Faille de sécurité Intel: Comment mettre son noyau à jour ?

bruno · Le 06/01/2018, à 11:09

Les Raspberry ne sont pas concernés par ces failles. Leur processeurs ne font pas partie des listes de processeurs vulnérables.
https://www.cert.ssi.gouv.fr/alerte/CER … 8-ALE-001/
https://www.raspberrypi.org/blog/why-ra … -meltdown/

Dernière modification par bruno (Le 06/01/2018, à 11:10)

NOFX · Le 06/01/2018, à 11:24

INTEL-SA-00086 Detection Tool
Copyright(C) 2017, Intel Corporation, All rights reserved

Application Version: 1.0.0.152
Scan date: 2018-01-06 10:15:02 GMT

*** Host Computer Information ***
Name: debian
Manufacturer: ASUSTeK COMPUTER INC.
Model: N56JR
Processor Name: Intel(R) Core(TM) i7-4700HQ CPU @ 2.40GHz
OS Version: debian 9.3  (4.9.0-4-amd64)

*** Intel(R) ME Information ***
Engine: Intel(R) Management Engine
Version: 9.0.20.1447
SVN: 0

*** Risk Assessment ***
Based on the analysis performed by this tool: This system is not vulnerable.

For more information refer to the INTEL-SA-00086 Detection Tool Guide or the
  Intel Security Advisory Intel-SA-00086 at the following link:
  https://www.intel.com/sa-00086-support

cool apparemment ces processeurs ne sont pas concerné alors !!

nam1962 · Le 06/01/2018, à 11:26

Hmmm, le lis dans le rapport du Cert que les containers sont concernés, ils citent Docker, mais Snap & Flatpak sont aussi des containers à priori, tout ceci est fort ennuyeux !
(Et quid de la blockchain ?)

FrancisFDZ · Le 06/01/2018, à 11:59

Bipède, en #11, annonce que les CPU ARM sont concernés (donc raspberry), ce que semble démentir bruno en #76. Je vais étudier de plus près les sites cités par bruno pour me faire une opinion plus précise

FrancisFDZ · Le 06/01/2018, à 12:07

Après avoir consulté le 2ème site proposé par Bruno en #76, il semblerait que raspberry ne soit pas concerné car

Eber Upton a écrit :

le Raspberry Pi n'est pas vulnérable à ces vulnérabilités, à cause des cœurs ARM particuliers que nous utilisons.

.
Mais il risque de devoir supporter les modifications de noyaux consécutifs aux vulnérabilités des autres processeurs, non ?

Dernière modification par FrancisFDZ (Le 06/01/2018, à 12:23)

berserk · Le 06/01/2018, à 12:23

Salut
Il y a quelques semaines, en novembre je dirais, il y avait un topic sur ce forum qui parlait d'une faille sur les proc intel, il y avait un lien pour télécharger un programme sur le site d'intel pour savoir si notre processeur est vulnérable à la faille ou pas.
Malheureusement je ne retrouve pas ce topic.
Je voudrais savoir si les failles Meltdown et Spectre sont les mêmes que celle dont on parlait il y a 2 mois environ ? Ou bien ce sont encore de nouvelles failles ?

Dernière modification par berserk (Le 06/01/2018, à 12:24)

bruno · Le 06/01/2018, à 12:58

@FrancisFDZ : seuls sont concernés certains processeurs ARM qui implémentent des techniques spéculatives comme tu l'as compris en lisant l'article que je citais.
Effectivement les patchs du noyau pourraient s'appliquer à tous les processeurs et éventuellement dégrader leurs performances. Ce qui semble être le cas actuellement avec KPTI

@bersek : attention à ne pas faire de confusion avec les failles IME (Intel Managment Engine = système d'exploitation intégré au processeur) qui sont différentes mais tout aussi inquiétantes.

Dernière modification par bruno (Le 06/01/2018, à 12:58)

MdMax · Le 06/01/2018, à 13:36

berserk a écrit :

Je voudrais savoir si les failles Meltdown et Spectre sont les mêmes que celle dont on parlait il y a 2 mois environ ? Ou bien ce sont encore de nouvelles failles ?

