Faille microprocesseurs et patch Linux

josephtux · Janvier 6, 2018, 11:08am

Bonjour à tous
J’ai lu sur le web qu’un patch Linux est déja diffusé.

Quelqu’un sait-il ici si celui-ci a été installé lors d’une récente mise à jour (sur Debian 8 Jessie et sur Debian 9 Stretch)?

J’ai cherché sur /var/log/ avec un “grep -i kernel”, mais je n’ai rien vu d’explicite, ce qui peut être du à mon ignorance ou à une exigence de discrétion vis-a-vis de cette faille.

[suite]
Je lis que les processeurs AMD ne seraient pas concernés. Si cette info est juste, je suppose que le patch devrait être installé où non par choix et non systématiquement ?
À moins que le package soit capable de faire lui-même ce choix.

grandtoubab · Janvier 6, 2018, 11:11am

Salut
pour l’instant partiellement patché dans la version stable
https://www.debian.org/security/2018/dsa-4078

jimbo · Janvier 6, 2018, 1:10pm

il y a 3 failles, toutes pour Intel oui, 1 pour ADM c’est sur, 2 pour AMD pas claire du tout, du moins pas vérifié.
dans tous les cas, celle commune à AMD, ARM, INTEL c’est Spectre et non corrigeable.

Papyautomne · Avril 14, 2018, 8:05am

Bonjour à tous,

Décidément les failles d’Intel et autres jettent un effroi certain et nous préoccupent tous… un regain de travail pour les membres du forum, et en plus, je rajoute mes interrogations profondes

1- j’avais lu quelque part que c’était une faille dans le ME d’Intel et de son Minix embarqué en douce. Mais personne ne semble plus en parler : quelqu’un a-t-il des infos là dessus ?

2- je suis sous jessie 8.10, info obtenue par cat /etc/debian_version et avec un kernel ancien comme le dit uname -a :
_Linux acerdeb 3.16.0-4-amd64 #1 SMP Debian 3.16.51-3 (2017-12-13) x86 64 GNU/Linux

D’où mes questions :

peut-on mettre à jour le noyau pour jessie ?(sans installer stretch)
sinon, les patchs de sécurité sont ils dispos pour le kernel 3.16 ?
et dans ce cas comment faire pour les installer…

J’ai bien des upgrades/updates quotidiens, mais ma source liste est-elle correcte et/ou y a-t-il une manip spéciale pour le noyau (genre apt-get full-upgrade ? dist-upgrade ? je ne saisis pas trop les subtilités…)

voici un cat /etc/apt/sources.list

[ Désolé, je ne maîtrise pas bien les tags et c’est pénible à lire. Les trucs en gras sont des lignes de commentaires…
Au fait, pouvez-vous me dire sur quel fil chercher le tuto pour “bien présenter” son post ? J’ai fait une (trop rapide, certes) recherche et je n’ai pas vu. Dans le mini éditeur, j’ai essayé les icones mais ce n’est pas exceptionnel ]

cat /etc/apt/sources.list
# deb cdrom:[Debian GNU/Linux 8.1.0 _Jessie_ - Official amd64 DVD Binary-1 20150606-14:19]/ jessie contrib main 

deb http://ftp.fr.debian.org/debian/ jessie main non-free contrib 
# deb-src http://ftp.fr.debian.org/debian/ jessie main 

deb http://security.debian.org/ jessie/updates non-free contrib main 
# deb-src http://security.debian.org/ jessie/updates contrib main 

# jessie-updates, previously known as 'volatile'
deb http://ftp.de.debian.org/debian/ jessie main non-free 
deb http://ftp.fr.debian.org/debian/ jessie-updates non-free main contrib 

# Backports repository
deb http://ftp.debian.org/debian/ wheezy-backports non-free contrib main 

# deb http://ftp.de.debian.org/debian/ sid main 
deb ftp://ftp.deb-multimedia.org/ jessie non-free main 

# jessie-backports
deb http://ftp.fr.debian.org/debian/ jessie-backports non-free contrib main 

# deb http://httpredir.debian.org/ jessie-backports non-free contrib main

J’imagine qu’il faudrait simplifier…;mais je n’ose pas Certains dépôts (multimedia backport) sont obligatoires pour avoir une version récente de l’éditeur de partitions musicales “musescore”)

merci de votre aide…

[suite]
Tiens ? une bonne âme a placé deux tag code et /code dans le texte pour me montrer. Merci !

