Auteur Sujet: MDS: Nouvelle vague de vulnérabilités d'exécution spéculative dans les CPU Intel  (Lu 17864 fois)

0 Membres et 1 Invité sur ce sujet

hwti

  • Abonné Orange Fibre
  • *
  • Messages: 2 237
  • Chambly (60)
En effet, ces deux EVP combinés ne sont pas implèmentées sans AES-NI, le code SSL semble séparer les deux opérations dans ce cas, ce qui ne peut pas être testé via "openssl speed".

Je suppose qu'on pourrait utiliser openssl s_server et s_client, mais ce n'est pas immédiat (il faut générer un certificat), et on aurait le chiffrement et le déchiffrement en même temps, et donc il faudrait au moins 2 coeurs pour faire un test correct.

vivien

  • Administrateur
  • *
  • Messages: 47 079
    • Twitter LaFibre.info
Les microcodes Intel pour l’atténuation des vulnérabilités d'exécution spéculative MDS qui manquaient lors du dernier patch tuesday sont arrivés :


Marco POLO

  • Abonné Free fibre
  • *
  • Messages: 2 132
  • FTTH 1 Gb/s sur Paris (75)
Et pour Win7 ? 

vivien

  • Administrateur
  • *
  • Messages: 47 079
    • Twitter LaFibre.info
Pour Windows 10, Microsoft va distribuer les microcodes. J'ai par contre un peu de mal a savoir si c'est via une mise à jour de l'UEFI/BIOS via Windows Update qui ne concernerait que certains PC de grande marque ou si c'est comme sous Linux, une distribution de microcodes qui sont installé a chaque démarrage dans le CPU (cette méthode permettant de traiter tous les PC / serveurs).

Pour Windows 7 la situation est claire : il faut mettre à jour soit même son UEFI/BIOS pour être protégé. Microsoft demande "obtenir les mises à jour de microcode pour les périphériques Intel auprès de leur OEM" soit de leur fabriquant de PC.

vivien

  • Administrateur
  • *
  • Messages: 47 079
    • Twitter LaFibre.info
Tests indépendants (Phoronix) montrant l'impact sur les performances de la mitigation MDS : https://www.phoronix.com/scan.php?page=news_item&px=Haswell-Xeon-Zombie-Load-Ref

Marco POLO

  • Abonné Free fibre
  • *
  • Messages: 2 132
  • FTTH 1 Gb/s sur Paris (75)
Citation de: vivien link=topic=37856.msg654791#msg654791 date=1558673731...Pour Windows 7 la situation est claire : [b
il faut mettre à jour soit même son[/b] UEFI/BIOS pour être protégé. Microsoft demande "obtenir les mises à jour de microcode pour les périphériques Intel auprès de leur OEM" soit de leur fabriquant de PC.
Oui mais, comment faire ? 

vivien

  • Administrateur
  • *
  • Messages: 47 079
    • Twitter LaFibre.info
Il faut aller sur le site du fabricant de son PC (ou de sa carte mère si c'est un PC assemblé) et chercher le "support"  puis "Pilotes et téléchargement"

Dell : https://www.dell.com/support/home/fr/fr/frbsdt1
HP : https://support.lenovo.com/fr/fr/
Lenovo : https://support.lenovo.com/fr/fr/
Acer : https://www.acer.com/ac/fr/FR/content/support
Asus : https://www.asus.com/fr/support/
ect...

Il y a coté des drivers une section BIOS ou UEFI et ta va trouver une mise à jour qui date de 2019 qu'il faut installer.

Certains PC récents (par exemple de marque HP) peuvent faire la mise à jour directement depuis le BIOS (il va se connecter à Internet, chercher la mise à jour et l'installer)

Mémoire flash de 8 Mo sur PC Dell :



Marco POLO

  • Abonné Free fibre
  • *
  • Messages: 2 132
  • FTTH 1 Gb/s sur Paris (75)
Il faut aller sur le site du fabricant de son PC (ou de sa carte mère si c'est un PC assemblé) et chercher le "support"  puis "Pilotes et téléchargement"...
Merci pour ta réponse: PC assemblé selon tes conseils avec carte mère MSI > j'y cours de ce pas. 