Il y a quelques mois, la faille (ou plutôt porte dérobée intentionnelle) dont on parlait, concernait le "ME": Management Engine, c'est différent et toujours non résolu chez l'immense majorité des fabricants de cartes mères. Merci à Intel pour ses failwares privateurs intégrés aux CPU de chipsets.
https://security-center.intel.com/advis … geid=en-fr

berserk · Le 06/01/2018, à 14:36

MdMax a écrit :

berserk a écrit :
Je voudrais savoir si les failles Meltdown et Spectre sont les mêmes que celle dont on parlait il y a 2 mois environ ? Ou bien ce sont encore de nouvelles failles ?
Il y a quelques mois, la faille (ou plutôt porte dérobée intentionnelle) dont on parlait, concernait le "ME": Management Engine, c'est différent et toujours non résolu chez l'immense majorité des fabricants de cartes mères. Merci à Intel pour ses failwares privateurs intégrés aux CPU de chipsets.
https://security-center.intel.com/advis … geid=en-fr

Merci.
Eh ben c'est pas rassurant du tout ça.

rifix · Le 06/01/2018, à 16:24

Bulletin d'alerte du CERT-FR

https://www.cert.ssi.gouv.fr/alerte/CER … 8-ALE-001/

Ubuntu

Des correctifs sont prévus pour systèmes 64 bits pour le mardi 9 janvier 2018 [

Dernière modification par rifix (Le 06/01/2018, à 16:25)

Compte supprimé · Le 06/01/2018, à 16:36

Au fond, nous sommes en train de grandir. C'est un peu comme quand on a compris que le père noël n'existe pas.

Korak · Le 06/01/2018, à 16:42

J'en reviens à ceci :

Korak a écrit :

Bonjour,
Si tu as Ubuntu 16.04, c'est la commande :
sudo apt-get install --install-recommends linux-generic-hwe-16.04 xserver-xorg-hwe-16.04
Si tu as une autre version d'Ubuntu, dit-le car la commande n'est pas forcément la même.

Le HWE fait passer vers un noyau 4.10.0 (pour le moment) et ça peut dépanner.

heronheronpetitpatapon · Le 06/01/2018, à 17:15

bipede a écrit :

Cet article relaye une annonce qui a été faite hier et qui fait état d'une faille de sécurité majeure qui touche les processeurs Intel produits depuis une dizaine d'année (aux dernières nouvelles ARM serait également concerné).
Il s'agit d'une anomalie de conception qui ne peut donc pas être résolue par patch.
Un logiciel malveillant qui exploiterait cette faille serait capable de lire la mémoire du noyau, censée être protégée, et ainsi accéder à des données confidentielles telles que les mots de passe.
Tous les OS sont concernés par ce problème et le noyau Linux 4.15 serait déjà corrigé afin de pallier à cette anomalie.
S'agissant d'une solution de contournement, il faut s'attendre à une dégradation des performances qui ne peut à ce jour être parfaitement mesurée.
Juste avant l'annonce le CEO d'Intel a liquidé un max de ses stocks options...

Merci pour ces infos.
J'ai trouvé ça sur les notices de sécurité d'Ubuntu : https://wiki.ubuntu.com/SecurityTeam/Kn … ndMeltdown

donc ya pas de correctif (évidement), il faut fare une mise à jours du système et attendre le nouveau noyaux 4.15 c'est ça?

Korak · Le 06/01/2018, à 17:21

heronheronpetitpatapon a écrit :

il faut fare une mise à jours du système et attendre le nouveau noyaux 4.15 c'est ça?

Donc, le HWE pourra servir quand le noyau sera passé en version 4.15 !!! Enfin, si ça le fait sous Ubuntu 16.04...

Dernière modification par Korak (Le 06/01/2018, à 17:21)

bipede · Le 06/01/2018, à 17:51

Korak a écrit :

heronheronpetitpatapon a écrit :
il faut fare une mise à jours du système et attendre le nouveau noyaux 4.15 c'est ça?
Donc, le HWE pourra servir quand le noyau sera passé en version 4.15 !!! Enfin, si ça le fait sous Ubuntu 16.04...

Une mise à jour des noyaux antérieurs, basée sur ce qui a été fait sur le 4.15, va être déployée.

xubu1957 · Le 06/01/2018, à 17:54

Korak a écrit :

Donc, le HWE pourra servir quand le noyau sera passé en version 4.15 !!! Enfin, si ça le fait sous Ubuntu 16.04...

Le noyau 4.15 est prévu pour la 16.04.5 en août 2018 > 16.04.x_Ubuntu_Kernel_Support

heronheronpetitpatapon · Le 06/01/2018, à 17:55

bipede a écrit :

Korak a écrit :
heronheronpetitpatapon a écrit :
il faut fare une mise à jours du système et attendre le nouveau noyaux 4.15 c'est ça?
Donc, le HWE pourra servir quand le noyau sera passé en version 4.15 !!! Enfin, si ça le fait sous Ubuntu 16.04...
Une mise à jour des noyaux antérieurs, basée sur ce qui a été fait sur le 4.15, va être déployée.

