Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

#276 Le 23/05/2018, à 17:50

Nuliel

Re : Faille de sécurité Intel: Comment mettre son noyau à jour ?

Le paquet n'apparaît effectivement plus dans les pilotes additionnels, mais il est quand même dans les dépôts sous le nom intel-microcode.
Donc à mon avis, l'install de ce paquet si cela n'a pas été fait puis les mises à jour devraient suffire.

Hors ligne

#277 Le 23/05/2018, à 18:02

seebz

Re : Faille de sécurité Intel: Comment mettre son noyau à jour ?

Naziel a écrit :

Le paquet n'apparaît effectivement plus dans les pilotes additionnels, mais il est quand même dans les dépôts sous le nom intel-microcode.

Oui, j'ai vu... Une raison expliquant le fait qu'il ne soit plus proposé dans pilotes additionnels ?

Hors ligne

#278 Le 23/05/2018, à 18:19

Ubuntu1988

Re : Faille de sécurité Intel: Comment mettre son noyau à jour ?

Le principal vecteur d'attaque reste le navigateur, et tant que ce dernier est à jour, ça limite très fortement les attaques. Pour le reste, les noyaux sont aussi patchés


J'ai perdu ! :(

Hors ligne

#279 Le 23/05/2018, à 21:58

JLK

Re : Faille de sécurité Intel: Comment mettre son noyau à jour ?

uboops a écrit :

... Le MiniTel va faire son retour JLK ;-) ... le progrès actuellement c'est la régression.

3615 Ubuntu... tongue

Hors ligne

#280 Le 23/05/2018, à 22:07

bruno

Re : Faille de sécurité Intel: Comment mettre son noyau à jour ?

seebz a écrit :

Une raison expliquant le fait qu'il ne soit plus proposé dans pilotes additionnels ?

Il est installé automatiquement c'est maintenant une dépendance du noyau et ce n'est pas forcément une bonne idée…

#281 Le 24/05/2018, à 07:24

seebz

Re : Faille de sécurité Intel: Comment mettre son noyau à jour ?

bruno a écrit :
seebz a écrit :

Une raison expliquant le fait qu'il ne soit plus proposé dans pilotes additionnels ?

Il est installé automatiquement c'est maintenant une dépendance du noyau et ce n'est pas forcément une bonne idée…

Désolé de te contredire mais non, il n'est pas installé automatiquement... du moins pas sur mon install Bionic

Hors ligne

#282 Le 24/05/2018, à 09:03

bruno

Re : Faille de sécurité Intel: Comment mettre son noyau à jour ?

Ah. Effectivement c'est le cas sous 16.04 :

https://packages.ubuntu.com/xenial/linux-image-generic

mais apparemment pas sous 18.04 :

https://packages.ubuntu.com/bionic/linux-image-generic

Le noyau 4.15 contient sans doute des correctifs qui rendent inutiles les microcodes Intel et AMD. En tout cas le développeur principal du noyau a ouvertement critiqué le travail d'Intel sur les correctifs apportés : https://itsfoss.com/linux-kernel-4-15-release-delayed/ en qualifiant leur patches de « complete and utter garbage » (merde la plus totale).

#283 Le 24/05/2018, à 09:16

moko138

Re : Faille de sécurité Intel: Comment mettre son noyau à jour ?

Dans 14.04, intel-microcode est un paquet séparé :

lsb_release -d ; uname -mr; echo; dpkg -l | grep microcode
Description:	Ubuntu 14.04.5 LTS
3.13.0-147-generic i686

ii  intel-microcode                       3.20180425.1~ubuntu0.14.04.1               i386         Processor microcode firmware for Intel CPUs
ii  iucode-tool                           1.0.1-1                                    i386         Intel processor microcode tool

%NOINDEX%
Un utilitaire précieux : ncdu
Photo, mini-tutoriel :  À la découverte de dcraw

Hors ligne

#284 Le 24/05/2018, à 09:31

jeange

Re : Faille de sécurité Intel: Comment mettre son noyau à jour ?

@ moko
Tu as une mise à jour de retard wink ?

Description:	Ubuntu 14.04.5 LTS
3.13.0-149-generic x86_64

CLEVO W670SZQ  SSD 480Go  i3  Ram 12Go Ubuntu 22.04.4 et 24.04.1 LTS 64bit
Thinkpad X270 nvme 128Go i5 Ram 8Go Ubuntu 24.04 LTS 64bit et W10
Merci de donner les retours avec les balises < > et les allers avec les valises, et toujours pas de raton laveur.
%NOINDEX%

Hors ligne

#285 Le 24/05/2018, à 09:41

xubu1957

Re : Faille de sécurité Intel: Comment mettre son noyau à jour ?

jeange a écrit :

@ moko
Tu as une mise à jour de retard wink ?

