Patch de s=c3=a9curit=c3=a9 =c3=a0 cause des chips Intel

Le
Rambo
On va recevoir en windows-update deux patchs pour contrer les deux
trous(ou 3) de sécurité des chip Intel découvert récemment.
On indique que ce sera de même pour Linux.
https://www.theregister.co.uk/2018/01/02/intel_cpu_design_flaw/
and
https://www.theregister.co.uk/2018/01/04/intel_amd_arm_cpu_vulnerability/
These have been helpfully grouped into two logo'd and branded
vulnerabilities: Meltdown <https://meltdownattack.com> (Variant 3), and
Spectre <https://spectreattack.com/> (Variants 1 and 2).

Comment faire pour bénéficier des corrections de ces trous de sécurité
lorsqu'on utilise Linux-Mint-Cinnamon ?
Est-ce automatique ?
Vos réponses Page 1 / 4
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
jg
Le #26457971
Le 04/01/2018 à 22:19, Rambo a écrit :
On va recevoir en windows-update deux patchs pour contrer les deux
trous(ou 3) de sécurité des chip Intel découvert récemment.
On indique que ce sera de même pour Linux.
https://www.theregister.co.uk/2018/01/02/intel_cpu_design_flaw/
and
https://www.theregister.co.uk/2018/01/04/intel_amd_arm_cpu_vulnerability/
These have been helpfully grouped into two logo'd and branded
vulnerabilities: Meltdown Spectre Comment faire pour bénéficier des corrections de ces trous de sécurité
lorsqu'on utilise Linux-Mint-Cinnamon ?
Est-ce automatique ?

A priori, c'est prévu dans un noyau, ou une correction de noyaux. Donc,
quand ces noyaux seront prêts, les gestionnaires de distributions
lanceront une maj.
Rambo
Le #26457976
jg wrote on 04-01-18 22:23:
Le 04/01/2018 à 22:19, Rambo a écrit :
On va recevoir en windows-update deux patchs pour contrer les deux
trous(ou 3) de sécurité des chip Intel découvert récemment.
On indique que ce sera de même pour Linux.
https://www.theregister.co.uk/2018/01/02/intel_cpu_design_flaw/
and
https://www.theregister.co.uk/2018/01/04/intel_amd_arm_cpu_vulnerability/
These have been helpfully grouped into two logo'd and branded
vulnerabilities: Meltdown and Spectre Comment faire pour bénéficier des corrections de ces trous de
sécurité lorsqu'on utilise Linux-Mint-Cinnamon ?
Est-ce automatique ?

A priori, c'est prévu dans un noyau, ou une correction de noyaux.
Donc, quand ces noyaux seront prêts, les gestionnaires de
distributions lanceront une maj.

Automatiquement ?
Pierre www.zetrader.fr
Le #26457988
Le 04/01/2018 à 22:19, Rambo a écrit :
On va recevoir en windows-update deux patchs pour contrer les deux
trous(ou 3) de sécurité des chip Intel découvert récemment.
On indique que ce sera de même pour Linux.
https://www.theregister.co.uk/2018/01/02/intel_cpu_design_flaw/
and
https://www.theregister.co.uk/2018/01/04/intel_amd_arm_cpu_vulnerability/
These have been helpfully grouped into two logo'd and branded
vulnerabilities: Meltdown Spectre Comment faire pour bénéficier des corrections de ces trous de sécurité
lorsqu'on utilise Linux-Mint-Cinnamon ?
Est-ce automatique ?

Bonne question, je me demandais comment ça allait se passer sous Linux
pour la correction de la faille intel.
Il me semble qu'il y a une sorte de driver microchip intel dans Linux
Mint, qui se met à jour de temps en temps, c'est peut-être ça.
--
http://zetrader.info & http://zetrader.fr
http://aribaut.com - http://zeforums.com
Pierre www.zetrader.fr
Le #26457992
Le 05/01/2018 à 09:14, Pierre www.zetrader.fr a écrit :
Le 04/01/2018 à 22:19, Rambo a écrit :
On va recevoir en windows-update deux patchs pour contrer les deux
trous(ou 3) de sécurité des chip Intel découvert récemment.
On indique que ce sera de même pour Linux.
https://www.theregister.co.uk/2018/01/02/intel_cpu_design_flaw/
and
https://www.theregister.co.uk/2018/01/04/intel_amd_arm_cpu_vulnerability/
These have been helpfully grouped into two logo'd and branded
vulnerabilities: Meltdown and Spectre Comment faire pour bénéficier des corrections de ces trous de sécurité
lorsqu'on utilise Linux-Mint-Cinnamon ?
Est-ce automatique ?

