Auteur Sujet: Spectre et Meltdown: Grave problème de design des CPU Intel depuis 10ans (Lu 36725 fois)

vivien · « **Réponse #84 le:** 19 janvier 2018 à 07:22:56 »

Ubuntu vas proposer dans quelques jours de nouveaux noyaux pour corriger Spectre :
- 4.13.0-29.32
- 4.4.0-111.134
- 3.13.0-140.189

Ceux qui avaient été déployés mardi 9 janvier corrigeaient Meltdown et non Spectre.

Ils sont en validation depuis le 12 janvier, il est possible de les récupérer en cochant la case qui active le dépôt "proposed"

Des microcode pour les CPU AMD seront proposés lundi prochain dans Ubuntu, pour ceux qui ont installé le paquet amd64-microcode (installé par défault, si vous avez activé la case pour le contenu non libre qui inclut aussi du code propriétaire pour certaines cartes WiFi.

Pour l’installer : sudo apt install amd64-microcode

vivien · « **Réponse #85 le:** 24 janvier 2018 à 22:04:29 »

Citation de: vivien le 10 janvier 2018 à 22:32:37

Toujours pour la correction de Spectre, Intel fait un retour arrière et demande aux distributions de revenir sur un vieux microcode, pour deux CPU :
- sig 0x000406f1, pf_mask 0xef, 2017-11-18, rev 0xb000025, size 27648
- sig 0x000506c9, pf_mask 0x03, 2017-11-22, rev 0x002e, size 16384

Le microcode de Novembre 2017 doit être remplacé par celui de mars 2017 :

intel-microcode 3.20180108.1 source package in Ubuntu
Changelog

intel-microcode (3.20180108.1) unstable; urgency=high

* New upstream microcode data file 20180108 (closes: #886367)
+ Updated Microcodes:
sig 0x000306c3, pf_mask 0x32, 2017-11-20, rev 0x0023, size 23552
sig 0x000306d4, pf_mask 0xc0, 2017-11-17, rev 0x0028, size 18432
sig 0x000306e4, pf_mask 0xed, 2017-12-01, rev 0x042a, size 15360
sig 0x000306f2, pf_mask 0x6f, 2017-11-17, rev 0x003b, size 33792
sig 0x000306f4, pf_mask 0x80, 2017-11-17, rev 0x0010, size 17408
sig 0x00040651, pf_mask 0x72, 2017-11-20, rev 0x0021, size 22528
sig 0x00040661, pf_mask 0x32, 2017-11-20, rev 0x0018, size 25600
sig 0x00040671, pf_mask 0x22, 2017-11-17, rev 0x001b, size 13312
sig 0x000406e3, pf_mask 0xc0, 2017-11-16, rev 0x00c2, size 99328
sig 0x00050654, pf_mask 0xb7, 2017-12-08, rev 0x200003c, size 27648
sig 0x00050662, pf_mask 0x10, 2017-12-16, rev 0x0014, size 31744
sig 0x00050663, pf_mask 0x10, 2017-12-16, rev 0x7000011, size 22528
sig 0x000506e3, pf_mask 0x36, 2017-11-16, rev 0x00c2, size 99328
sig 0x000706a1, pf_mask 0x01, 2017-12-26, rev 0x0022, size 73728
sig 0x000806e9, pf_mask 0xc0, 2018-01-04, rev 0x0080, size 98304
sig 0x000806ea, pf_mask 0xc0, 2018-01-04, rev 0x0080, size 98304
sig 0x000906e9, pf_mask 0x2a, 2018-01-04, rev 0x0080, size 98304
sig 0x000906ea, pf_mask 0x22, 2018-01-04, rev 0x0080, size 97280
sig 0x000906eb, pf_mask 0x02, 2018-01-04, rev 0x0080, size 98304
+ Implements IBRS/IBPB support and enhances LFENCE: mitigation
against Spectre (CVE-2017-5715)
+ Very likely fixes several other errata on some of the processors
* supplementary-ucode-CVE-2017-5715.d/: remove.
+ Downgraded microcodes:
sig 0x000406f1, pf_mask 0xef, 2017-03-01, rev 0xb000021, size 26624
sig 0x000506c9, pf_mask 0x03, 2017-03-25, rev 0x002c, size 16384
+ This removes IBRS/IBPB support for these two platforms when compared
with the previous (and unofficial) release, 20171215. We don't know
why Intel declined to include these microcode updates (as well as
several others) in the release.
* source: remove superseded upstream data file: 20171117
* README.Debian, copyright: update download URLs (closes: #886368)

-- Henrique de Moraes Holschuh <hmh@debian.org> Wed, 10 Jan 2018 00:23:44 -0200

J'ai moi même eu des reboot intempestif sur des serveurs avec CPU fortement chargé suite à la mise à jour du Micro-code.