Edit: Pas de mise à jour sur le site

vivien

  • Administrateur
  • *
  • Messages: 47 079
    • Twitter LaFibre.info
Ah oui...

Ta carte mère a été conçue en 2014 et je vois que moins de deux ans après sa conception il n'y a plus de mise à jour du BIOS (dernière mise à jour février 2016), c'est très très court.
Même du matériel grand public, on a généralement au moins 4 ans de mises à jour.

Exemple : Mon PC est un Dell Inspiron 3847 conçue en 2013 (C'est un PC grnand public entrée de gamme à 400€), j'ai eu deux mises à jour de micro-code en 2018 : 21 février 2018 et 20 juin 2018. La firmware n'est pas sortie immédiatement, il a fallu attendre un a deux mois par rapport à des PC plus récents, mais le firmware est sorti. J’espère avoir celui pour MDS dans les prochaines semaines.
Je trouve ça étonnant que MSI ne fasse aucun suivit, surtout pour une carte mère plutôt sur le haut de gamme.

Je ne parle pas des serveurs où certaines marques font des firmwares pendant 8 ans (je pense au IBM System x x3550 M3 qui a reçu l'année dernière deux mises à jour du BIOS pour mettre à jour le microcode, alors qu'il date de 2011 voir même peut-être avant)

Cela signifie que tu n'as pas eu non plus les précédents correctifs avec les nombreuses failles qui sont sorties en 2018, cf Spectre et Meltdown: Grave problème de design des CPU Intel depuis 10ans. Là aussi une mise à jour du micro-code est nécessaire pour Windows 7 pour être protégé.

Marco POLO

  • Abonné Free fibre
  • *
  • Messages: 2 132
  • FTTH 1 Gb/s sur Paris (75)
Merci pour ces précisions. 

hwti

  • Abonné Orange Fibre
  • *
  • Messages: 2 237
  • Chambly (60)
Pour Windows 10, Microsoft va distribuer les microcodes. J'ai par contre un peu de mal a savoir si c'est via une mise à jour de l'UEFI/BIOS via Windows Update qui ne concernerait que certains PC de grande marque ou si c'est comme sous Linux, une distribution de microcodes qui sont installé a chaque démarrage dans le CPU (cette méthode permettant de traiter tous les PC / serveurs).
Sur mon Sandy Bridge-E (fin 2011), la dernière mise à jour du BIOS (beta) de ma carte mère (Asus P9X79) date de juillet 2014.
J'ai le microcode 0x713 (2018-01-26), donc Windows l'a mis à jour.
Sauf que le dernier est le 0x714 (2018-05-08), et il existe une mise à jour qui est censé le contenir : https://support.microsoft.com/fr-fr/help/4465065/kb4465065-intel-microcode-updates.

Selon https://www.intel.com/content/dam/www/public/us/en/documents/corporate-information/SA00233-microcode-update-guidance_05132019.pdf, il n'y a pas encore de microcode pour les failles MDS.

EDIT: j'ai téléchargé la mise à jour manuellement (http://www.catalog.update.microsoft.com/Search.aspx?q=4465065), windows10.0-kb4465065-v3-x64 datée du 15/02/2019.
=> microcode 0x714

vivien

  • Administrateur
  • *
  • Messages: 47 079
    • Twitter LaFibre.info
Le microcode, quand c'est le système exploitation qui le met à jour, il me semble que c'est non persistant : il faut faire l'opération a chaque reboot

Mon Sandy Bridge plus vieux que le tien a eu sa mise à jour le jour du path thesday sous Linux.

Je pense que la seconde mis à jour de microcode envoyé il y a deux jours sous Ubuntu contient ton microcode.



Comment tu fais pour voir le microcode sous Windows ?

CPU-Z ?