Bonne question, je me demandais comment ça allait se passer sous Linux
pour la correction de la faille intel.
Il me semble qu'il y a une sorte de driver microchip intel dans Linux
Mint, qui se met à jour de temps en temps, c'est peut-être ça.

Cela se passe dans : menu -> administration -> gestionnaire de pilotes
 cet endroit là j'ai un pilote "alternatif" :
intel-microcode "processor microcode firmware for Intel CPUs"
Ce truc là a des mises à jour de temps en temps.
--
http://zetrader.info & http://zetrader.fr
http://aribaut.com - http://zeforums.com
Sergio
Le #26457994
Le 05/01/2018 à 09:19, Pierre www.zetrader.fr a écrit :
Bonne question, je me demandais comment ça allait se passer sous Linux pour la correction de la faille intel.
Il me semble qu'il y a une sorte de driver microchip intel dans Linux Mint, qui se met à jour de temps en temps, c'est peut-être ça.

Cela se passe dans : menu -> administration -> gestionnaire de pilotes
 cet endroit là j'ai un pilote "alternatif" :
intel-microcode "processor microcode firmware for Intel CPUs"
Ce truc là a des mises à jour de temps en temps.

Idem chez AMD (qui est aussi impacté) : Il y a un pilote "AMD64-microcode" dans le gestionnaire (pour mon proc AMD...).
--
Serge http://leserged.online.fr/
Mon blog: http://cahierdesergio.free.fr/
Soutenez le libre: http://www.framasoft.org
Pierre www.zetrader.fr
Le #26457997
Le 05/01/2018 à 09:39, Sergio a écrit :
Le 05/01/2018 à 09:19, Pierre www.zetrader.fr a écrit :
Bonne question, je me demandais comment ça allait se passer sous
Linux pour la correction de la faille intel.
Il me semble qu'il y a une sorte de driver microchip intel dans Linux
Mint, qui se met à jour de temps en temps, c'est peut-être ça.


Cela se passe dans : menu -> administration -> gestionnaire de pilotes
 cet endroit là j'ai un pilote "alternatif" :
intel-microcode "processor microcode firmware for Intel CPUs"
Ce truc là a des mises à jour de temps en temps.

Idem chez AMD (qui est aussi impacté) : Il y a un pilote
"AMD64-microcode" dans le gestionnaire (pour mon proc AMD...).

Tiens, je ne savais pas qu'AMD était touché aussi.
Mais c'est quoi le problème plus exactement ?
J'ai entendu dire à la radio ce matin que c'est une faille qui n'a
jamais exploité au niveau sécurité, mais que cela ralentirait le
processeur cette faille.
--
http://zetrader.info & http://zetrader.fr
http://aribaut.com - http://zeforums.com
Pierre www.zetrader.fr
Le #26457996
Le 05/01/2018 à 09:48, Pierre www.zetrader.fr a écrit :
Le 05/01/2018 à 09:39, Sergio a écrit :
Le 05/01/2018 à 09:19, Pierre www.zetrader.fr a écrit :
Bonne question, je me demandais comment ça allait se passer sous
Linux pour la correction de la faille intel.
Il me semble qu'il y a une sorte de driver microchip intel dans
Linux Mint, qui se met à jour de temps en temps, c'est peut-être ça.


Cela se passe dans : menu -> administration -> gestionnaire de pilotes
 cet endroit là j'ai un pilote "alternatif" :
intel-microcode "processor microcode firmware for Intel CPUs"
Ce truc là a des mises à jour de temps en temps.

Idem chez AMD (qui est aussi impacté) : Il y a un pilote
"AMD64-microcode" dans le gestionnaire (pour mon proc AMD...).

Tiens, je ne savais pas qu'AMD était touché aussi.
Mais c'est quoi le problème plus exactement ?
J'ai entendu dire à la radio ce matin que c'est une faille qui n'a
jamais exploité au niveau sécurité, mais que cela ralentirait le
processeur cette faille.

Je cherche un peu plus d'infos car c'était très évasif ce matin à la
radio, mince c'est le patch qui ralentirait le processeur :
https://www.sciencesetavenir.fr/high-tech/informatique/la-faille-de-securite-meltdown-contraint-intel-a-brider-la-vitesse-de-ses-processeurs_119588
"Une préoccupante faille de sécurité grève l'architecture des
microprocesseurs Intel. Des correctifs sont en cours de développement,
mais ils affecteront les performances, qui pourront chuter jusqu'à 30%"
"Des correctifs, encore en cours de finalisation, vont être apportés au
niveau des principaux systèmes d'exploitation (Windows, MacOS, Linux).
Problème : la correction de cette vulnérabilité provoquera une baisse de
leurs performances, de l'ordre de 5 à 30 %, ainsi que le rapporte le
site britannique spécialisé The Register. Difficile d'y échapper, car la
faille est intrinsèquement liée à l'architecture utilisée depuis plus de
10 ans pour ses microprocesseurs, appelée x86. Elle touche tous les
processeurs Intel commercialisés depuis 1995, sauf ceux de la gamme
Itanium, et ceux de la gamme Atom commercialisés avant 2013."
--
http://zetrader.info & http://zetrader.fr
http://aribaut.com - http://zeforums.com
Marc SCHAEFER
Le #26458001
In fr.comp.os.linux.configuration Pierre www.zetrader.fr
Tiens, je ne savais pas qu'AMD était touché aussi.