Le noyau est dans la messagerie en carafe ? lol


Conseils pour les nouveaux demandeurs et pas qu'eux
Important : Pensez à passer vos sujets en [Réso|u] lorsque ceux-ci le sont, au début du titre en cliquant sur Modifier sous le premier message, et un bref récapitulatif de la solution à la fin de celui-ci. Merci.                   Membre de Linux-Azur

En ligne

#286 Le 24/05/2018, à 10:21

jeange

Re : Faille de sécurité Intel: Comment mettre son noyau à jour ?

xubu1957 après j.c a écrit :

Le noyau est dans la messagerie en carafe ?

Pourtant moko est loin de la Bourgogne.


CLEVO W670SZQ  SSD 480Go  i3  Ram 12Go Ubuntu 22.04.4 et 24.04.1 LTS 64bit
Thinkpad X270 nvme 128Go i5 Ram 8Go Ubuntu 24.04 LTS 64bit et W10
Merci de donner les retours avec les balises < > et les allers avec les valises, et toujours pas de raton laveur.
%NOINDEX%

Hors ligne

#287 Le 24/05/2018, à 13:44

moko138

Re : Faille de sécurité Intel: Comment mettre son noyau à jour ?

Merci de ta vigilance, xubu1957 !
Et jeange, affûte le tire-bouchon !  smile

C'est une machine à cpu Intel Atom :

lscpu | grep -E "nstr|bit"
Mode(s) opératoire(s) des processeurs :32-bit
Identifiant constructeur :GenuineIntel

Donc sans le paquet amd64-microcode :

moko@pc1404:~$ dpkg -l | grep amd64-microcode
moko@pc1404:~$

Et là, surprise :

moko@pc1404:~$ sudo apt-get dist-upgrade -s
(...) Les NOUVEAUX paquets suivants seront installés :
  amd64-microcode linux-headers-3.13.0-149 (...) 

EDIT après mise à jour :

dpkg -l | grep amd64-microcode
ii  amd64-microcode   2.20131007.1+really20130710.1   i386  Processor microcode firmware for AMD CPUs
uname -mr
3.13.0-149-generic i686

Dernière modification par moko138 (Le 24/05/2018, à 16:43)


%NOINDEX%
Un utilitaire précieux : ncdu
Photo, mini-tutoriel :  À la découverte de dcraw

Hors ligne

#288 Le 26/05/2018, à 22:29

abecidofugy

Re : Faille de sécurité Intel: Comment mettre son noyau à jour ?

Spectre variante 4 : le patch d’Intel laissera des traces

http://www.zdnet.fr/actualites/spectre- … 868680.htm

Hors ligne

#289 Le 16/08/2018, à 07:49

xubu1957

Re : Faille de sécurité Intel: Comment mettre son noyau à jour ?


Conseils pour les nouveaux demandeurs et pas qu'eux
Important : Pensez à passer vos sujets en [Réso|u] lorsque ceux-ci le sont, au début du titre en cliquant sur Modifier sous le premier message, et un bref récapitulatif de la solution à la fin de celui-ci. Merci.                   Membre de Linux-Azur

En ligne

#290 Le 16/08/2018, à 09:42

Nuliel

Re : Faille de sécurité Intel: Comment mettre son noyau à jour ?

C'est bizarre, pour intel ils ont visiblement trouvé le filon, mais pour amd, rien depuis spectre il me semble

Dernière modification par Nuliel (Le 16/08/2018, à 09:42)

Hors ligne

#291 Le 16/08/2018, à 13:30

grandtoubab

Re : Faille de sécurité Intel: Comment mettre son noyau à jour ?

l'outil de test en est à 4 variantes

root@debian:~# spectre-meltdown-checker 
Spectre and Meltdown mitigation detection tool v0.38

Checking for vulnerabilities on current system
Kernel is Linux 4.9.0-7-amd64 #1 SMP Debian 4.9.110-3+deb9u2 (2018-08-13) x86_64
CPU is AMD Athlon(tm) II P340 Dual-Core Processor

