logo Debian Debian Debian-France Debian-Facile Debian-fr.org Forum-Debian.fr Debian ? Communautés logo inclusivité

Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#76 06-01-2018 17:06:59

anonyme
Invité

Re : Faille de sécurité gravissime sur les CPU Intel

Bonjour

sur le Threadripper AMD


dmesg | grep 'page tables isolation'
 


retour


[    0.000000] Kernel/User page tables isolation: disabled
 



 uname -a
 


retour


Linux amdtr4 4.9.0-5-amd64 #1 SMP Debian 4.9.65-3+deb9u2 (2018-01-04) x86_64 GNU/Linux
 


je vous donne le retour pour mon bi-xeon


lscpu
 


retour


Architecture :        x86_64
Mode(s) opératoire(s) des processeurs : 32-bit, 64-bit
Boutisme :            Little Endian
Processeur(s) :       24
Liste de processeur(s) en ligne : 0-23
Thread(s) par cœur : 2
Cœur(s) par socket : 6
Socket(s) :           2
Nœud(s) NUMA :       2
Identifiant constructeur : GenuineIntel
Famille de processeur : 6
Modèle :             45
Nom de modèle :      Intel(R) Xeon(R) CPU E5-2620 0 @ 2.00GHz
Révision :           7
Vitesse du processeur en MHz : 2000.122
Vitesse maximale du processeur en MHz : 2000,0000
Vitesse minimale du processeur en MHz : 1200,0000
BogoMIPS :            4000.17
Virtualisation :      VT-x
Cache L1d :           32K
Cache L1i :           32K
Cache L2 :            256K
Cache L3 :            15360K
Nœud NUMA 0 de processeur(s) : 0-5,12-17
Nœud NUMA 1 de processeur(s) : 6-11,18-23
Flags:                 fpu vme de pse tsc msr pae mce cx8 apic sep mtrr pge mca cmov pat pse36 clflush dts acpi mmx fxsr sse sse2 ss ht tm pbe syscall nx pdpe1gb rdtscp lm constant_tsc arch_perfmon pebs bts rep_good nopl xtopology nonstop_tsc aperfmperf eagerfpu pni pclmulqdq dtes64 monitor ds_cpl vmx smx est tm2 ssse3 cx16 xtpr pdcm pcid dca sse4_1 sse4_2 x2apic popcnt tsc_deadline_timer aes xsave avx lahf_lm epb kaiser tpr_shadow vnmi flexpriority ept vpid xsaveopt dtherm arat pln pts
 


 
dmesg | grep 'page tables isolation'
 


retour


[    0.000000] Kernel/User page tables isolation: enabled
 



grep cpu_insecure /proc/cpuinfo && echo "patched :)" || echo "unpatched :("
 


retour


unpatched :(
 



uname -a
 


retour


Linux debian1 4.9.0-5-amd64 #1 SMP Debian 4.9.65-3+deb9u2 (2018-01-04) x86_64 GNU/Linux
 



pour un Intel I7 7700


[    0.000000] Kernel/User page tables isolation: enabled
 



unpatched :(
 


soit les commandes sont pas bonnes , soit le patch a du mal a s'appliquer , enfin l'essentiel je suppose c'est " Kernel/User page tables isolation: enabled "

Dernière modification par anonyme (06-01-2018 17:29:22)

#77 06-01-2018 23:19:16

yoshi
Membre
Lieu : Normandie
Distrib. : LMDE 6 Faye
Noyau : 6.6.5-1-liquorix-amd64
(G)UI : Cinnamon 5.8.4
Inscription : 05-03-2014

Re : Faille de sécurité gravissime sur les CPU Intel

@ anonyme: Il semble en effet que les kernels Debian patchés donnent ces réponses aux commandes que j'ai proposé
                  pour les cpus Intel.
                  Le patch est là pour la faille Meltdown. AMD, n'est pas impacté.
                  Pour la 2nde faille, Spectre, ça va être très compliqué à ce que j'ai compris, et pour l'instant je crois qu'aucune
                  solution n'est en vue.
                  A suivre ...