grandtoubab · Janvier 7, 2018, 11:00am

Salut
Suivre l’état des kernel avec l’avancement des corrections des3 failles:

https://security-tracker.debian.org/tracker/source-package/linux

Aujourd’hui 7 janvier 2018, avantage à Stretch et Sid: 1/3 corrigé (fixed)

https://security-tracker.debian.org/tracker/CVE-2017-5754

https://security-tracker.debian.org/tracker/CVE-2017-5753

https://security-tracker.debian.org/tracker/CVE-2017-5715

grandtoubab · Janvier 10, 2018, 7:50am

Aujourd’hui 10 janvier
Toujours 1/3 corrigée https://security-tracker.debian.org/tracker/source-package/linux sur les noyaux 3.2, 3.16, 4.9 et 4.14 qui sont des noyaux LTS (voir https://www.kernel.org/ et https://www.kernel.org/category/releases.html )

ça doit pas être si facile que ça a corriger
Vérifier sa version de noyau

uname --all
Linux debian 4.9.0-5-amd64 #1 SMP Debian 4.9.65-3+deb9u2 (2018-01-04) x86_64 GNU/Linux

jweber · Avril 14, 2018, 8:06am

Manifestement les choses bougent, ce matin pour Jessie :

Les NOUVEAUX paquets suivants seront installés :
  linux-headers-3.16.0-5-amd64 linux-headers-3.16.0-5-common
  linux-image-3.16.0-5-amd64
Les paquets suivants seront mis à jour :
  linux-compiler-gcc-4.8-x86 linux-headers-amd64 linux-image-amd64
  linux-libc-dev skypeforlinux

Pour Meltdown les patches sont semble-t-il distribués, pour Spectre cela semble plus compliqué.
https://www.digitalocean.com/community/tutorials/how-to-protect-your-server-against-the-meltdown-and-spectre-vulnerabilities`

Ces failles concernent essentiellement les serveurs, pas les ordis individuels si leurs utilisateurs sont prudents.

dindoun · Janvier 10, 2018, 11:53pm

d’après cette page : https://cert.ssi.gouv.fr/alerte/CERTFR-2018-ALE-001/

Linux

Afin de s’assurer de la présence du mécanisme de sécurité KPTI sur un système utilisant un noyau Linux il est possible d’exécuter la commande suivante :

dmesg | grep ‘Kernel/User page tables isolation’

ca marche chez vous ? Je suis en cours de màj . Avant la maj ça ne donnait rien

grandtoubab · Janvier 11, 2018, 10:14am

ok chez moi

root@debian:/# dmesg | grep 'Kernel/User page tables isolation'
[    0.000000] Kernel/User page tables isolation: disabled
root@debian:/# grep name /proc/cpuinfo
model name	: AMD Athlon(tm) II P340 Dual-Core Processor
model name	: AMD Athlon(tm) II P340 Dual-Core Processor
root@debian:/# uname --all
Linux debian 4.9.0-5-amd64 #1 SMP Debian 4.9.65-3+deb9u2 (2018-01-04) x86_64 GNU/Linux
root@debian:/#

https://cert.ssi.gouv.fr/alerte/CERTFR-2018-ALE-001/
dit
Processeurs AMD
AMD est vulnérable à Spectre, mais pas à Meltdown.

jweber · Avril 14, 2018, 8:07am

Après mise à jour :

jacques@jacques-t430:~$ dmesg | grep 'Kernel/User page tables isolation'
[    0.000000] Kernel/User page tables isolation: enabled

version (Jessie) :

jacques@jacques-t430:~$ uname -a
Linux jacques-t430 3.16.0-5-amd64 #1 SMP Debian 3.16.51-3+deb8u1 (2018-01-08) x86_64 GNU/Linux

dindoun · Avril 14, 2018, 8:08am

chez moi, après maj et reboot :

dmesg | grep 'Kernel/User page tables isolation'
[    0.000000] Kernel/User page tables isolation: enabled

uname -a
Linux ICI 4.9.0-5-amd64 #1 SMP Debian 4.9.65-3+deb9u2 (2018-01-04) x86_64 GNU/Linux

grandtoubab · Janvier 15, 2018, 10:37am

Salut
Il existe un script de test
https://packages.debian.org/sid/main/spectre-meltdown-checker

root@debian:/# /usr/bin/spectre-meltdown-checker
Spectre and Meltdown mitigation detection tool v0.29