Hardware check
* Hardware support (CPU microcode) for mitigation techniques
  * Indirect Branch Restricted Speculation (IBRS)
    * SPEC_CTRL MSR is available:  NO 
    * CPU indicates IBRS capability:  NO 
    * CPU indicates preferring IBRS always-on:  NO 
    * CPU indicates preferring IBRS over retpoline:  NO 
  * Indirect Branch Prediction Barrier (IBPB)
    * PRED_CMD MSR is available:  NO 
    * CPU indicates IBPB capability:  NO 
  * Single Thread Indirect Branch Predictors (STIBP)
    * SPEC_CTRL MSR is available:  NO 
    * CPU indicates STIBP capability:  NO 
    * CPU indicates preferring STIBP always-on:  NO 
  * Speculative Store Bypass Disable (SSBD)
    * CPU indicates SSBD capability:  NO 
  * CPU explicitly indicates not being vulnerable to Variant 4 (SSB_NO):  NO 
  * CPU microcode is known to cause stability problems:  NO  (model 0x6 family 0x10 stepping 0x3 ucode 0x10000c8 cpuid 0x100f63)
* CPU vulnerability to the speculative execution attack variants
  * Vulnerable to Variant 1:  YES 
  * Vulnerable to Variant 2:  YES 
  * Vulnerable to Variant 3:  NO 
  * Vulnerable to Variant 3a:  NO 
  * Vulnerable to Variant 4:  NO 

CVE-2017-5753 [bounds check bypass] aka 'Spectre Variant 1'
* Mitigated according to the /sys interface:  YES  (Mitigation: __user pointer sanitization)
* Kernel has array_index_mask_nospec:  YES  (1 occurrence(s) found of x86 64 bits array_index_mask_nospec())
* Kernel has the Red Hat/Ubuntu patch:  NO 
* Kernel has mask_nospec64 (arm64):  NO 
> STATUS:  NOT VULNERABLE  (Mitigation: __user pointer sanitization)

CVE-2017-5715 [branch target injection] aka 'Spectre Variant 2'
* Mitigated according to the /sys interface:  YES  (Mitigation: Full AMD retpoline)
* Mitigation 1
  * Kernel is compiled with IBRS support:  YES 
    * IBRS enabled and active:  NO 
  * Kernel is compiled with IBPB support:  YES 
    * IBPB enabled and active:  NO 
* Mitigation 2
  * Kernel has branch predictor hardening (arm):  NO 
  * Kernel compiled with retpoline option:  YES 
    * Kernel compiled with a retpoline-aware compiler:  YES  (kernel reports full retpoline compilation)
> STATUS:  NOT VULNERABLE  (Full retpoline is mitigating the vulnerability)
IBPB is considered as a good addition to retpoline for Variant 2 mitigation, but your CPU microcode doesn't support it

CVE-2017-5754 [rogue data cache load] aka 'Meltdown' aka 'Variant 3'
* Mitigated according to the /sys interface:  YES  (Not affected)
* Kernel supports Page Table Isolation (PTI):  YES 
  * PTI enabled and active:  NO 
  * Reduced performance impact of PTI:  NO  (PCID/INVPCID not supported, performance impact of PTI will be significant)
* Running as a Xen PV DomU:  NO 
> STATUS:  NOT VULNERABLE  (your CPU vendor reported your CPU model as not vulnerable)

CVE-2018-3640 [rogue system register read] aka 'Variant 3a'
* CPU microcode mitigates the vulnerability:  NO 
> STATUS:  NOT VULNERABLE  (your CPU vendor reported your CPU model as not vulnerable)

CVE-2018-3639 [speculative store bypass] aka 'Variant 4'
* Mitigated according to the /sys interface:  YES  (Not affected)
* Kernel supports speculation store bypass:  YES  (found in /proc/self/status)
> STATUS:  NOT VULNERABLE  (your CPU vendor reported your CPU model as not vulnerable)

Need more detailed information about mitigation options? Use --explain
A false sense of security is worse than no security at all, see --disclaimer
root@debian:~# 

Linux tout seul sur HP Pavilion DV7 et Acer Aspire T650, Canon MG3650 en wifi
Debian 11 Bullseye Gnome/Xorg, Gnome/Wayland avec SDDM
https://bidouilledebian.wordpress.com/
ON M'A VU DANS LE VERCORS, SAUTER A L'ELASTIQUE..... J'AI DANS LES BOTTES DES MONTAGNES DE QUESTIONS....

Hors ligne

#292 Le 16/08/2018, à 14:18

Nuliel

Re : Faille de sécurité Intel: Comment mettre son noyau à jour ?

