quelle option du bios provoque cela
je pense que c'est l'option IOMMU et peut etre dut a une carte graphique trop ancienne ( nvidia 6800 )
si j'ai le temps je testerai le 4.15.1 pour voir si correct (bon c'est une carte serveur mono gpu )

scorpio810 · 08-02-2018 00:56:05

grep . /sys/devices/system/cpu/vulnerabilities/*

/sys/devices/system/cpu/vulnerabilities/meltdown:Not affected

/sys/devices/system/cpu/vulnerabilities/spectre_v1:Mitigation: __user pointer sanitization

/sys/devices/system/cpu/vulnerabilities/spectre_v2:Mitigation: Full AMD retpoline

sudo ./spectre-meltdown-checker.sh

Spectre and Meltdown mitigation detection tool v0.34+

Checking for vulnerabilities on current system

Kernel is Linux 4.15.2-vanilla-2 #2 SMP Thu Feb 8 01:44:14 CET 2018 x86_64

CPU is AMD Ryzen 7 1700X Eight-Core Processor

Hardware check

* Hardware support (CPU microcode) for mitigation techniques

  * Indirect Branch Restricted Speculation (IBRS)

    * SPEC_CTRL MSR is available:  NO 

    * CPU indicates IBRS capability:  NO 

  * Indirect Branch Prediction Barrier (IBPB)

    * PRED_CMD MSR is available:  NO 

    * CPU indicates IBPB capability:  NO 

  * Single Thread Indirect Branch Predictors (STIBP)

    * SPEC_CTRL MSR is available:  NO 

    * CPU indicates STIBP capability:  NO 

  * Enhanced IBRS (IBRS_ALL)

    * CPU indicates ARCH_CAPABILITIES MSR availability:  NO 

    * ARCH_CAPABILITIES MSR advertises IBRS_ALL capability:  NO 

  * CPU explicitly indicates not being vulnerable to Meltdown (RDCL_NO):  NO 

  * CPU microcode is known to cause stability problems:  NO 

* CPU vulnerability to the three speculative execution attacks variants

  * Vulnerable to Variant 1:  YES 

  * Vulnerable to Variant 2:  YES 

  * Vulnerable to Variant 3:  NO 

CVE-2017-5753 [bounds check bypass] aka 'Spectre Variant 1'

* Mitigated according to the /sys interface:  YES  (kernel confirms that the mitigation is active)

* Kernel has array_index_mask_nospec:  YES  (1 occurence(s) found of 64 bits array_index_mask_nospec())

> STATUS:  NOT VULNERABLE  (Mitigation: __user pointer sanitization)

CVE-2017-5715 [branch target injection] aka 'Spectre Variant 2'

* Mitigated according to the /sys interface:  YES  (kernel confirms that the mitigation is active)

* Mitigation 1

  * Kernel is compiled with IBRS/IBPB support:  NO 

  * Currently enabled features

    * IBRS enabled for Kernel space:  NO 

    * IBRS enabled for User space:  NO 

    * IBPB enabled:  NO 

* Mitigation 2

  * Kernel compiled with retpoline option:  YES 

  * Kernel compiled with a retpoline-aware compiler:  YES  (kernel reports full retpoline compilation)

  * Retpoline enabled:  NO 

> STATUS:  NOT VULNERABLE  (Mitigation: Full AMD retpoline)

CVE-2017-5754 [rogue data cache load] aka 'Meltdown' aka 'Variant 3'

* Mitigated according to the /sys interface:  YES  (kernel confirms that your CPU is unaffected)

* Kernel supports Page Table Isolation (PTI):  YES 

* PTI enabled and active:  NO 

* Running as a Xen PV DomU:  NO 

> STATUS:  NOT VULNERABLE  (your CPU vendor reported your CPU model as not vulnerable)

A false sense of security is worse than no security at all, see --disclaimer

Dernière modification par scorpio810 (08-02-2018 01:56:51)

yoshi · 08-02-2018 01:02:38

Salut scorpio !

Ah ... Il semble y avoir du nouveau avec le 4.15.2 (spectre v1)...

scorpio810 · 08-02-2018 01:43:09

Salut Yoshi !

oui en effet !
https://cdn.kernel.org/pub/linux/kernel … Log-4.15.2

Bon vais re compiler again le kernel, histoire de vérifier un truc.