Checking for vulnerabilities against running kernel Linux 4.9.0-5-amd64 #1 SMP Debian 4.9.65-3+deb9u2 (2018-01-04) x86_64
CPU is AMD Athlon(tm) II P340 Dual-Core Processor

CVE-2017-5753 [bounds check bypass] aka 'Spectre Variant 1'
* Checking count of LFENCE opcodes in kernel:  NO 
> STATUS:  VULNERABLE  (only 25 opcodes found, should be >= 70, heuristic to be improved when official patches become available)

CVE-2017-5715 [branch target injection] aka 'Spectre Variant 2'
* Mitigation 1
*   Hardware (CPU microcode) support for mitigation:  NO 
*   Kernel support for IBRS:  NO 
*   IBRS enabled for Kernel space:  NO 
*   IBRS enabled for User space:  NO 
* Mitigation 2
*   Kernel compiled with retpoline option:  NO 
*   Kernel compiled with a retpoline-aware compiler:  NO 
> STATUS:  VULNERABLE  (IBRS hardware + kernel support OR kernel with retpoline are needed to mitigate the vulnerability)

CVE-2017-5754 [rogue data cache load] aka 'Meltdown' aka 'Variant 3'
* Kernel supports Page Table Isolation (PTI):  YES 
* PTI enabled and active:  NO 
> STATUS:  NOT VULNERABLE  (your CPU vendor reported your CPU model as not vulnerable)

A false sense of security is worse than no security at all, see --disclaimer
root@debian:/# 
```

Confirme que mon AMD Athlon(tm) II P340 Dual-Core Processo est vulnérable à Spectre et immunisé contre Meltdown

sk4hrr · Janvier 15, 2018, 9:22am

Bon, apparemment, AMD est passé aux aveux : http://www.comptoir-hardware.com/actus/processeurs/35576-amd-clarifie-enfin-sa-situation-vis-a-vis-de-spectre-et-meltdown.html

grandtoubab · Janvier 15, 2018, 5:28pm

pour les utilisateurs de chromium

chrome://flags/

ctrl + f et rechercher la chaine “Strict site isolation” sur la page

Activer

Source https://blog.linuxmint.com/?p=3496

grandtoubab · Janvier 23, 2018, 4:02pm

Attention, bobo la tête, le remède est pire que le mal

Si vous avez un processeur Intel regardez y a deux fois
https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=886998
And the version to pick when downgrading is 20171117

Sputnik93 · Janvier 23, 2018, 3:40pm

Mon laptop (thinkpad x200 avec un Core 2 Duo P8-quelque-chose) est sur le kernel 4.9.0-5, je n’ai pas (encore) rencontré de gros problèmes particuliers.
Le temps de démarrage de la session graphique est certes beaucoup plus long que sur les noyaux antérieurs (à l’occasion je ferai des comparatifs de systemd-analyze) mais je n’ai pas eu de reboot intempestif ni d’autre “comportement imprévisible”, ou alors j’ai rien vu. C’est ça d’avoir du vieux matos

Et vous ?

jweber · Avril 14, 2018, 8:10am

Comme indiqué plus haut

j’ai fait une mise à jour de sécurité et n’ai pas noté de problème particulier.
Thinkpad T430 de quelques années, proc i5.
Ce qui est relativement tordu dans ces affaires est qu’un processus utilisateur puisse accéder sans difficulté à des paramètres hardware profonds du processeur comme le nombre de cycles d’horloge mis pour exécuter une instruction. J’ai vérifié, c’est très simple d’avoir accès à ce fameux compteur de cycles (https://en.wikipedia.org/wiki/Time_Stamp_Counter) avec une ligne d’assembleur incluse dans un programme C, par exemple.

grandtoubab · Janvier 23, 2018, 6:31pm

faut pas confondre le palliatif dans le noyau et les patchs Intel qui sont dans leur microcode
De plus il faut etre certain du modèle de cpu.

https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=886998

apt list intel-microcode -a

la version a été downgradée pour revenir en arrière sur les patchs Intel
intel-microcode/testing 3.20180108.1+really20171117.1

jcsm33 · Janvier 23, 2018, 7:43pm

Qu’Intel libère son microcode !

jweber · Janvier 24, 2018, 8:45am

Finalement une question naïve : je constate que le paquet intel-microcode n’est pas installé sur mon PC (portable à usage strictement perso). Que vaut-il mieux faire : installer le paquet de patches ou en rester là ?