Faille de sécurité Intel: Comment mettre son noyau à jour ?

bilounoir · Le 10/01/2018, à 16:25

une mise a jour ce matin et une maintenant sur xubunti 16.04

cat /proc/cpuinfo| grep bugs
bugs		:
bugs		:
bugs		:
bugs		:

  uname -r
4.4.0-109-generic

pas de problèmes de redémarrage

LeoMajor · Le 10/01/2018, à 17:49

bonjour,

mettre à jour, flasher le bios/efi de la carte mère, pour les machines de plus de 5 ans.

Ubuntu1988 · Le 10/01/2018, à 18:04

Mettre le bios à jour n'est pas une opération à prendre à la légère, d'autant plus que dans ce cas, la faille est directement sur la matériel, donc que ça soit patché depuis le bios ou depuis l'OS, c'est peu ou proue la même chose, à la différence que quand la maj de l'OS foire, c'est plus facilement récupérable que si c'est celle du bios

Après, pour le BIOS, pour ceux qui tiennent vraiment à le mettre à jour, penser à sauvegarder la version actuelle avant de la mettre à jour en cas de souci

Dernière modification par Ubuntu1988 (Le 10/01/2018, à 18:05)

grandtoubab · Le 10/01/2018, à 18:21

bilounoir a écrit :

une mise a jour ce matin et une maintenant sur xubunti 16.04
cat /proc/cpuinfo| grep bugs
bugs		:
bugs		:
bugs		:
bugs		:    
  uname -r
4.4.0-109-generic   
pas de problèmes de redémarrage

j'aurai tendance à dire qu'aucun de tes 4 coeurs de cpu n'a été patché, ce n'est pas forcémént une bonne nouvelle.
a priori quand une faille est patchée , un label est listée
http://wiki.osdev.org/CPU_Bugs

A la date du 2018 Jan 07 c'est le linux 4.4.0-108.131 Xenial 16.04 qui est patché
https://wiki.ubuntu.com/SecurityTeam/Kn … ndMeltdown

Dernière modification par grandtoubab (Le 10/01/2018, à 18:30)

bipede · Le 10/01/2018, à 18:27

Après la mise à jour du noyau de la 17.10 sur mon laptop :

alain@alain-Inspiron-15-3567:~$ cat /proc/cpuinfo| grep bugs
bugs		: cpu_insecure
bugs		: cpu_insecure
bugs		: cpu_insecure
bugs		: cpu_insecure
alain@alain-Inspiron-15-3567:~$ uname -r
4.13.0-25-generic
alain@alain-Inspiron-15-3567:~$

et sur mon desktop :

alain@alain-MS-7758:~$ cat /proc/cpuinfo| grep bugs
bugs		: cpu_insecure
bugs		: cpu_insecure
bugs		: cpu_insecure
bugs		: cpu_insecure
alain@alain-MS-7758:~$ uname -r
4.13.0-25-generic
alain@alain-MS-7758:~$

Dernière modification par bipede (Le 10/01/2018, à 18:31)

nam1962 · Le 10/01/2018, à 18:27

Et les patchs Bios sont encore loin d'être dispos (si ils le sont un jour)

bruno · Le 10/01/2018, à 18:29

grandtoubab a écrit :

bilounoir a écrit :
une mise a jour ce matin et une maintenant sur xubunti 16.04
cat /proc/cpuinfo| grep bugs
bugs		:
bugs		:
bugs		:
bugs		:    
  uname -r
4.4.0-109-generic   
pas de problèmes de redémarrage
j'aurai tendance à dire qu'aucun de tes 4 coeurs de cpu n'a été patché, ce n'est pas forcémént une bonne nouvelle.
a priori quand une faille est patchée , un label est listée
http://wiki.osdev.org/CPU_Bugs

J'aurais tendance à dire qu'on ne sait pas quel processeur il utilise, ni s'il a installé intel-microcode/amd-microcode…

Le noyau 4.4.0-109 contient bien le patch KPTI (au moins pour les processeurs Intel).