Avec un système à jour, mon pc est vulnérable à deux variantes:

Spectre and Meltdown mitigation detection tool v0.39+

Checking for vulnerabilities on current system
Kernel is Linux 4.4.0-133-generic #159-Ubuntu SMP Fri Aug 10 07:31:43 UTC 2018 x86_64
CPU is Intel(R) Core(TM) i5-4210U CPU @ 1.70GHz

Hardware check
* Hardware support (CPU microcode) for mitigation techniques
  * Indirect Branch Restricted Speculation (IBRS)
    * SPEC_CTRL MSR is available:  YES 
    * CPU indicates IBRS capability:  YES  (SPEC_CTRL feature bit)
  * Indirect Branch Prediction Barrier (IBPB)
    * PRED_CMD MSR is available:  YES 
    * CPU indicates IBPB capability:  YES  (SPEC_CTRL feature bit)
  * Single Thread Indirect Branch Predictors (STIBP)
    * SPEC_CTRL MSR is available:  YES 
    * CPU indicates STIBP capability:  YES  (Intel STIBP feature bit)
  * Speculative Store Bypass Disable (SSBD)
    * CPU indicates SSBD capability:  NO 
  * Enhanced IBRS (IBRS_ALL)
    * CPU indicates ARCH_CAPABILITIES MSR availability:  NO 
    * ARCH_CAPABILITIES MSR advertises IBRS_ALL capability:  NO 
  * CPU explicitly indicates not being vulnerable to Meltdown (RDCL_NO):  NO 
  * CPU explicitly indicates not being vulnerable to Variant 4 (SSB_NO):  NO 
  * Hypervisor indicates host CPU might be vulnerable to RSB underflow (RSBA):  NO 
  * CPU microcode is known to cause stability problems:  NO  (model 0x45 family 0x6 stepping 0x1 ucode 0x23 cpuid 0x40651)
  * CPU microcode is the latest known available version:  NO  (you have version 0x23 and latest known version is 0x24)
* CPU vulnerability to the speculative execution attack variants
  * Vulnerable to Variant 1:  YES 
  * Vulnerable to Variant 2:  YES 
  * Vulnerable to Variant 3:  YES 
  * Vulnerable to Variant 3a:  YES 
  * Vulnerable to Variant 4:  YES 

CVE-2017-5753 [bounds check bypass] aka 'Spectre Variant 1'
* Mitigated according to the /sys interface:  YES  (Mitigation: __user pointer sanitization)
* Kernel has array_index_mask_nospec:  YES  (1 occurrence(s) found of x86 64 bits array_index_mask_nospec())
* Kernel has the Red Hat/Ubuntu patch:  YES 
* Kernel has mask_nospec64 (arm64):  NO 
> STATUS:  NOT VULNERABLE  (Mitigation: __user pointer sanitization)

CVE-2017-5715 [branch target injection] aka 'Spectre Variant 2'
* Mitigated according to the /sys interface:  YES  (Mitigation: Full generic retpoline, IBPB (Intel v4))
* Mitigation 1
  * Kernel is compiled with IBRS support:  YES 
    * IBRS enabled and active:  NO 
  * Kernel is compiled with IBPB support:  YES 
    * IBPB enabled and active:  YES 
* Mitigation 2
  * Kernel has branch predictor hardening (arm):  NO 
  * Kernel compiled with retpoline option:  YES 
    * Kernel compiled with a retpoline-aware compiler:  YES  (kernel reports full retpoline compilation)
> STATUS:  NOT VULNERABLE  (Full retpoline + IBPB are mitigating the vulnerability)

CVE-2017-5754 [rogue data cache load] aka 'Meltdown' aka 'Variant 3'
* Mitigated according to the /sys interface:  YES  (Mitigation: PTI)
* Kernel supports Page Table Isolation (PTI):  YES 
  * PTI enabled and active:  YES 
  * Reduced performance impact of PTI:  YES  (CPU supports INVPCID, performance impact of PTI will be greatly reduced)
* Running as a Xen PV DomU:  NO 
> STATUS:  NOT VULNERABLE  (Mitigation: PTI)

CVE-2018-3640 [rogue system register read] aka 'Variant 3a'
* CPU microcode mitigates the vulnerability:  NO 
> STATUS:  VULNERABLE  (an up-to-date CPU microcode is needed to mitigate this vulnerability)

CVE-2018-3639 [speculative store bypass] aka 'Variant 4'
* Mitigated according to the /sys interface:  NO  (Vulnerable)
* Kernel supports speculation store bypass:  YES  (found in /proc/self/status)
> STATUS:  VULNERABLE  (Your CPU doesn't support SSBD)

CVE-2018-3615/3620/3646 [L1 terminal fault] aka 'Foreshadow & Foreshadow-NG'
* Mitigated according to the /sys interface:  YES  (Mitigation: PTE Inversion; VMX: conditional cache flushes, SMT vulnerable)
> STATUS:  NOT VULNERABLE  (Mitigation: PTE Inversion; VMX: conditional cache flushes, SMT vulnerable)

Need more detailed information about mitigation options? Use --explain
A false sense of security is worse than no security at all, see --disclaimer

Hors ligne

#293 Le 17/08/2018, à 09:14

grandtoubab

Re : Faille de sécurité Intel: Comment mettre son noyau à jour ?