Pas par la vulnérabilité la plus grave.
Par contre Intel est directement exploitable par exemple dans
des situations d'hébergement container ou virtualisé, voire même
depuis le navigateur Javascript (Firefox vient apparemment de
pusher une mise à jour rendant les timers mesurant le temps
d'exécution plus aléatoires et moins précis).
Le meilleur article que j'ai trouvé montrait des exemples
de code, mais les articles Wikipedia sont pas mal:
meltdown, la plus grave, touche principalement Intel et Apple ARM-compatible: https://en.wikipedia.org/wiki/Meltdown_(security_vulnerability)
spectre, d'un impact plus limité, mais exploitable du Javascript sans work-around et sur beaucoup de plateformes processeur: https://en.wikipedia.org/wiki/Spectre_(security_vulnerability)
Le work-around du meltdown consiste à supprimer complètement le kernel de l'adressage
virtuel des processus, ce qui signifie que chaque appel système
a maintenant un coût plus grand (reconfiguration du MMU, pas
seulement des bits rw/ro; pénalité sur le cache également). On parle
de 5 à 30% de perte de performance. Cela ne concerne qu'Intel (*).
Sur une machine cliente, avec les patches meltdown appliqués ou non,
avec du code de provenance sûre (p.ex. packages Debian signés), la seule
attaque résiduelle facile est le Javascript dans le navigateur, avec
work-around déjà présent aujourd'hui dans Firefox, semble-t-il.
(*) certains chercheurs disent qu'en cherchant bien, vu la complexité
des processeurs actuels, on en trouverait bien une aussi chez
AMD une fois.
Michel Talon
Le #26458008
Le 05/01/2018 à 09:48, Pierre www.zetrader.fr a écrit :
Tiens, je ne savais pas qu'AMD était touché aussi.
Mais c'est quoi le problème plus exactement ?
J'ai entendu dire à la radio ce matin que c'est une faille qui n'a
jamais exploité au niveau sécurité, mais que cela ralentirait le
processeur cette faille.

La faille concerne le partage des données via les caches entre
différents fils d'exécution en utilisant l'exécution "spéculative"
des branches et le timing précis du moment où les opérations sont
"retirées". Elle a été découverte il y a longtemps par un développeur de
FreeBSD, Colin Percival en 2009
http://www.daemonology.net/papers/htt.pdf
à l'époque je me souviens que les habituels linuxiens tels que Torvalds
rigolaient. Depuis elle a été perfectionnée par des universitaires,
Autrichiens, Français, etc. qui ont montré que c'était rééllement
utilisable, finalement par des chercheurs de Google qui ont montré que
ça permettait de lire rapidement toute la mémoire de la machine à
partir d'un simple processus utilisateur, en particulier toutes les
données protégées du noyau, les clés de cryptage, etc. Ce qui veut dire
qu'il n'y a plus aucune sécurité sur un PC, même en cryptant les
données. La faille existe sur tous les processeurs y compris les arm qui
se trouvent dans les téléphones portables. Il paraît que les processeurs
AMD sont moins atteints. Le correctif de sécurité consiste à vider tous
les caches quand on passe du mode utilisateur au mode noyau et vice
versa, ce qui entraîne une perte de performance énorme sur les processus
faisant beaucoup d'entrées sorties. Bref c'est une catastrophe majeure
pour les fournisseurs de "cloud" Google, Amazon, etc. pour l'utilisation
de PC dans des domaines sensibles (transactions bancaires, etc.). Il
paraît que le PDG de Intel a vendu un gros paquet d'actions il y a 6
mois, ce qui sent bon le délit d'initié.

--
Michel Talon
Marc SCHAEFER
Le #26458007
In fr.comp.os.linux.configuration Michel Talon
Le 05/01/2018 à 09:48, Pierre www.zetrader.fr a écrit :
utilisable, finalement par des chercheurs de Google qui ont montré que
ça permettait de lire rapidement toute la mémoire de la machine à

Ou potentiellement de la modifier, en utiliser une attaque contre
les bits cosanguins de DRAM
https://googleprojectzero.blogspot.ch/2015/03/exploiting-dram-rowhammer-bug-to-gain.html
Publicité
Poster une réponse
Anonyme