Et on ne « patche » pas un processeur. Les noyaux Linux ont été patchés pour corriger atténuer l'impact des défaut matériels de certains processeurs (algo permettant d'exécuter des instructions en mode spéculatif)

Dernière modification par bruno (Le 10/01/2018, à 18:39)

bruno · Le 10/01/2018, à 18:42

nam1962 a écrit :

Et les patchs Bios sont encore loin d'être dispos (si ils le sont un jour)

OSEF, le microcode (propriétaire) des processeur peut-être chargé au démarrage, c'est le rôle des paquets (tout à fait facultatifs) comme amd-microcode/ intel-microcode.

Dernière modification par bruno (Le 10/01/2018, à 18:43)

grandtoubab · Le 10/01/2018, à 18:47

bruno a écrit :

nam1962 a écrit :
Et les patchs Bios sont encore loin d'être dispos (si ils le sont un jour)
OSEF, le microcode (propriétaire) des processeur peut-être chargé au démarrage, c'est le rôle des paquets (tout à fait facultatifs) comme amd-microcode/ intel-microcode.

tout a fait

apt list *microcode*

amd64-microcode/testing,stable,unstable,now 3.20160316.3 amd64  [installé]
intel-microcode/testing,unstable 3.20171215.1 amd64
microcode.ctl/testing,stable,unstable 1.18~0+nmu2 amd64

on vient bien qu'Intel a été patché plus recemment

bruno · Le 10/01/2018, à 18:58

Oui, et Intel a vraiment tardé a publier ces correctifs. Sur Debian testing, il y en a déjà au moins une partie :

intel-microcode (3.20171215.1) unstable; urgency=high
* Add supplementary-ucode-CVE-2017-5715.d/: (closes: #886367)

https://bugs.debian.org/cgi-bin/bugrepo … bug=886367

nam1962 · Le 10/01/2018, à 18:59

bruno a écrit :

nam1962 a écrit :
Et les patchs Bios sont encore loin d'être dispos (si ils le sont un jour)
OSEF, le microcode (propriétaire) des processeur peut-être chargé au démarrage, c'est le rôle des paquets (tout à fait facultatifs) comme amd-microcode/ intel-microcode.

Oui d'ailleurs

heronheronpetitpatapon · Le 10/01/2018, à 19:10

Je reviens iic après mes posts des jours derniers #106 #112 jusqu'à 119!
Alors je ne trouve pas comment me prémunir de ces failles! Je dois donc en conclure qu'il faut attendre les MAJ de sécurité qui arrivent de manière régulière.
C'est ce que semble dire

Bersek a écrit :

@heronheronpetitpatapon
pas de ppa la mise à jour viendra par les dépôts habituels

J'ai installé le PPA PTI de la canonical kernel team. https://launchpad.net/~canonical-kernel … buntu/pti/
Mais ça n'a semble-t-il rien résolu.
De plus on me conseil de virer ce PPA!

J'avoue je ne sais plus à quel saint me voué pour régler ce souci.
Bizzare bizzare

bruno · Le 10/01/2018, à 19:38

heronheronpetitpatapon a écrit :

J'avoue je ne sais plus à quel saint me voué pour régler ce souci.

Patienter et attendre que des mises à jour éprouvées soient publiées (c'est déjà fait pour le noyau Ubuntu depuis aujourd'hui et depuis quelques jours pour Debian). Il n'y aucune urgence puisque jusqu'à preuve du contraire ces failles n'ont pas été exploitées et sont très difficiles à exploiter.

Dernière modification par bruno (Le 10/01/2018, à 19:40)

bilounoir · Le 10/01/2018, à 20:47

grandtoubab a écrit :

bilounoir a écrit :
une mise a jour ce matin et une maintenant sur xubunti 16.04
cat /proc/cpuinfo| grep bugs
bugs		:
bugs		:
bugs		:
bugs		:    
  uname -r
4.4.0-109-generic   
pas de problèmes de redémarrage
j'aurai tendance à dire qu'aucun de tes 4 coeurs de cpu n'a été patché, ce n'est pas forcémént une bonne nouvelle.
a priori quand une faille est patchée , un label est listée
http://wiki.osdev.org/CPU_Bugs
A la date du 2018 Jan 07 c'est le linux 4.4.0-108.131 Xenial 16.04 qui est patché
https://wiki.ubuntu.com/SecurityTeam/Kn … ndMeltdown

j'a envoyé un mail au vendeur qui me dit que il fraudais une mise a jour du bios , dans sa réponse
il me dit qu'a sa connaissance ce n'est pas prévu pour un clévo
-------
est pourtant le portable est récent
acheté en Avril 2017