http://linuxfr.org/nodes/113442/comments/1726140

http://linuxfr.org/nodes/113442/comments/1726116

http://linuxfr.org/nodes/113442/comments/1726123

Dernière modification par yoshi (07-01-2018 01:07:58)


Desktop 1: SKP P21. Gigabyte B550M DS3H. AMD Ryzen 9 3900 @ 3,1 Ghz. Kingston FURY 64 Gb DDR4-3200. Sapphire Radeon Pulse RX 6700 XT 12Gb.
Laptop: Acer Aspire E5-573G. Intel Core i3-4005U @ 1,7 Ghz. Intel Haswell-ULT Integrated Graphics
Desktop 2: HP Compaq 6000 Pro Intel Core2 Quad Q8400 @ 2,6 Ghz. 6Gb ddr3. Geforce GT 710

Hors ligne

#78 07-01-2018 12:13:42

jiraya
Membre
Inscription : 24-05-2013

Re : Faille de sécurité gravissime sur les CPU Intel

donc en gros sa bouge pour Intel mais pas AMD?

Hors ligne

#79 07-01-2018 14:00:03

yoshi
Membre
Lieu : Normandie
Distrib. : LMDE 6 Faye
Noyau : 6.6.5-1-liquorix-amd64
(G)UI : Cinnamon 5.8.4
Inscription : 05-03-2014

Re : Faille de sécurité gravissime sur les CPU Intel

jiraya a écrit :

donc en gros sa bouge pour Intel mais pas AMD?



Jusqu'à maintenant, oui, c'est ça.


Desktop 1: SKP P21. Gigabyte B550M DS3H. AMD Ryzen 9 3900 @ 3,1 Ghz. Kingston FURY 64 Gb DDR4-3200. Sapphire Radeon Pulse RX 6700 XT 12Gb.
Laptop: Acer Aspire E5-573G. Intel Core i3-4005U @ 1,7 Ghz. Intel Haswell-ULT Integrated Graphics
Desktop 2: HP Compaq 6000 Pro Intel Core2 Quad Q8400 @ 2,6 Ghz. 6Gb ddr3. Geforce GT 710

Hors ligne

#80 09-01-2018 09:04:54

Maximilien LIX
Membre
Distrib. : Archlinux
(G)UI : GNOME
Inscription : 17-12-2013
Site Web

Re : Faille de sécurité gravissime sur les CPU Intel

Ça serait intéressant de voir un exploit en javascript. ^^'
Dire qu'on peut se faite avoir un chargeant une simple page web qui aura accès à des infos confidentielles. Certes, le programme n'aura un accès qu'en lecture, mais c'est suffisant pour récupérer des informations confidentielles.

Hors ligne

#81 09-01-2018 10:40:39

nono47
Invité

Re : Faille de sécurité gravissime sur les CPU Intel

[mode_parano] Ils étaient au courant depuis le début, mais ils ont sacrifié la qualité ( sécurité pour l'utilisateur ) au profit du marketing ( mettre un vent à AMD pour se faire toujours plus d'argent ) [/mode_parano]
Quand même, en faisant l'architecture, ils ont bien dû voir les choses ?
character0134.gif
n.b. : c'est un commentaire " fake news "

#82 09-01-2018 11:17:51

d33p
Membre
Lieu : Cantal
Distrib. : Debian bookworm 64bits
Noyau : Linux 5.16.0-5-amd64
(G)UI : GNOME
Inscription : 01-12-2015

Re : Faille de sécurité gravissime sur les CPU Intel

nono47 a écrit :

[mode_parano] Ils étaient au courant depuis le début, mais ils ont sacrifié la qualité ( sécurité pour l'utilisateur ) au profit du marketing ( mettre un vent à AMD pour se faire toujours plus d'argent ) [/mode_parano]
Quand même, en faisant l'architecture, ils ont bien dû voir les choses ?
https://arpinux.org/images/gifs/character0134.gif
n.b. : c'est un commentaire " fake news "



hello,

en meme temps, tout le monde sort des memes ecoles, tout le monde est dans le meme moule, difficile parfois de trouver quelqu'un avec assez de recul ou avec un angle de vision totalement different pour voir ces "failles"/"oublis"... (je schematise). donc c'est pas forcement de la mauvaise volonté tongue

puis, il y a cette course à la vente, donc un rythme effrené, des technologies sortent alors que les precedentes n'ont été exploitées qu'à peine à 20-30% de leurs capacités... et comme ça va tres vite, c'est surement au detriment de la qualité... on loupe des choses...