Naziel a écrit :

Avec un système à jour, mon pc est vulnérable à deux variantes:

Vérifie si le microcode intel est à jour

https://www.debian.org/security/2018/dsa-4273


Linux tout seul sur HP Pavilion DV7 et Acer Aspire T650, Canon MG3650 en wifi
Debian 11 Bullseye Gnome/Xorg, Gnome/Wayland avec SDDM
https://bidouilledebian.wordpress.com/
ON M'A VU DANS LE VERCORS, SAUTER A L'ELASTIQUE..... J'AI DANS LES BOTTES DES MONTAGNES DE QUESTIONS....

Hors ligne

#294 Le 17/08/2018, à 10:22

abecidofugy

Re : Faille de sécurité Intel: Comment mettre son noyau à jour ?

Salut,

spectre-meltdown-checker n’est pas disponible dans les dépôts de Xenial et de Trusty, que faire stp ?

//EDIT : j'ai trouvé ça : https://linuxhint.com/check-patch-spect … wn-ubuntu/

//EDIT2 : j’ai deux vulnérabilités :

CVE-2018-3640 [rogue system register read] aka 'Variant 3a'
* CPU microcode mitigates the vulnerability:  NO 
> STATUS:  VULNERABLE  (an up-to-date CPU microcode is needed to mitigate this vulnerability)

CVE-2018-3639 [speculative store bypass] aka 'Variant 4'
* Mitigated according to the /sys interface:  NO  (Vulnerable)
* Kernel supports speculation store bypass:  YES  (found in /proc/self/status)
> STATUS:  VULNERABLE  (Your CPU doesn't support SSBD)
grandtoubab a écrit :
Naziel a écrit :

Avec un système à jour, mon pc est vulnérable à deux variantes:

Vérifie si le microcode intel est à jour

https://www.debian.org/security/2018/dsa-4273

Et pour Ubuntu ? Merci.

Dernière modification par abecidofugy (Le 17/08/2018, à 10:42)

Hors ligne

#295 Le 17/08/2018, à 11:21

Nuliel

Re : Faille de sécurité Intel: Comment mettre son noyau à jour ?

J'ai fait les mises à jour avant et intel-microcode est installé, donc à jour par rapport aux dépôts. Pour la version:

~$ dpkg -l | grep intel-microcode
ii  intel-microcode                                 3.20180425.1~ubuntu0.16.04.2                  amd64        Processor microcode firmware for Intel CPUs

A mon avis, à part attendre pour ubuntu que la mise à jour du microcode sorte, je sais pas si on peut faire grand chose

Hors ligne

#296 Le 28/08/2018, à 05:31

xubu1957

Re : Faille de sécurité Intel: Comment mettre son noyau à jour ?

Bonjour,

Mises à jours pour intel-microcode :

Updated on    Package name    Release    Repository    Level    New Version
Old Version

08-27 18:06 UTC    intel-microcode    bionic    main    updates    3.20180807a.0ubuntu0.18.04.1
3.20180425.1~ubuntu0.18.04.2
08-27 18:06 UTC    intel-microcode    xenial    main    updates    3.20180807a.0ubuntu0.16.04.1
3.20180425.1~ubuntu0.16.04.2
08-27 18:06 UTC    intel-microcode    trusty    main    updates    3.20180807a.0ubuntu0.14.04.1
3.20180425.1~ubuntu0.14.04.2
08-27 17:06 UTC    intel-microcode    bionic    main    security    3.20180807a.0ubuntu0.18.04.1
3.20180425.1~ubuntu0.18.04.1
08-27 17:06 UTC    intel-microcode    xenial    main    security    3.20180807a.0ubuntu0.16.04.1
3.20180425.1~ubuntu0.16.04.1
08-27 17:06 UTC    intel-microcode    trusty    main    security    3.20180807a.0ubuntu0.14.04.1
3.20180425.1~ubuntu0.14.04.1

> ubuntuupdates.org

_ _ _

Détails :

Changelog
Version: 3.20180807a.0ubuntu0.18.04.1    2018-08-27 18:06:59 UTC
  intel-microcode (3.20180807a.0ubuntu0.18.04.1) bionic-security; urgency=medium