Dernière modification par bilounoir (Le 11/01/2018, à 14:57)

bilounoir · Le 10/01/2018, à 20:54

   apt list *microcode
En train de lister... Fait
amd64-microcode/xenial,xenial-updates 2.20160316.1 amd64
intel-microcode/xenial-updates,now 3.20170707.1~ubuntu16.04.0 amd64  [installé]

 uname -a
Linux moi 4.4.0-109-generic #132-Ubuntu SMP Tue Jan 9 19:52:39 UTC 2018 x86_64 x86_64 x86_64 GNU/Linux

Dernière modification par bilounoir (Le 10/01/2018, à 20:57)

bilounoir · Le 10/01/2018, à 20:59

      inxi -Fxxx
System:    Host: moi Kernel: 4.4.0-109-generic x86_64 (64 bit gcc: 5.4.0)
           Desktop: Xfce 4.12.3 (Gtk 2.24.28) info: xfce4-panel dm: lightdm Distro: Ubuntu 16.04 xenial
Machine:   Mobo: Notebook model: W65_W67RZ1 Bios: American Megatrends v: 1.05.03 date: 09/19/2016
CPU:       Quad core Intel Core i5-6300HQ (-MCP-) cache: 6144 KB
           flags: (lm nx sse sse2 sse3 sse4_1 sse4_2 ssse3 vmx) bmips: 18430
           clock speeds: min/max: 800/3200 MHz 1: 799 MHz 2: 2028 MHz 3: 799 MHz 4: 1241 MHz
Graphics:  Card: Intel Skylake Integrated Graphics bus-ID: 00:02.0 chip-ID: 8086:191b
           Display Server: X.Org 1.18.4 drivers: intel (unloaded: fbdev,vesa) Resolution: 1920x1080@60.02hz
           GLX Renderer: Mesa DRI Intel HD Graphics 530 (Skylake GT2)
           GLX Version: 3.0 Mesa 17.2.4 Direct Rendering: Yes
Audio:     Card Intel Sunrise Point-H HD Audio driver: snd_hda_intel bus-ID: 00:1f.3 chip-ID: 8086:a170
           Sound: Advanced Linux Sound Architecture v: k4.4.0-109-generic
Network:   Card-1: Realtek RTL8111/8168/8411 PCI Express Gigabit Ethernet Controller
           driver: r8169 v: 2.3LK-NAPI port: e000 bus-ID: 02:00.1 chip-ID: 10ec:8168
           IF: enp2s0f1 state: up speed: 1000 Mbps duplex: full mac: 80:fa:5b:3c:fa:30
           Card-2: Intel Wireless 7265 driver: iwlwifi bus-ID: 03:00.0 chip-ID: 8086:095a
           IF: wlp3s0 state: down mac: d0:57:7b:af:a5:64
Drives:    HDD Total Size: 1240.3GB (0.7% used)
           ID-1: /dev/sda model: KINGSTON_SM2280S size: 240.1GB serial: 50026B7279025135
           ID-2: /dev/sdb model: ST1000LM035 size: 1000.2GB serial: WCB18LYN
Partition: ID-1: / size: 40G used: 5.2G (14%) fs: ext4 dev: /dev/sda2
RAID:      System: supported: N/A
           No RAID devices: /proc/mdstat, md_mod kernel module present
           Unused Devices: none
Sensors:   System Temperatures: cpu: 40.0C mobo: N/A
           Fan Speeds (in rpm): cpu: N/A
Info:      Processes: 188 Uptime: 24 min Memory: 764.8/15933.6MB
           Init: systemd v: 229 runlevel: 5 default: 2 Gcc sys: 5.4.0
           Client: Shell (bash 4.3.481 running in xfce4-terminal) inxi: 2.2.35

berserk · Le 10/01/2018, à 23:43

grandtoubab a écrit :

bruno a écrit :
nam1962 a écrit :
Et les patchs Bios sont encore loin d'être dispos (si ils le sont un jour)
OSEF, le microcode (propriétaire) des processeur peut-être chargé au démarrage, c'est le rôle des paquets (tout à fait facultatifs) comme amd-microcode/ intel-microcode.
tout a fait
apt list *microcode*