pour moi cette notion de securité est propre à nous et nos modes de fonctionnement, peut etre que des petits aliens, par exemple, trouveraient nos systemes de chiffrement 200000 bits totalement desuets tongue

vref.... tongue

JC

Dernière modification par d33p (09-01-2018 11:35:43)


science sans conscience n'est que ruine de l'âme...

Hors ligne

#83 10-01-2018 10:07:02

Bernardcyclo
Membre
Lieu : Montréal (Québec)
Distrib. : Librazik 2
Noyau : Linux version 4.19.0-22-amd64
Inscription : 06-02-2017

Re : Faille de sécurité gravissime sur les CPU Intel

Anonyme-8 a écrit :

pour les LTS, c'est l'équipe en charge de LTS qui devrait s'en charger (normalement).
mais puisque la sécurity team s'occupe aussi des autres branches, ils peuvent aussi intervenir.
on verra bien dans combien de temps ça sera fait.
en tout cas, je ne vois pas comment on pourrait s'affranchir de ces patch et faire des LTS ?


Bonjour,
Je mis ma distribution Jessie à jour.  Maintenant avec

uname -a


j'obtiens

Linux debian 3.16.0-4-amd64 #1 SMP Debian 3.16.43-2+deb8u5 (2017-09-19) x86_64 GNU/Linux


Donc, d'après cette page :
https://security-tracker.debian.org/tra … -2017-5754
mon noyau ne serait pas à jour et mon système serait vulnérable. Est-ce que je me trompe?
Que faire ?

Merci


Intel(R) Core(TM) i5-4590 CPU @ 3.30GHz

Hors ligne

#84 10-01-2018 11:29:19

Anonyme-8
Invité

Re : Faille de sécurité gravissime sur les CPU Intel

essaie de mettre à jour

#85 10-01-2018 14:49:04

Herve33
Membre
Lieu : Mérignac 33
Distrib. : Debian 12 Xfce
Inscription : 21-09-2016

Re : Faille de sécurité gravissime sur les CPU Intel

Bonjour,
pour ma part j'ai fait une màj ce matin, aucun paquet à mettre à jour.
J'ai téléchargé l'outil de diagnostic:

wget https://raw.githubusercontent.com/speed47/spectre-meltdown-checker/master/spectre-meltdown-checker.sh


J'ai lancé l'outil

sudo bash spectre-meltdown-checker.sh


et j'ai ça en retour:

Spectre and Meltdown mitigation detection tool v0.21

Checking for vulnerabilities against live running kernel Linux 4.9.0-5-amd64 #1 SMP Debian 4.9.65-3+deb9u2 (2018-01-04) x86_64

CVE-2017-5753 [bounds check bypass] aka 'Spectre Variant 1'
* Checking count of LFENCE opcodes in kernel:  NO  (only 31 opcodes found, should be >= 70)
> STATUS:  VULNERABLE  (heuristic to be improved when official patches become available)

CVE-2017-5715 [branch target injection] aka 'Spectre Variant 2'
* Mitigation 1
*   Hardware (CPU microcode) support for mitigation:  NO
*   Kernel support for IBRS:  NO
*   IBRS enabled for Kernel space:  NO
*   IBRS enabled for User space:  NO
* Mitigation 2
*   Kernel compiled with retpoline option:  NO
*   Kernel compiled with a retpoline-aware compiler:  NO
> STATUS:  VULNERABLE  (IBRS hardware + kernel support OR kernel with retpoline are needed to mitigate the vulnerability)

CVE-2017-5754 [rogue data cache load] aka 'Meltdown' aka 'Variant 3'
* Kernel supports Page Table Isolation (PTI):  YES
* PTI enabled and active:  YES
> STATUS:  NOT VULNERABLE  (PTI mitigates the vulnerability)