Dernière modification par scorpio810 (08-02-2018 01:43:42)

anonyme · 08-02-2018 08:00:16

Bonjour
gcc-8 est rentré dans sid

apt search gcc-8

 

En train de trier... Fait

Recherche en texte intégral... Fait

gcc-8/unstable 8-20180207-2 amd64

  GNU C compiler

gcc-8-base/unstable,now 8-20180207-2 amd64  [installé, automatique]

  GCC, the GNU Compiler Collection (base package)

gcc-8-hppa64-linux-gnu/unstable 8-20180207-2 amd64

  GNU C compiler (cross compiler for hppa64)

gcc-8-locales/unstable,unstable 8-20180207-2 all

  GCC, the GNU compiler collection (native language support files)

gcc-8-multilib/unstable 8-20180207-2 amd64

  GNU C compiler (multilib support)

gcc-8-offload-nvptx/unstable 8-20180207-2 amd64

  GCC offloading compiler to NVPTX

gcc-8-plugin-dev/unstable 8-20180207-2 amd64

  Files for GNU GCC plugin development.

gcc-8-source/unstable,unstable 8-20180207-2 all

  Source of the GNU Compiler Collection

gcc-8-test-results/unstable 8-20180207-2 amd64

  Test results for the GCC test suite

lib32gcc-8-dev/unstable 8-20180207-2 amd64

  GCC support library (32 bit development files)

lib64gcc-8-dev/unstable 8-20180207-2 i386

  GCC support library (64bit development files)

libgcc-8-dev/unstable 8-20180207-2 amd64

  GCC support library (development files)

libx32gcc-8-dev/unstable 8-20180207-2 amd64

  GCC support library (x32 development files)

yoshi · 08-02-2018 21:51:21

Le 4.15.2 est arrivé chez moi aujourd'hui, toujours en section "test".

Sur machine Intel:

$ grep . /sys/devices/system/cpu/vulnerabilities/*

/sys/devices/system/cpu/vulnerabilities/meltdown:Mitigation: PTI

/sys/devices/system/cpu/vulnerabilities/spectre_v1:Mitigation: __user pointer sanitization

/sys/devices/system/cpu/vulnerabilities/spectre_v2:Mitigation: Full generic retpoline

Pour AMD, mon bi-Opteron refuse de booter sur le 4.15.2, comme sur le 4.15.1 ....
Ca bloque dès le début, au niveau de udev. Les erreurs semblent venir de /sbin/modprobe.

Par contre aucun soucis avec les 4.14.17, 4.9.80 et 4.4.115 ....

Dernière modification par yoshi (08-02-2018 22:55:59)

yoshi · 09-02-2018 00:27:19

Installation ce soir du 4.14.18, officiellement passé LTS sur kernel.org.
Celui-ci s'installe sans problème sur mon bi-Opteron contrairement aux 4.15.1 / 4.15.2 ....

Il est sorti le même jour que le 4.15.2 et il semble y avoir eu rétroportage du patch pour spectre v1 ;

Donc, cpu(s) AMD :

$ grep . /sys/devices/system/cpu/vulnerabilities/*

/sys/devices/system/cpu/vulnerabilities/meltdown:Not affected

/sys/devices/system/cpu/vulnerabilities/spectre_v1:Mitigation: __user pointer sanitization

/sys/devices/system/cpu/vulnerabilities/spectre_v2:Mitigation: Full AMD retpoline

Dernière modification par yoshi (09-02-2018 01:17:00)

Debian Alain · 09-02-2018 16:03:04

je dois être un gros nul , c'est pas possible :

~$ grep . /sys/devices/system/cpu/vulnerabilities/*

/sys/devices/system/cpu/vulnerabilities/meltdown:Not affected

/sys/devices/system/cpu/vulnerabilities/spectre_v1:Mitigation: __user pointer sanitization

/sys/devices/system/cpu/vulnerabilities/spectre_v2:Vulnerable: Minimal AMD ASM retpoline

/sys/devices/system/cpu/vulnerabilities/spectre_v2:Vulnerable: Minimal AMD ASM retpoline

comment vous faites pour avoir la "mitigation" spectre v2 ?