amd64-microcode/testing,stable,unstable,now 3.20160316.3 amd64  [installé]
intel-microcode/testing,unstable 3.20171215.1 amd64
microcode.ctl/testing,stable,unstable 1.18~0+nmu2 amd64
on vient bien qu'Intel a été patché plus recemment

t'es sous debian ?
moi sous ubuntu 16.04 le microcode Intel n'a pas été mis à jour :

apt list *microcode*
En train de lister... Fait
amd64-microcode/xenial,xenial-updates 2.20160316.1 amd64
intel-microcode/xenial-updates,now 3.20170707.1~ubuntu16.04.0 amd64  [installé]
microcode.ctl/xenial 1.18~0+nmu2 amd64

abecidofugy · Le 10/01/2018, à 23:53

Salut,

J'ai une question : pour une VM Virtualbox, le processeur est pareillement exposé ? Il faut patcher le kernel également ?

grandtoubab · Le 11/01/2018, à 08:41

https://cert.ssi.gouv.fr/alerte/CERTFR-2018-ALE-001/
dit
Processeurs AMD
AMD est vulnérable à Spectre, mais pas à Meltdown.

ok chez moi

root@debian:/# dmesg | grep 'Kernel/User page tables isolation'
[    0.000000] Kernel/User page tables isolation: disabled
root@debian:/# grep name /proc/cpuinfo
model name	: AMD Athlon(tm) II P340 Dual-Core Processor
model name	: AMD Athlon(tm) II P340 Dual-Core Processor
root@debian:/# uname --all
Linux debian 4.9.0-5-amd64 #1 SMP Debian 4.9.65-3+deb9u2 (2018-01-04) x86_64 GNU/Linux
root@debian:/#

Dernière modification par grandtoubab (Le 11/01/2018, à 12:15)

LukePerp · Le 11/01/2018, à 12:51

Il y a un script pour vérifier les vulnérabilités des failles meltdown et spectre, a exécuter en root :
https://github.com/speed47/spectre-melt … checker.sh

bilounoir · Le 11/01/2018, à 14:40

Sur mon ordi de bureau intel aussi 5 ans d'age Xubuntu 16.04

  cat /proc/cpuinfo| grep bugs
bugs		:
bugs		:
bugs		:
bugs		:

  uname -r
4.4.0-109-generic

 apt list *microcode*
En train de lister... Fait
amd64-microcode/xenial,xenial-updates 2.20160316.1 amd64
intel-microcode/xenial-updates,now 3.20170707.1~ubuntu16.04.0 amd64  [installé]
microcode.ctl/xenial 1.18~0+nmu2 amd64

Dernière modification par bilounoir (Le 11/01/2018, à 15:12)

bilounoir · Le 11/01/2018, à 14:42

mon autre portable clévo 5 ans d'age intel aussi Xubuntu 16.04

  cat /proc/cpuinfo| grep bugs
bugs		:
bugs		:
bugs		:
bugs		:

 uname -r
4.4.0-104-generic

 apt list *microcode*
En train de lister... Fait
amd64-microcode/xenial,xenial-updates 2.20160316.1 amd64
intel-microcode/xenial-updates,now 3.20170707.1~ubuntu16.04.0 amd64  [installé]
microcode.ctl/xenial 1.18~0+nmu2 amd64

le noyau n'est pas le bon ?

et quand on demande un avis pour un ordinateur sur le forum depuis perpette on nous dit prend de l'intel ??

Dernière modification par bilounoir (Le 11/01/2018, à 15:12)

bilounoir · Le 11/01/2018, à 15:04

même clevo que post précédent sur Manjaro

 cat /proc/cpuinfo| grep bugs
bugs		: cpu_insecure
bugs		: cpu_insecure
bugs		: cpu_insecure
bugs		: cpu_insecure

 uname -r
4.14.12-1-MANJARO

 dmesg -wH | grep 'Kernel/User page tables isolation'
[  +0,000000] Kernel/User page tables isolation: enabled

Dernière modification par bilounoir (Le 11/01/2018, à 15:09)

nam1962 · Le 11/01/2018, à 15:40

Bref, il faut attendre !

