Seuls les CPU de moins de 10 ans peuvent voir leur microcode mis à jour (CPU lancés en 2007 et plus récents)

J'ai un Intel Xeon E5620 @ 2.40GHz, CPU lancé au 1er trimestre 2010, sur un IBM System x  x3550 M3 7944 K3G. Le BIOS n'a pas été mis à jour (UEFI Version 1.14 du 02/02/2012) => on a donc un microcode de 2011. Je suis étonné de ne pas voir de mise à jour du microcode par le système d'exploitation. Je me demande si certains BIOS ne bloquent pas les mises à jour de microcode.

Sinon pour répondre à Leon, les hyperviseurs bloquent pour que des OS invités ne mettent pas à jour le microcode.

Attention, le microcode ne se met pas à jour une fois pour toute, c'est à chaque démarrage qu'il est mis à jour, ce n'est pas dans une mémoire flash.

Pour Windows, c'est complètement transparent pour l'utilisateur, ce sont les mises à jour Windows Update qui apportent les mises à jour de microcode.

---

Sinon, pour vous faire peur, un système d’exploitation peut rendre un BIOS inutilisable.
Plusieurs distributions linux qui fournissent un noyaux Linux récent sont impactés par ce bug :
Incompatibility with BIOS in certain Lenovo, Acer systems

A bug in the Linux 4.13 kernel shipped in Ubuntu 17.10 can leave users unable to update any of their BIOS settings, including their system’s boot order, after booting this version of Ubuntu.

A kernel with a fix for this issue will be available in zesty-updates shortly, but, the Ubuntu 17.10 installer images still contain the kernel with this bug. Users with affected systems should not upgrade to Ubuntu 17.10 or boot an Ubuntu 17.10 installer image until this issue as resolved. Doing so may result in your computer requiring professional servicing in order to restore BIOS functionality.

A full list of known affected models can be found in 1734147.

If you have already installed Ubuntu 17.10 on an affected system, you may not immediately notice this problem because Ubuntu will continue to boot from disk. To verify whether your system has been affected by this bug, create a USB stick with the Ubuntu 16.04 desktop image and try to boot it. If you are able to boot it, your system has most likely not been impacted by this bug.
Source : Wiki Ubuntu

Ubuntu 17.10 n'est plus disponible au téléchargement depuis deux semaines pour cette raison. J'ai vu des correctifs, mais je pensent qu'ils veulent être sur de valider la chose avec Lenovo avant de proposer de nouvelles images ISO d'Ubuntu 17.0.

Les mises à jour de microcode pour atténuer une partie des failles arrivent :


https://access.redhat.com/errata/RHSA-2018:0040
RHSA-2018:0040 - Security Advisory
Security Fix(es):

• An industry-wide issue was found in the way many modern microprocessor designs have implemented speculative execution of instructions (a commonly used performance optimization). There are three primary variants of the issue which differ in the way the speculative execution can be exploited. Variant CVE-2017-5715 triggers the speculative execution by utilizing branch target injection. It relies on the presence of a precisely-defined instruction sequence in the privileged code as well as the fact that memory accesses may cause allocation into the microprocessor's data cache even for speculatively executed instructions that never actually commit (retire). As a result, an unprivileged attacker could use this flaw to cross the syscall and guest/host boundaries and read privileged memory by conducting targeted cache side-channel attacks. (CVE-2017-5715)


Note: This is the microcode counterpart of the CVE-2017-5715 kernel mitigation.


Red Hat would like to thank Google Project Zero for reporting this issue.

Les mises à jour de microcode pour atténuer une partie des failles arrivent :

Dans ce cas, comment ça se passe à votre avis?

Est-ce que c'est Intel et AMD qui fournissent à RedHat le fichier du nouveau microcode?
Est-ce que ce fichier du nouveau microcode (crypté) est public, librement disponible, intégrable dans n'importe quel OS / hyperviseur?

Leon.

Leon: le microcode est un simple blob, qui est passé par le kernel au CPU très tôt à chaque boot (grep microcode dans ton dmesg après reboot)
Pour autant que je sache, et comme le dit Marin, le blob est complétement opaque. Je suppose qu'il n'y a aucun action de faite sur ce dernier au niveau du kernel, et que les fichiers sont donc utilisables par n'importes quel OS (qui ne sert donc que de "passe-plat")

OK, mais est-ce que c'est fourni librement à n'importe qui le demande? N'importe qui qui voudrait coder un OS ou un hyperviseur? Est-ce le microcode (crypté) est fourni de manière totalement libre, publique, par Intel et AMD ?

Leon.

Le Kernel 3.16 de Debian sera mis à jour.

Le Kernel 3.16 pour Ubuntu non : Le Kernel 3.16 est celui d'Ubuntu 14.10 qui as été proposé sur Ubuntu 14.04 LTS pour avoir les dernières technologies, mais avec un support de 18 mois seulement. Le Kernel 3.16 ne reçois plus aucune mise à jour de sécurité depuis août 2016.

Il est impératif de passer sur un Kernel avec un support long terme (jusqu'à avril 2019 pour Ubunu 14.04 LTS).

Au choix :
- Le Kernel 3.13 (celui d'origine de Ubuntu 14.04 LTS)
- Le Kernel 4.4 (celui d'origine de Ubuntu 16.04 LTS)

Je pense que tu vas choisir le kernel 4.4 pour éviter de passer sur un kernel plus ancien.

Pour un Ubuntu avec interface graphique, il faut taper en ligne de commande sudo apt-get install --install-recommends linux-generic-lts-xenial xserver-xorg-core-lts-xenial xserver-xorg-lts-xenial xserver-xorg-video-all-lts-xenial xserver-xorg-input-all-lts-xenial libwayland-egl1-mesa-lts-xenial

Pour un Ubuntu server, il faut lancer : sudo apt-get install --install-recommends linux-generic-lts-xenial



A noter que pour Ubuntu 16.04, il n'y a plus de risque d'être sur un kernel non supporté, si on choisit d'être sur un Kernel récent qui n'a pas un support jusqu'à avril 2021, les mises à jour de sécurité  entraînent un changement automatique de Kernel.