A false sense of security is worse than no security at all, see --disclaimer



Comme vous pouvez le voir j'ai une vulnérabilité sur spectre variant 1 et variant 2.  Comment puis-je faire ? Je suis perdu là.
Merci


Acer Aspire 5733 - Debian 12 Xfce

Hors ligne

#86 10-01-2018 15:40:14

nono47
Invité

Re : Faille de sécurité gravissime sur les CPU Intel

Salut,

Il est indiqué " fixé " avec la version 4.9.65-3+deb9u2 ( security ) pour stretch d'après debian security tracker : https://security-tracker.debian.org/tra … -2017-5754

Déniché par un lien  trouvé sur https://unix.stackexchange.com/question … ux-systems
( qui peut être traduit avec https://www.deepl.com/translator )
smile

@ hervé33 : uname -a pour connaître ton noyau, de ce que j'ai compris, il faut que ce soit le 4.9.65-3+deb9u2 pour stretch

Dernière modification par nono47 (10-01-2018 15:43:54)

#87 10-01-2018 15:51:09

Herve33
Membre
Lieu : Mérignac 33
Distrib. : Debian 12 Xfce
Inscription : 21-09-2016

Re : Faille de sécurité gravissime sur les CPU Intel

nono47 a écrit :

Salut,

Il est indiqué " fixé " avec la version 4.9.65-3+deb9u2 ( security ) pour stretch d'après debian security tracker : https://security-tracker.debian.org/tra … -2017-5754

Déniché par un lien  trouvé sur https://unix.stackexchange.com/question … ux-systems
( qui peut être traduit avec https://www.deepl.com/translator )
smile

@ hervé33 : uname -a pour connaître ton noyau, de ce que j'ai compris, il faut que ce soit le 4.9.65-3+deb9u2 pour stretch



Merci nono47, me voilà rassuré smile


Acer Aspire 5733 - Debian 12 Xfce

Hors ligne

#88 10-01-2018 22:04:16

Trefix
Membre
Lieu : 48
Distrib. : bookworm
Noyau : linux 6.1.0-18-amd64
(G)UI : Xfce4 4.18
Inscription : 15-02-2015

Re : Faille de sécurité gravissime sur les CPU Intel

Bonsoir.
Pour info, le retour après update && dist-upgrade :

trefix@neness ~
 $ uname -a
Linux neness 4.9.0-4-amd64 #1 SMP Debian 4.9.65-3+deb9u1 (2017-12-23) x86_64 GNU/Linux

Hors ligne

#89 10-01-2018 22:16:40

Bernardcyclo
Membre
Lieu : Montréal (Québec)
Distrib. : Librazik 2
Noyau : Linux version 4.19.0-22-amd64
Inscription : 06-02-2017

Re : Faille de sécurité gravissime sur les CPU Intel

Bonjour, j'ai fait la mise à jour (plusieurs fois même)

J'ai essayé l'outil mentionné par Herve33

bash spectre-meltdown-checker.sh


résultat

Spectre and Meltdown mitigation detection tool v0.24

Checking for vulnerabilities against live running kernel Linux 3.16.0-4-amd64 #1 SMP Debian 3.16.51-3 (2017-12-13) x86_64

CVE-2017-5753 [bounds check bypass] aka 'Spectre Variant 1'
* Checking count of LFENCE opcodes in kernel:  NO  (only 44 opcodes found, should be >= 70)
> STATUS:  VULNERABLE  (heuristic to be improved when official patches become available)

CVE-2017-5715 [branch target injection] aka 'Spectre Variant 2'
* Mitigation 1
*   Hardware (CPU microcode) support for mitigation:  NO
*   Kernel support for IBRS:  NO
*   IBRS enabled for Kernel space:  NO
*   IBRS enabled for User space:  NO
* Mitigation 2
*   Kernel compiled with retpoline option:  NO
*   Kernel compiled with a retpoline-aware compiler:  NO
> STATUS:  VULNERABLE  (IBRS hardware + kernel support OR kernel with retpoline are needed to mitigate the vulnerability)