Ok merci de l'info mais j'ai pourtant tapé les commandes suivantes :

marco@marco-K43SJ:~$ sudo apt update && sudo apt full-upgrade && sudo apt autoremove --purge

Donc tout est à jour, mais je n'ai pas encore le noyeux 4.15 puisque le dernier et le 4.13

marco@marco-K43SJ:~$ uname -r
4.13.0-21-generic

Korak · Le 06/01/2018, à 17:57

bipede a écrit :

Une mise à jour des noyaux antérieurs, basée sur ce qui a été fait sur le 4.15, va être déployée.

Oui mais bon, passer à un noyau supérieur via HWE n'ai pas a négliger.

Ce n'est peut-être pas LA solution mais ça peut dépanner.

bipede · Le 06/01/2018, à 18:41

heronheronpetitpatapon a écrit :

Ok merci de l'info mais j'ai pourtant tapé les commandes suivantes :
marco@marco-K43SJ:~$ sudo apt update && sudo apt full-upgrade && sudo apt autoremove --purge
Donc tout est à jour, mais je n'ai pas encore le noyeux 4.15 puisque le dernier et le 4.13
marco@marco-K43SJ:~$ uname -r
4.13.0-21-generic

Le déploiement est prévu pour le 9 janvier et ce ne sera pas le 4.15, mais un 4.13 patché.

Alex10336 · Le 06/01/2018, à 18:48

Korak a écrit :

Ce n'est peut-être pas LA solution mais ça peut dépanner.

Soit il y a le patch, soit il n'y est pas.

nam1962 · Le 06/01/2018, à 18:56

Korak a écrit :

bipede a écrit :
Une mise à jour des noyaux antérieurs, basée sur ce qui a été fait sur le 4.15, va être déployée.
Oui mais bon, passer à un noyau supérieur via HWE n'ai pas a négliger.
Ce n'est peut-être pas LA solution mais ça peut dépanner.

Très globalement, à moins d'avoir du matériel très récent, les HWE sont plus des nids à ennuis qu'autre chose. De nombreux fils ici montrent qu'on élimine des problèmes en revenant à la x.yy.1
Sinon, le patch sera fatalement déployé sur tous les kernels encore maintenus.

Maintenant, si tu veux tourner sur le 4.15, tu peux sous Manjaro (mais elle est encore au stade RC)

Sur ce point Manjaro a d'ailleurs un avantage sur Ubuntu : gestion propre des kernels, le dernier et un fall back, pas de résidus incongrus ; possibilité d'en installer plusieurs (pratique si un bug affecte une série)

Exemple :

~]$ mhwd-kernel -li
Currently running: 4.14.11-3-MANJARO (linux414)
The following kernels are installed in your system:
   * linux414
   * linux44
   * linux49

Dernière modification par nam1962 (Le 06/01/2018, à 19:03)

Korak · Le 06/01/2018, à 22:44

nam1962 a écrit :

Très globalement, à moins d'avoir du matériel très récent, les HWE sont plus des nids à ennuis qu'autre chose.

Ouf, je suis content !!!

Je pensais que mon PC portable de 4 ans était vieux !!!

Yakuza · Le 06/01/2018, à 23:15

yes mon pc n est pas concerne !! pour une fois que ça sert d avoir un vieux pc

xubu1957 · Le 07/01/2018, à 07:00

Bonjour,

traduction a écrit :

Ubuntu corrigera Meltdown et Spectre d'ici le 9 janvier
Par Paul Hill · 5 janvier 2018
Ubuntu, peut-être la distribution Linux la plus populaire, sur le bureau, qui a une multitude d' autres distributions pour envoyer des mises à jour de sécurité, a annoncé qu'elle mettrait à jour les noyaux de toutes les versions prises en charge afin d'atténuer les vulnérabilités Meltdown et Spectre, d'ici le 9 janvier.
Dustin Kirkland, Product and Strategy chez Ubuntu, a déclaré:
"Les ingénieurs de Canonical y travaillent depuis que nous avons été mis au courant de l'embargo (novembre 2017) et ont travaillé pendant les vacances de Noël et du Nouvel An, testant et intégrant des patchs incroyablement complexes dans un large éventail de noyaux Ubuntu et d'architectures CPU "
Selon Kirkland, les utilisateurs Ubuntu de "l'architecture x86 64 bits (aka, amd64)" peuvent s'attendre à des noyaux patchés, mais on ne sait pas exactement ce qu'il adviendra des installations 32 bits. Les mises à jour seront disponibles pour le noyau Linux 4.13 HWE sur Ubuntu 17.10, pour Linux 4.4 (et 4.4 HWE) sur Ubuntu 16.04 LTS, pour Linux 3.13 sur Ubuntu 14.04 LTS, et pour Linux 3.2 sur Ubuntu 12.04 ESM; Gardez à l'esprit qu'une licence Ubuntu Advantage est requise pour Ubuntu 12.04 ESM car la version est en fin de vie.
Canonical prévoit de lancer Ubuntu 18.04 en Avril de cette année, il sera livré avec Linux 4.15 qui comprend le patchset KPTI qui a été intégré en amont.
Source: Ubuntu

> .neowin.net/news/

Edit - Nota : la version 17.04 et le noyau 4.10 ne sont pas mentionnés !