~$ sudo sh ./spectre-meltdown-checker.sh

Spectre and Meltdown mitigation detection tool v0.34+

Checking for vulnerabilities on current system

Kernel is Linux 4.15.2-amd64 #2 SMP Fri Feb 9 10:56:44 CET 2018 x86_64

CPU is AMD Ryzen 7 1700X Eight-Core Processor

Hardware check

* Hardware support (CPU microcode) for mitigation techniques

  * Indirect Branch Restricted Speculation (IBRS)

    * SPEC_CTRL MSR is available:  NO 

    * CPU indicates IBRS capability:  NO 

  * Indirect Branch Prediction Barrier (IBPB)

    * PRED_CMD MSR is available:  NO 

    * CPU indicates IBPB capability:  NO 

  * Single Thread Indirect Branch Predictors (STIBP)

    * SPEC_CTRL MSR is available:  NO 

    * CPU indicates STIBP capability:  NO 

  * Enhanced IBRS (IBRS_ALL)

    * CPU indicates ARCH_CAPABILITIES MSR availability:  NO 

    * ARCH_CAPABILITIES MSR advertises IBRS_ALL capability:  NO 

  * CPU explicitly indicates not being vulnerable to Meltdown (RDCL_NO):  NO 

  * CPU microcode is known to cause stability problems:  NO 

* CPU vulnerability to the three speculative execution attacks variants

  * Vulnerable to Variant 1:  YES 

  * Vulnerable to Variant 2:  YES 

  * Vulnerable to Variant 3:  NO 

CVE-2017-5753 [bounds check bypass] aka 'Spectre Variant 1'

* Mitigated according to the /sys interface:  YES  (kernel confirms that the mitigation is active)

* Kernel has array_index_mask_nospec:  YES  (1 occurence(s) found of 64 bits array_index_mask_nospec())

> STATUS:  NOT VULNERABLE  (Mitigation: __user pointer sanitization)

CVE-2017-5715 [branch target injection] aka 'Spectre Variant 2'

* Mitigated according to the /sys interface:  NO  (kernel confirms your system is vulnerable)

* Mitigation 1

  * Kernel is compiled with IBRS/IBPB support:  NO 

  * Currently enabled features

    * IBRS enabled for Kernel space:  NO 

    * IBRS enabled for User space:  NO 

    * IBPB enabled:  NO 

* Mitigation 2

  * Kernel compiled with retpoline option:  YES 

  * Kernel compiled with a retpoline-aware compiler:  NO  (kernel reports minimal retpoline compilation)

  * Retpoline enabled:  NO 

> STATUS:  VULNERABLE  (Vulnerable: Minimal AMD ASM retpoline)

CVE-2017-5754 [rogue data cache load] aka 'Meltdown' aka 'Variant 3'

* Mitigated according to the /sys interface:  YES  (kernel confirms that your CPU is unaffected)

* Kernel supports Page Table Isolation (PTI):  YES 

* PTI enabled and active:  NO 

* Running as a Xen PV DomU:  NO 

> STATUS:  NOT VULNERABLE  (your CPU vendor reported your CPU model as not vulnerable)

A false sense of security is worse than no security at all, see --disclaimer

Dernière modification par Debian Alain (09-02-2018 16:10:55)

scorpio810 · 09-02-2018 16:35:47

Tu as besoin de compiler ton kernel avec un compilateur récent comme GCC 7.3

Kernel compiled with a retpoline-aware compiler: YES (kernel reports full retpoline compilation)

Dernière modification par scorpio810 (09-02-2018 16:36:39)

Debian Alain · 09-02-2018 16:58:37

ou peut être comme gcc-8 vu qu'il vient d'arriver dans unstable ? je pense que oui . ?

Dernière modification par Debian Alain (09-02-2018 17:57:11)

yoshi · 09-02-2018 20:34:09

Non, GCC 7.3.0 chez moi sur PCLinuxOS.
Pour moi, je ne compile absolument rien, j'installe les kernels quand ils arrivent dans le dépôt de la distri.
Sur PCLinuxOS c'est très réactif: j+1 par rapport à kernel.org, parfois le jour même.