Tes posts permettent d'illustrer la progression que je complète :

~]$ cat /proc/cpuinfo| grep bugs
bugs		: cpu_meltdown
bugs		: cpu_meltdown
bugs		: cpu_meltdown
bugs		: cpu_meltdown

~]$ uname -r
4.14.13-1-MANJARO

4.4.0-104-generic --> pas au courant du problème
4.14.12-1-MANJARO --> au courant mais pas de correction
4.14.13-1-MANJARO --> correction partielle (Meltdown mais pas encore Spectre)

Dernière modification par nam1962 (Le 11/01/2018, à 15:43)

bilounoir · Le 11/01/2018, à 16:04

Toujours sous Manjaro autre noyau même Clévo

  cat /proc/cpuinfo| grep bugs
bugs		:
bugs		:
bugs		:
bugs		:

 uname -r
4.9.74-2-MANJARO

 dmesg -wH | grep 'Kernel/User page tables isolation'
[  +0,000000] Kernel/User page tables isolation: enabled

Dernière modification par bilounoir (Le 11/01/2018, à 16:05)

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#151 Le 10/01/2018, à 16:25

Re : Faille de sécurité Intel: Comment mettre son noyau à jour ?

#152 Le 10/01/2018, à 17:49

Re : Faille de sécurité Intel: Comment mettre son noyau à jour ?

#153 Le 10/01/2018, à 18:04

Re : Faille de sécurité Intel: Comment mettre son noyau à jour ?

#154 Le 10/01/2018, à 18:21

Re : Faille de sécurité Intel: Comment mettre son noyau à jour ?

#155 Le 10/01/2018, à 18:27

Re : Faille de sécurité Intel: Comment mettre son noyau à jour ?

#156 Le 10/01/2018, à 18:27

Re : Faille de sécurité Intel: Comment mettre son noyau à jour ?

#157 Le 10/01/2018, à 18:29

Re : Faille de sécurité Intel: Comment mettre son noyau à jour ?

#158 Le 10/01/2018, à 18:42

Re : Faille de sécurité Intel: Comment mettre son noyau à jour ?

#159 Le 10/01/2018, à 18:47

Re : Faille de sécurité Intel: Comment mettre son noyau à jour ?

#160 Le 10/01/2018, à 18:58

Re : Faille de sécurité Intel: Comment mettre son noyau à jour ?

#161 Le 10/01/2018, à 18:59

Re : Faille de sécurité Intel: Comment mettre son noyau à jour ?

#162 Le 10/01/2018, à 19:10

Re : Faille de sécurité Intel: Comment mettre son noyau à jour ?

#163 Le 10/01/2018, à 19:38

Re : Faille de sécurité Intel: Comment mettre son noyau à jour ?

#164 Le 10/01/2018, à 20:47

Re : Faille de sécurité Intel: Comment mettre son noyau à jour ?

#165 Le 10/01/2018, à 20:54

Re : Faille de sécurité Intel: Comment mettre son noyau à jour ?

#166 Le 10/01/2018, à 20:59

Re : Faille de sécurité Intel: Comment mettre son noyau à jour ?

#167 Le 10/01/2018, à 23:43

Re : Faille de sécurité Intel: Comment mettre son noyau à jour ?

#168 Le 10/01/2018, à 23:53

Re : Faille de sécurité Intel: Comment mettre son noyau à jour ?

#169 Le 11/01/2018, à 08:41

Re : Faille de sécurité Intel: Comment mettre son noyau à jour ?

#170 Le 11/01/2018, à 12:51

Re : Faille de sécurité Intel: Comment mettre son noyau à jour ?

#171 Le 11/01/2018, à 14:40

Re : Faille de sécurité Intel: Comment mettre son noyau à jour ?

#172 Le 11/01/2018, à 14:42

Re : Faille de sécurité Intel: Comment mettre son noyau à jour ?

#173 Le 11/01/2018, à 15:04

Re : Faille de sécurité Intel: Comment mettre son noyau à jour ?

#174 Le 11/01/2018, à 15:40

Re : Faille de sécurité Intel: Comment mettre son noyau à jour ?

#175 Le 11/01/2018, à 16:04

Re : Faille de sécurité Intel: Comment mettre son noyau à jour ?

Pied de page des forums