Ubuntu fais machine arrière et remet la précédente version :

alain_p · « **Réponse #86 le:** 24 janvier 2018 à 22:08:12 »

Dell a aussi retiré des mises à jour de BIOS de Janvier pour remettre les anciennes.

https://www.bleepingcomputer.com/news/security/dell-advising-all-customers-to-not-install-spectre-bios-updates/

P.S : et d'ailleurs HP aussi.

vivien · « **Réponse #87 le:** 28 janvier 2018 à 20:42:01 »

Commande sous Linux pour vérifier si le noyau est bien patché contre Meltdown :

cat /boot/config-`uname -r` | egrep "CONFIG_PAGE_TABLE_ISOLATION"

Vous devez obtenir CONFIG_PAGE_TABLE_ISOLATION=y

Pour en savoir plus sur KPTI : Kernel page-table isolation

Thornhill · « **Réponse #88 le:** 28 janvier 2018 à 21:34:57 »

Citation de: alain_p le 24 janvier 2018 à 22:08:12

Dell a aussi retiré des mises à jour de BIOS de Janvier pour remettre les anciennes.

Oracle itou.
D'ailleurs Intel a identifié la cause des reboots et fait tester aux OEM de nouveaux firmwares :
https://newsroom.intel.com/news/root-cause-of-reboot-issue-identified-updated-guidance-for-customers-and-partners/

jack · « **Réponse #89 le:** 28 janvier 2018 à 22:31:37 »

Pour ceux qui ont un kernel récent:

Citation de: Greg Kroah-Hartman

11% [jack:~]grep . /sys/devices/system/cpu/vulnerabilities/*
/sys/devices/system/cpu/vulnerabilities/meltdown:Mitigation: PTI
/sys/devices/system/cpu/vulnerabilities/spectre_v1:Vulnerable
/sys/devices/system/cpu/vulnerabilities/spectre_v2:Vulnerable: Minimal generic A M retpoline

vivien · « **Réponse #90 le:** 10 février 2018 à 15:01:27 »

Voici l'état d’avancement des correctifs Intel : (document au format PDF)

Bon point : Intel a prévu de sortir des correctifs sur presque tous les CPU commercialisés depuis 10ans. J'ai noté l'absence de certains Xeon haut de gamme dans le document, je ne m'explique pas pourquoi.

Voici un résumé en indiquant le N° de la génération : (si vous avez un i3-4150, la génération est indiquée par le chiffre juste après le tiret, ici 4ème génération)
- micro-architecture NetBurst (Pentium 4 / D et dérivés) : Pas de correctif prévu
- Merom => Gen -3 (65nm / juillet 2006) : Pas de correctif prévu
- Penryn => Gen -2 (45nm / novembre 2007) : Correctifs planifiés, sauf pour les Xeon Dunnington
- Nehalem => Gen -1 (45nm / novembre 2008) : Correctifs planifiés, sauf pour les Xeon Gainestown et Beckton
- Westmere => Gen1 (32nm / janvier 2010) : Correctifs planifiés, sauf pour les Xeon Eagleton
- Sandy-Bridge => Gen2 (32nm / janvier 2011) : Corretifs en Pre-Beta
- Ivy-Bridge => Gen3 (22nm / avril 2012) : Corretifs en Pre-Beta (ou Beta pour certains Xeon)
- Haswell => Gen4 (22nm / juin 2013) : Correctifs planifiés / Pre-Beta / Beta en fonctiondu CPU
- Broadwell => Gen5 (14nm / septembre 2014) : Corretifs en Pre-Beta (cpu mobile+Xeon) ou Beta (cpu fixe)
- Skylake => Gen6 (14nm / août 2015) : Correctifs en prod sauf pour Core-i9 et Xeon qui sont en Beta
- Kaby-Lake => Gen7 (14nm / août 2016) : Correctifs en Beta
- Kaby Lake Refresh / Coffee Lake => Gen8 (14nm / octobre 2017) : Correctifs en Beta
- Cannonlake => Gen9 (10nm / second semestre 2018) : Correctifs intégrés dans le silicium

Je n'a pas parlé des Atom, mais ils semblent avoir presque tous leur correctifs en prod.

Les dates indiquées sont celles de la sortie de la première puce. Aujourd'hui en 2018, les PC portables sont commercialisés avec des puces de 6ème, 7ème et 8ème génération.

Intel à compliqué les choses avec du Kaby Lake Refresh et du Coffee Lake qui désignent tous les deux la 8ème génération.