Edit +2 :

Le 06/01/2018, Rinzwind a écrit :

4.10 (=17.04) will not be patched...
4.10 (=17.04) ne sera pas corrigé...

> kernel-4-10-hwe-going-to-be-patched-for-meltdown-and-spectre

Edit +1 Fin du support de la version 17.04, le 13/01/2018 > archives/ubuntu-announce/2018-January

Dernière modification par xubu1957 (Le 07/01/2018, à 12:26)

rogn... · Le 07/01/2018, à 10:02

Tamarou a écrit :

Au fond, nous sommes en train de grandir. C'est un peu comme quand on a compris que le père noël n'existe pas.

Ça dépend à qui on fait confiance, la dernière fois que les masses populaires ont fait confiance aux sociétés cotées en bourse, ça s'est traduit par une crise économique et sociale.
Or si je ne m'abuse, Intel est coté en bourse.

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#76 Le 06/01/2018, à 11:09

Re : Faille de sécurité Intel: Comment mettre son noyau à jour ?

#77 Le 06/01/2018, à 11:24

Re : Faille de sécurité Intel: Comment mettre son noyau à jour ?

#78 Le 06/01/2018, à 11:26

Re : Faille de sécurité Intel: Comment mettre son noyau à jour ?

#79 Le 06/01/2018, à 11:59

Re : Faille de sécurité Intel: Comment mettre son noyau à jour ?

#80 Le 06/01/2018, à 12:07

Re : Faille de sécurité Intel: Comment mettre son noyau à jour ?

#81 Le 06/01/2018, à 12:23

Re : Faille de sécurité Intel: Comment mettre son noyau à jour ?

#82 Le 06/01/2018, à 12:58

Re : Faille de sécurité Intel: Comment mettre son noyau à jour ?

#83 Le 06/01/2018, à 13:36

Re : Faille de sécurité Intel: Comment mettre son noyau à jour ?

#84 Le 06/01/2018, à 14:36

Re : Faille de sécurité Intel: Comment mettre son noyau à jour ?

#85 Le 06/01/2018, à 16:24

Re : Faille de sécurité Intel: Comment mettre son noyau à jour ?

#86 Le 06/01/2018, à 16:36

Re : Faille de sécurité Intel: Comment mettre son noyau à jour ?

#87 Le 06/01/2018, à 16:42

Re : Faille de sécurité Intel: Comment mettre son noyau à jour ?

#88 Le 06/01/2018, à 17:15

Re : Faille de sécurité Intel: Comment mettre son noyau à jour ?

#89 Le 06/01/2018, à 17:21

Re : Faille de sécurité Intel: Comment mettre son noyau à jour ?

#90 Le 06/01/2018, à 17:51

Re : Faille de sécurité Intel: Comment mettre son noyau à jour ?

#91 Le 06/01/2018, à 17:54

Re : Faille de sécurité Intel: Comment mettre son noyau à jour ?

#92 Le 06/01/2018, à 17:55

Re : Faille de sécurité Intel: Comment mettre son noyau à jour ?

#93 Le 06/01/2018, à 17:57

Re : Faille de sécurité Intel: Comment mettre son noyau à jour ?

#94 Le 06/01/2018, à 18:41

Re : Faille de sécurité Intel: Comment mettre son noyau à jour ?

#95 Le 06/01/2018, à 18:48

Re : Faille de sécurité Intel: Comment mettre son noyau à jour ?

#96 Le 06/01/2018, à 18:56

Re : Faille de sécurité Intel: Comment mettre son noyau à jour ?

#97 Le 06/01/2018, à 22:44

Re : Faille de sécurité Intel: Comment mettre son noyau à jour ?

#98 Le 06/01/2018, à 23:15

Re : Faille de sécurité Intel: Comment mettre son noyau à jour ?

#99 Le 07/01/2018, à 07:00

Re : Faille de sécurité Intel: Comment mettre son noyau à jour ?

#100 Le 07/01/2018, à 10:02

Re : Faille de sécurité Intel: Comment mettre son noyau à jour ?

Pied de page des forums