De toute façon en ce moment c'est le bronx au niveau des kernels, il ne faut pas s'affoler ....

yoshi · 09-02-2018 20:39:22

Et de toute façon, pour ce qui est de spectre, v1 et v2: Mitigation se traduit par "atténuation" pas "résolution du problème".
Ce sont des rustines, rien de plus et surement pas une protection totale contre les menaces ....
C'est quand même mieux que rien, mais ....

Debian Alain · 09-02-2018 20:53:32

PC linux OS , c'est une distribution ? je crois , non ?

j'ai regardé chez moi , que ce soit
- kernel 4.14.03
- kernel 4.15.1
- kernel 4.15.2

tous sont en gcc 7.2 et non pas 7.3

~$ apt policy gcc

gcc:

  Installé : 4:7.2.0-1d1

  Candidat : 4:7.2.0-1d1

 Table de version :

 *** 4:7.2.0-1d1 500

        500 [url]http://ftp.fr.debian.org/debian[/url] testing/main amd64 Packages

        100 [url]http://ftp.fr.debian.org/debian[/url] unstable/main amd64 Packages

        100 /var/lib/dpkg/status

malgré l'installation de gcc-8 :

~$ apt policy gcc-8

gcc-8:

  Installé : 8-20180207-2

  Candidat : 8-20180207-2

 Table de version :

 *** 8-20180207-2 100

        100 [url]http://ftp.fr.debian.org/debian[/url] unstable/main amd64 Packages

        100 /var/lib/dpkg/status

~$ uname -a

Linux Alain-PC-BUSTER 4.15.2-amd64 #2 SMP Fri Feb 9 10:56:44 CET 2018 x86_64 GNU/Linux

Dernière modification par Debian Alain (09-02-2018 21:05:16)

Debian-facile

#201 02-02-2018 13:48:20

Re : Faille de sécurité gravissime sur les CPU Intel

#202 02-02-2018 14:07:01

Re : Faille de sécurité gravissime sur les CPU Intel

#203 02-02-2018 16:06:27

Re : Faille de sécurité gravissime sur les CPU Intel

#204 02-02-2018 19:35:07

Re : Faille de sécurité gravissime sur les CPU Intel

#205 03-02-2018 19:18:27

Re : Faille de sécurité gravissime sur les CPU Intel

#206 03-02-2018 21:53:11

Re : Faille de sécurité gravissime sur les CPU Intel

#207 03-02-2018 22:51:24

Re : Faille de sécurité gravissime sur les CPU Intel

#208 05-02-2018 15:57:44

Re : Faille de sécurité gravissime sur les CPU Intel

#209 06-02-2018 14:49:14

Re : Faille de sécurité gravissime sur les CPU Intel

#210 06-02-2018 17:04:11

Re : Faille de sécurité gravissime sur les CPU Intel

#211 06-02-2018 18:50:48

Re : Faille de sécurité gravissime sur les CPU Intel

#212 06-02-2018 19:56:55

Re : Faille de sécurité gravissime sur les CPU Intel

#213 07-02-2018 05:47:33

Re : Faille de sécurité gravissime sur les CPU Intel

#214 08-02-2018 00:56:05

Re : Faille de sécurité gravissime sur les CPU Intel

#215 08-02-2018 01:02:38

Re : Faille de sécurité gravissime sur les CPU Intel

#216 08-02-2018 01:43:09

Re : Faille de sécurité gravissime sur les CPU Intel

#217 08-02-2018 08:00:16

Re : Faille de sécurité gravissime sur les CPU Intel

#218 08-02-2018 21:51:21

Re : Faille de sécurité gravissime sur les CPU Intel

#219 09-02-2018 00:27:19

Re : Faille de sécurité gravissime sur les CPU Intel

#220 09-02-2018 16:03:04

Re : Faille de sécurité gravissime sur les CPU Intel

#221 09-02-2018 16:35:47

Re : Faille de sécurité gravissime sur les CPU Intel

#222 09-02-2018 16:58:37

Re : Faille de sécurité gravissime sur les CPU Intel

#223 09-02-2018 20:34:09

Re : Faille de sécurité gravissime sur les CPU Intel

#224 09-02-2018 20:39:22

Re : Faille de sécurité gravissime sur les CPU Intel

#225 09-02-2018 20:53:32

Re : Faille de sécurité gravissime sur les CPU Intel

Pied de page des forums