CVE-2017-5754 [rogue data cache load] aka 'Meltdown' aka 'Variant 3'
* Kernel supports Page Table Isolation (PTI):  NO
* PTI enabled and active:  NO
> STATUS:  VULNERABLE  (PTI is needed to mitigate the vulnerability)

A false sense of security is worse than no security at all, see --disclaimer


Donc, vulnérable partout
Je ne suis pas sous Stretch mais sous Jessie

Merci de votre aide


Intel(R) Core(TM) i5-4590 CPU @ 3.30GHz

Hors ligne

#90 10-01-2018 22:30:12

yoshi
Membre
Lieu : Normandie
Distrib. : LMDE 6 Faye
Noyau : 6.6.5-1-liquorix-amd64
(G)UI : Cinnamon 5.8.4
Inscription : 05-03-2014

Re : Faille de sécurité gravissime sur les CPU Intel

https://packages.debian.org/search?keyw … .0-5-amd64

https://packages.debian.org/jessie-back … mage-amd64

Il semble que ce soit dispo pour Jessie, tant au niveau du kernel par défaut, que celui des backports.

Pour Wheezy LTS aussi d'ailleurs.

*** Les kernels patchés corrigent la faille Meltdown. Pour la faille Spectre, il n'y a aucun patch et il n'est pas sur du tout
qu'il y en ait un.
Jusqu'à maintenant, personne n'est protégé contre Spectre.

Dernière modification par yoshi (10-01-2018 22:37:03)


Desktop 1: SKP P21. Gigabyte B550M DS3H. AMD Ryzen 9 3900 @ 3,1 Ghz. Kingston FURY 64 Gb DDR4-3200. Sapphire Radeon Pulse RX 6700 XT 12Gb.
Laptop: Acer Aspire E5-573G. Intel Core i3-4005U @ 1,7 Ghz. Intel Haswell-ULT Integrated Graphics
Desktop 2: HP Compaq 6000 Pro Intel Core2 Quad Q8400 @ 2,6 Ghz. 6Gb ddr3. Geforce GT 710

Hors ligne

#91 10-01-2018 22:42:10

yoshi
Membre
Lieu : Normandie
Distrib. : LMDE 6 Faye
Noyau : 6.6.5-1-liquorix-amd64
(G)UI : Cinnamon 5.8.4
Inscription : 05-03-2014

Re : Faille de sécurité gravissime sur les CPU Intel

Meltdown:

https://security-tracker.debian.org/tra … -2017-5754

Spectre:

https://security-tracker.debian.org/tra … -2017-5753

Dernière modification par yoshi (10-01-2018 22:43:58)


Desktop 1: SKP P21. Gigabyte B550M DS3H. AMD Ryzen 9 3900 @ 3,1 Ghz. Kingston FURY 64 Gb DDR4-3200. Sapphire Radeon Pulse RX 6700 XT 12Gb.
Laptop: Acer Aspire E5-573G. Intel Core i3-4005U @ 1,7 Ghz. Intel Haswell-ULT Integrated Graphics
Desktop 2: HP Compaq 6000 Pro Intel Core2 Quad Q8400 @ 2,6 Ghz. 6Gb ddr3. Geforce GT 710

Hors ligne

#92 10-01-2018 22:43:08

bendia
Chadministrateur
Distrib. : openSUSE Tumbleweed, Buster
Noyau : Linux 5.9.1-2-default + Linux 4.19.0-12-amd64
(G)UI : Gnome + Console et un peu Fluxbox
Inscription : 20-03-2012
Site Web

Re : Faille de sécurité gravissime sur les CPU Intel

Juste pour info et à ce sujet https://debian-facile.org/viewtopic.php?id=20322 tongue

Ben
___________________
La seule question bête, c'est celle qu'on ne pose pas.

Hors ligne

#93 10-01-2018 23:50:11

anonyme
Invité

Re : Faille de sécurité gravissime sur les CPU Intel

voila pourquoi j'ai perdu le forum  tongue  tongue  roll

#94 12-01-2018 09:30:22

Herve33
Membre
Lieu : Mérignac 33
Distrib. : Debian 12 Xfce
Inscription : 21-09-2016

Re : Faille de sécurité gravissime sur les CPU Intel

yoshi a écrit :



*** Les kernels patchés corrigent la faille Meltdown. Pour la faille Spectre, il n'y a aucun patch et il n'est pas sur du tout
qu'il y en ait un.
Jusqu'à maintenant, personne n'est protégé contre Spectre.