  * SECURITY UPDATE: New upstream microcode update to provide L1D cache
    flush support to mitigate L1TF (CVE-2018-3646)
    - New Microcodes:
      sig 0x000206e6, pf_mask 0x04, 2018-05-15, rev 0x000d, size 9216
      sig 0x000506c2, pf_mask 0x01, 2018-05-11, rev 0x0014, size 15360
      sig 0x000506ca, pf_mask 0x03, 2018-05-11, rev 0x000c, size 14336
      sig 0x000506f1, pf_mask 0x01, 2018-05-11, rev 0x0024, size 10240
    - Updated Microcodes:
      sig 0x000106a5, pf_mask 0x03, 2018-05-11, rev 0x001d, size 12288
      sig 0x000106e5, pf_mask 0x13, 2018-05-08, rev 0x000a, size 9216
      sig 0x00020652, pf_mask 0x12, 2018-05-08, rev 0x0011, size 9216
      sig 0x00020655, pf_mask 0x92, 2018-04-23, rev 0x0007, size 4096
      sig 0x000206a7, pf_mask 0x12, 2018-04-10, rev 0x002e, size 12288
      sig 0x000206f2, pf_mask 0x05, 2018-05-16, rev 0x003b, size 14336
      sig 0x000306a9, pf_mask 0x12, 2018-04-10, rev 0x0020, size 13312
      sig 0x000306c3, pf_mask 0x32, 2018-04-02, rev 0x0025, size 23552
      sig 0x000306d4, pf_mask 0xc0, 2018-03-22, rev 0x002b, size 18432
      sig 0x00040651, pf_mask 0x72, 2018-04-02, rev 0x0024, size 22528
      sig 0x00040661, pf_mask 0x32, 2018-04-02, rev 0x001a, size 25600
      sig 0x00040671, pf_mask 0x22, 2018-04-03, rev 0x001e, size 13312
      sig 0x000406e3, pf_mask 0xc0, 2018-04-17, rev 0x00c6, size 99328
      sig 0x00050662, pf_mask 0x10, 2018-05-25, rev 0x0017, size 31744
      sig 0x00050663, pf_mask 0x10, 2018-04-20, rev 0x7000013, size 22528
      sig 0x00050664, pf_mask 0x10, 2018-04-20, rev 0xf000012, size 22528
      sig 0x000506c9, pf_mask 0x03, 2018-05-11, rev 0x0032, size 16384
      sig 0x000506e3, pf_mask 0x36, 2018-04-17, rev 0x00c6, size 99328
      sig 0x000706a1, pf_mask 0x01, 2018-05-22, rev 0x0028, size 73728
      sig 0x000806e9, pf_mask 0xc0, 2018-03-24, rev 0x008e, size 98304
      sig 0x000806ea, pf_mask 0xc0, 2018-05-15, rev 0x0096, size 98304
      sig 0x000906e9, pf_mask 0x2a, 2018-03-24, rev 0x008e, size 98304
      sig 0x000906ea, pf_mask 0x22, 2018-05-02, rev 0x0096, size 97280
      sig 0x000906eb, pf_mask 0x02, 2018-03-24, rev 0x008e, size 98304
    - Added back upstream but blacklisted by packaging due to the issues
      around addressing Intel SA-00030:
      sig 0x000206c2, pf_mask 0x03, 2018-05-08, rev 0x001f, size 11264
  * Remaining changes from Debian:
    - debian/initramfs.hook: Default to early instead of auto, and
      install all of the microcode, not just the one matching the
      current CPU, if MODULES=most is set in the initramfs-tools config

Dernière modification par xubu1957 (Le 28/08/2018, à 05:43)


Conseils pour les nouveaux demandeurs et pas qu'eux
Important : Pensez à passer vos sujets en [Réso|u] lorsque ceux-ci le sont, au début du titre en cliquant sur Modifier sous le premier message, et un bref récapitulatif de la solution à la fin de celui-ci. Merci.                   Membre de Linux-Azur

En ligne

#297 Le 28/08/2018, à 14:23

abecidofugy

Re : Faille de sécurité Intel: Comment mettre son noyau à jour ?

C’est super, tout est à jour. Merci au boulot.

Hors ligne

#298 Le 05/10/2018, à 10:34

abecidofugy

Re : Faille de sécurité Intel: Comment mettre son noyau à jour ?