Free_me · « **Réponse #91 le:** 21 mars 2018 à 16:32:46 »

du coup c'est quand qu'Intel nous sors des processeurs patchés physiquement ??

vivien · « **Réponse #92 le:** 23 avril 2018 à 21:31:00 »

C'est au second semestre que sortira les premiers CPU corrigés physiquement (de nouveaux modèles, tous les modèles actuels de 8ème génération seront encore commercialisés et non corrigés)

Les correctifs sont vraiment complexes, après Intel qui retire ses micro-code, ceux fournis en avril entraînent des bug et nécessitent une nouvelle mise à jour du kernel : (mise à jour proposée aujourd'hui depuis 16h12)

hwti · « **Réponse #93 le:** 24 avril 2018 à 22:44:19 »

Citation de: vivien le 23 avril 2018 à 21:31:00

C'est au second semestre que sortira les premiers CPU corrigés physiquement (de nouveaux modèles, tous les modèles actuels de 8ème génération seront encore commercialisés et non corrigés)

Corrigés physiquement pour Meltdown, peut-être.

Pour Spectre, ils auront au moins l'équivalent des microcodes patchés intégré d'origine, et peut-être des changements pour que l'utilisation de ces instructions soit moins pénalisante.
Il n'est pas possible de corriger Spectre dans un CPU, c'est-à-dire de corriger la faille sans aucune modification dans les programmes (à part totalement désactiver l'exécution spéculative, ce qui est impensable).
Par exemple, il n'y a aucune séparation entre le code d'un navigateur et le code généré par le compilateur JIT utilisé pour le JavaScript. Le CPU ne peut donc pas empêcher les effets de bord, sauf à retenir toutes les modifications des différents caches (L1, L2, L3, TLB, prédicteur de branchement, ...) pour pouvoir défaire tous les changements apportés par les instructions d'une branche mal prédite, ce qui serait très difficile et coûteux.

Thornhill · « **Réponse #94 le:** 08 mai 2018 à 14:58:56 »

Oracle a publié les résultats des patchs (microcode & kernel) de mitigation de Spectre sur les derniers CPU SPARC (S7 / M7 / M8).
Evidemment, l'impact n'est pas négligeable.

vivien · « **Réponse #95 le:** 08 mai 2018 à 15:05:36 »

Spectre-NG : Spectre de retour, 8 nouvelles vulnérabilités dont 4 critiques

Intel n'a pas encore terminé son travail de micro-code pour atténuer Spectre que voici Spectre-NG :

Le site allemand Heise rapporte que des chercheurs ont trouvés huit nouvelles vulnérabilités sur les processeurs Intel. Nommées Spectre-NG (Next Generation) elles seraient assez similaires à celles découvertes en début d’année et quatre d’entre elles présenteraient un risque de sécurité critique. Peu de détails ont été divulgués, mais Intel, Microsoft et Linux travaillent déjà sur des corrections. La première vague de patches devrait débarquer en fin de mois, tandis que la deuxième est attendue pour Août.

Encore plus dangereux que Spectre ?

Ces nouvelles vulnérabilités sont essentiellement des variantes de Spectre et peuvent être exploitées sur un système invité (host) via machine virtuelle (VM). Cependant, l’une de ces failles serait jugée bien plus dangereuse que ce que l’on a pu voir précédemment, car elle simplifierait grandement les attaques intersystème (ou multi plateforme). Les mots de passes et clés d’accès seraient les éléments les plus en risque, particulièrement sur des machines utilisant des services sur le cloud.

Pour les utilisateurs moyens, le risque de sécurité est assez bas, puisque c’est surtout les serveurs qui sont concernés. En revanche, il sera intéressant de surveiller l’impact que les patchs auront sur nos machines. Espérons que les performances ne soient pas affectées.

Notez que pour l’instant la recherche n’a été effectuée que sur les processeurs Intel, Heise note que certains CPU ARM pourraient être affectés et que plus d’informations sont nécessaires pour savoir si AMD est épargné.

Source : tom's Hardware par Paco Berdah 4 mai 2018

Auteur Sujet: Spectre et Meltdown: Grave problème de design des CPU Intel depuis 10ans (Lu 36725 fois)

vivien

Grave probleme de design des CPU intel depuis 10ans

vivien

Grave probleme de design des CPU intel depuis 10ans

alain_p

Grave probleme de design des CPU intel depuis 10ans

vivien

Grave probleme de design des CPU intel depuis 10ans

Thornhill

Grave probleme de design des CPU intel depuis 10ans

jack

Grave probleme de design des CPU intel depuis 10ans

vivien

Grave probleme de design des CPU intel depuis 10ans

Free_me

Grave probleme de design des CPU intel depuis 10ans

vivien

Grave probleme de design des CPU intel depuis 10ans

hwti

Grave probleme de design des CPU intel depuis 10ans

Thornhill

Grave probleme de design des CPU intel depuis 10ans

vivien

Grave probleme de design des CPU intel depuis 10ans