Slt,
pour toutes les distributions linux et windo*s ?


Acer Aspire 5733 - Debian 12 Xfce

Hors ligne

#95 12-01-2018 12:55:19

joko
Membre
Inscription : 24-11-2017

Re : Faille de sécurité gravissime sur les CPU Intel

la faille spectre semble être là pour des années sad sad sad, et pour tous les OS (c'est le proce qui est en cause)

Hors ligne

#96 12-01-2018 17:02:37

Herve33
Membre
Lieu : Mérignac 33
Distrib. : Debian 12 Xfce
Inscription : 21-09-2016

Re : Faille de sécurité gravissime sur les CPU Intel

merci.gif

Acer Aspire 5733 - Debian 12 Xfce

Hors ligne

#97 12-01-2018 17:49:06

Frosch
Membre
Distrib. : FreeBSD
(G)UI : Xfce
Inscription : 09-12-2015

Re : Faille de sécurité gravissime sur les CPU Intel

joko a écrit :

la faille spectre semble être là pour des années sad sad sad, et pour tous les OS (c'est le proce qui est en cause)


Le problème est pas censé avoir été résolu (avec une perte de performance au passage)?

Hors ligne

#98 12-01-2018 19:45:00

anonyme
Invité

Re : Faille de sécurité gravissime sur les CPU Intel

Bonjour
suite a ce message au bout


[Firmware Bug]: TSC_DEADLINE disabled due to Errata; please update microcode to version: 0x22 (or later)
 


la version de Buster me renvoie ceci :


Récupération des rapports de bogue… Fait
Analyse des informations Trouvé/Corrigé… Fait
bogues de gravité grave sur intel-microcode (→ 3.20180108.1) <En attente de traitement>
 b1 - #886998 - intel-microcode: regressions on Haswell, Broadwell (crashes/reboots) and Kaby Lake (sleep-to-ram)
Résumé :
 intel-microcode(1 bogue)
Êtes-vous certain(e) de vouloir installer/mettre à jour les paquets ci-dessus ? [Y/n/?/...]
 



mon cpu  =>  Intel(R) Core(TM) i7-4770K CPU @ 3.50GHz

faut que je regarde sur mon KabyLake qui est en Buster aussi et a jour  hmm

#99 12-01-2018 20:31:11

yoshi
Membre
Lieu : Normandie
Distrib. : LMDE 6 Faye
Noyau : 6.6.5-1-liquorix-amd64
(G)UI : Cinnamon 5.8.4
Inscription : 05-03-2014

Re : Faille de sécurité gravissime sur les CPU Intel

Frosch a écrit :

joko a écrit :

la faille spectre semble être là pour des années sad sad sad, et pour tous les OS (c'est le proce qui est en cause)


Le problème est pas censé avoir été résolu (avec une perte de performance au passage)?



Non, Spectre reste une faille non résolue. Seule une nouvelle génération de cpu pourra définitivement la résoudre.
En attendant, il n'y aura que quelques rustines, rien de plus.


Desktop 1: SKP P21. Gigabyte B550M DS3H. AMD Ryzen 9 3900 @ 3,1 Ghz. Kingston FURY 64 Gb DDR4-3200. Sapphire Radeon Pulse RX 6700 XT 12Gb.
Laptop: Acer Aspire E5-573G. Intel Core i3-4005U @ 1,7 Ghz. Intel Haswell-ULT Integrated Graphics
Desktop 2: HP Compaq 6000 Pro Intel Core2 Quad Q8400 @ 2,6 Ghz. 6Gb ddr3. Geforce GT 710

Hors ligne

#100 12-01-2018 21:51:39

Frosch
Membre
Distrib. : FreeBSD
(G)UI : Xfce
Inscription : 09-12-2015

Re : Faille de sécurité gravissime sur les CPU Intel

yikes

Hors ligne

Pied de page des forums