Sur ma machine de bureau, dans une VM :

sh spectre-meltdown-checker.sh  
Spectre and Meltdown mitigation detection tool v0.40

Checking for vulnerabilities on current system
Kernel is Linux 4.15.0-36-generic #39-Ubuntu SMP Mon Sep 24 16:19:09 UTC 2018 x86_64
CPU is Intel(R) Core(TM) i7-4770K CPU @ 3.50GHz

Hardware check
* Hardware support (CPU microcode) for mitigation techniques
  * Indirect Branch Restricted Speculation (IBRS)
    * SPEC_CTRL MSR is available:  NO 
    * CPU indicates IBRS capability:  NO 
  * Indirect Branch Prediction Barrier (IBPB)
    * PRED_CMD MSR is available:  NO 
    * CPU indicates IBPB capability:  NO 
  * Single Thread Indirect Branch Predictors (STIBP)
    * SPEC_CTRL MSR is available:  NO 
    * CPU indicates STIBP capability:  NO 
  * Speculative Store Bypass Disable (SSBD)
    * CPU indicates SSBD capability:  NO 
  * L1 data cache invalidation
    * FLUSH_CMD MSR is available:  NO 
    * CPU indicates L1D flush capability:  NO 
  * Enhanced IBRS (IBRS_ALL)
    * CPU indicates ARCH_CAPABILITIES MSR availability:  NO 
    * ARCH_CAPABILITIES MSR advertises IBRS_ALL capability:  NO 
  * CPU explicitly indicates not being vulnerable to Meltdown (RDCL_NO):  NO 
  * CPU explicitly indicates not being vulnerable to Variant 4 (SSB_NO):  NO 
  * CPU/Hypervisor indicates L1D flushing is not necessary on this system:  NO 
  * Hypervisor indicates host CPU might be vulnerable to RSB underflow (RSBA):  NO 
  * CPU supports Software Guard Extensions (SGX):  NO 
  * CPU microcode is known to cause stability problems:  NO  (model 0x3c family 0x6 stepping 0x3 ucode 0x0 cpuid 0x306c3)
  * CPU microcode is the latest known available version:  NO  (latest version is 0x25 dated 2018/04/02 according to builtin MCExtractor DB v84 - 2018/09/27)
* CPU vulnerability to the speculative execution attack variants
  * Vulnerable to CVE-2017-5753 (Spectre Variant 1, bounds check bypass):  YES 
  * Vulnerable to CVE-2017-5715 (Spectre Variant 2, branch target injection):  YES 
  * Vulnerable to CVE-2017-5754 (Variant 3, Meltdown, rogue data cache load):  YES 
  * Vulnerable to CVE-2018-3640 (Variant 3a, rogue system register read):  YES 
  * Vulnerable to CVE-2018-3639 (Variant 4, speculative store bypass):  YES 
  * Vulnerable to CVE-2018-3615 (Foreshadow (SGX), L1 terminal fault):  NO 
  * Vulnerable to CVE-2018-3620 (Foreshadow-NG (OS), L1 terminal fault):  YES 
  * Vulnerable to CVE-2018-3646 (Foreshadow-NG (VMM), L1 terminal fault):  YES 

CVE-2017-5753 aka 'Spectre Variant 1, bounds check bypass'
* Mitigated according to the /sys interface:  YES  (Mitigation: __user pointer sanitization)
* Kernel has array_index_mask_nospec:  YES  (1 occurrence(s) found of x86 64 bits array_index_mask_nospec())
* Kernel has the Red Hat/Ubuntu patch:  NO 
* Kernel has mask_nospec64 (arm64):  NO 
> STATUS:  NOT VULNERABLE  (Mitigation: __user pointer sanitization)

CVE-2017-5715 aka 'Spectre Variant 2, branch target injection'
* Mitigated according to the /sys interface:  YES  (Mitigation: Full generic retpoline)
* Mitigation 1
  * Kernel is compiled with IBRS support:  YES 
    * IBRS enabled and active:  NO 
  * Kernel is compiled with IBPB support:  YES 
    * IBPB enabled and active:  NO 
* Mitigation 2
  * Kernel has branch predictor hardening (arm):  NO 
  * Kernel compiled with retpoline option:  YES 
    * Kernel compiled with a retpoline-aware compiler:  YES  (kernel reports full retpoline compilation)
> STATUS:  NOT VULNERABLE  (Full retpoline is mitigating the vulnerability)
IBPB is considered as a good addition to retpoline for Variant 2 mitigation, but your CPU microcode doesn't support it

CVE-2017-5754 aka 'Variant 3, Meltdown, rogue data cache load'
* Mitigated according to the /sys interface:  YES  (Mitigation: PTI)
* Kernel supports Page Table Isolation (PTI):  YES 
  * PTI enabled and active:  YES 
  * Reduced performance impact of PTI:  YES  (CPU supports INVPCID, performance impact of PTI will be greatly reduced)
* Running as a Xen PV DomU:  NO 
> STATUS:  NOT VULNERABLE  (Mitigation: PTI)

CVE-2018-3640 aka 'Variant 3a, rogue system register read'
* CPU microcode mitigates the vulnerability:  NO 
[b]> STATUS:  VULNERABLE  (an up-to-date CPU microcode is needed to mitigate this vulnerability)[/b]

CVE-2018-3639 aka 'Variant 4, speculative store bypass'
* Mitigated according to the /sys interface:  NO  (Vulnerable)
* Kernel supports speculation store bypass:  YES  (found in /proc/self/status)
[b]> STATUS:  VULNERABLE  (Your CPU doesn't support SSBD)[/b]

CVE-2018-3615 aka 'Foreshadow (SGX), L1 terminal fault'
* CPU microcode mitigates the vulnerability:  N/A 
> STATUS:  NOT VULNERABLE  (your CPU vendor reported your CPU model as not vulnerable)

CVE-2018-3620 aka 'Foreshadow-NG (OS), L1 terminal fault'
* Mitigated according to the /sys interface:  YES  (Mitigation: PTE Inversion)
* Kernel supports PTE inversion:  YES  (found in kernel image)
* PTE inversion enabled and active:  YES 
> STATUS:  NOT VULNERABLE  (Mitigation: PTE Inversion)

CVE-2018-3646 aka 'Foreshadow-NG (VMM), L1 terminal fault'
* Information from the /sys interface: 
* This system is a host running an hypervisor:  NO 
* Mitigation 1 (KVM)
  * EPT is disabled:  N/A  (the kvm_intel module is not loaded)
* Mitigation 2
  * L1D flush is supported by kernel:  YES  (found flush_l1d in kernel image)
  * L1D flush enabled:  UNKNOWN  (unrecognized mode)
  * Hardware-backed L1D flush supported:  NO  (flush will be done in software, this is slower)
  * Hyper-Threading (SMT) is enabled:  NO 
> STATUS:  NOT VULNERABLE  (this system is not running an hypervisor)

> SUMMARY: CVE-2017-5753:OK CVE-2017-5715:OK CVE-2017-5754:OK CVE-2018-3640:KO CVE-2018-3639:KO CVE-2018-3615:OK CVE-2018-3620:OK CVE-2018-3646:OK

Need more detailed information about mitigation options? Use --explain
A false sense of security is worse than no security at all, see --disclaimer 

Modération : utilisez les balises code (code et /code) plutôt que les balises citations (quote et /quote). Merci.

Dernière modification par Ayral (Le 05/10/2018, à 15:01)

Hors ligne

#299 Le 14/05/2019, à 21:32

xubu1957

Re : Faille de sécurité Intel: Comment mettre son noyau à jour ?

Bonjour,

Nouvelles mises à jour :

Updated on    Package name    Release    Repository    Level    New Version
Old Version
05-14 19:07 UTC    intel-microcode    disco    main    updates    3.20190514.0ubuntu0.19.04.1

05-14 19:07 UTC    intel-microcode    cosmic    main    updates    3.20190514.0ubuntu0.18.10.1

05-14 19:07 UTC    intel-microcode    bionic    main    updates    3.20190514.0ubuntu0.18.04.2
3.20180807a.0ubuntu0.18.04.1

05-14 19:07 UTC    intel-microcode    xenial    main    updates    3.20190514.0ubuntu0.16.04.1
3.20180807a.0ubuntu0.16.04.1

05-14 19:07 UTC    intel-microcode    trusty    main    updates    3.20190514.0ubuntu0.14.04.1
3.20180807a.0ubuntu0.14.04.1

05-14 18:06 UTC    intel-microcode    disco    main    security    3.20190514.0ubuntu0.19.04.1

05-14 18:06 UTC    intel-microcode    cosmic    main    security    3.20190514.0ubuntu0.18.10.1

05-14 18:06 UTC    intel-microcode    bionic    main    security    3.20190514.0ubuntu0.18.04.2
3.20180807a.0ubuntu0.18.04.1

05-14 18:06 UTC    intel-microcode    xenial    main    security    3.20190514.0ubuntu0.16.04.1
3.20180807a.0ubuntu0.16.04.1

> UbuntuUpdates

Dernière modification par xubu1957 (Le 14/05/2019, à 21:33)


Conseils pour les nouveaux demandeurs et pas qu'eux
Important : Pensez à passer vos sujets en [Réso|u] lorsque ceux-ci le sont, au début du titre en cliquant sur Modifier sous le premier message, et un bref récapitulatif de la solution à la fin de celui-ci. Merci.                   Membre de Linux-Azur

En ligne

#300 Le 15/05/2019, à 13:49

Nuliel

Re : Faille de sécurité Intel: Comment mettre son noyau à jour ?

Hors ligne