Spectre et Meltdown

3 respostas [Última entrada]
Ker Tris
Desconectado
Joined: 05/27/2016

Bonjour,

Nous avons reçu les mises à jour permettant de combler les failles suivantes :
CVE-2017-5753
CVE-2017-5715
CVE-2017-5754

Je les ai donc installées et j'ai lancé à nouveau le script de vérification (sous GPLv3) que nous pouvons trouver à cette adresse :
https://github.com/speed47/spectre-meltdown-checker/releases

Il suffit de télécharger la dernière version, d'extraire l'archive à l'endroit désiré puis, via l'émulateur de terminal, de se déplacer jusque dans le dossier extrait à l'aide de la commande « cd » (et de la touche « Tabulation ») afin d'exécuter le script (avec les droits d'administrateur).
NB : J'ai eu besoin de redémarrer mon ordinateur pour que le script fonctionne bien.

Cependant, il semble que la mise à jour ne suffise pas pour CVE-2017-5715 : je reste vulnérable. Y a-t-il une manipulation supplémentaire à effectuer pour activer IBRS, IBPB et autres ?

Voici ce qui s'affiche :
~/Bureau/spectre-meltdown-checker-0.33$ sudo sh ./spectre-meltdown-checker.sh
[sudo] password for [nom d'utilisateur]:
Spectre and Meltdown mitigation detection tool v0.33

Checking for vulnerabilities on current system
Kernel is Linux 3.13.0-141-lowlatency #190+7.0trisquel2 SMP PREEMPT Tue Jan 23 23:59:12 UTC 2018 x86_64
CPU is Intel(R) Core(TM)2 Duo CPU P8600 @ 2.40GHz

Hardware check
* Hardware support (CPU microcode) for mitigation techniques
* Indirect Branch Restricted Speculation (IBRS)
* SPEC_CTRL MSR is available: NO
* CPU indicates IBRS capability: NO
* Indirect Branch Prediction Barrier (IBPB)
* PRED_CMD MSR is available: NO
* CPU indicates IBPB capability: NO
* Single Thread Indirect Branch Predictors (STIBP)
* SPEC_CTRL MSR is available: NO
* CPU indicates STIBP capability: NO
* Enhanced IBRS (IBRS_ALL)
* CPU indicates ARCH_CAPABILITIES MSR availability: NO
* ARCH_CAPABILITIES MSR advertises IBRS_ALL capability: NO
* CPU explicitly indicates not being vulnerable to Meltdown (RDCL_NO): UNKNOWN
* CPU microcode is known to cause stability problems: NO
* CPU vulnerability to the three speculative execution attacks variants
* Vulnerable to Variant 1: YES
* Vulnerable to Variant 2: YES
* Vulnerable to Variant 3: YES

CVE-2017-5753 [bounds check bypass] aka 'Spectre Variant 1'
* Checking count of LFENCE opcodes in kernel: YES
> STATUS: NOT VULNERABLE (99 opcodes found, which is >= 70, heuristic to be improved when official patches become available)

CVE-2017-5715 [branch target injection] aka 'Spectre Variant 2'
* Mitigation 1
* Kernel is compiled with IBRS/IBPB support: YES
* Currently enabled features
* IBRS enabled for Kernel space: NO (echo 1 > /proc/sys/kernel/ibrs_enabled)
* IBRS enabled for User space: NO (echo 2 > /proc/sys/kernel/ibrs_enabled)
* IBPB enabled: NO (echo 1 > /proc/sys/kernel/ibpb_enabled)
* Mitigation 2
* Kernel compiled with retpoline option: NO
* Kernel compiled with a retpoline-aware compiler: NO
* Retpoline enabled: NO
> STATUS: VULNERABLE (IBRS hardware + kernel support OR kernel with retpoline are needed to mitigate the vulnerability)

CVE-2017-5754 [rogue data cache load] aka 'Meltdown' aka 'Variant 3'
* Kernel supports Page Table Isolation (PTI): YES
* PTI enabled and active: YES
* Running as a Xen PV DomU: NO
> STATUS: NOT VULNERABLE (PTI mitigates the vulnerability)

A false sense of security is worse than no security at all, see --disclaimer

Merci d'avance pour votre aide !

azafranero
Desconectado
Joined: 05/21/2015

Bonjour

Pas besoin de se compliquer l'existance, quelques commandes suffisent
Va sur ce lien pour voir si tes navigateurs web sont sensibles à Spectre
http://xlab.tencent.com/special/spectre/spectre_check.html
et click to Check

si vulnérable faire la mise à jour

Quel processeur a-on ?
$ grep name /proc/cpuinfo

Pour savoir si Spectre et Meltdown vous concernent, la commande (sur un ordinateur avec mises à jour faites) :

$ cat /proc/cpuinfo | grep bugs

Réponse en Terminal
$ cat /proc/cpuinfo | grep bugs
bugs : cpu_meltdown
bugs : cpu_meltdown
bugs : cpu_meltdown
bugs : cpu_meltdown

Cet exemple concerne un ordinateur vulnérable avec un cpu Intel i5

$ grep cpu_insecure /proc/cpuinfo && echo "patched :)" || echo "unpatched :("

Pour GNU/Linux, cette série de patchs porte le nom de KTPI pour Kernel Page Table Isolation. Elle sera présente dans le noyau 4.15, 4.14.12 et à terme dans toutes les autres versions maintenues de GNU/Linux : kernel-4.4.110. X86_64 et kernel-4.9.75. x86_64

Voir le Kernel installé → En Terminal
$ uname -r
4.14.12

Afin de s'assurer de la présence du mécanisme de sécurité KPTI sur un système utilisant un noyau GNU/Linux il est possible d'exécuter la commande suivante :
$ dmesg | grep 'Kernel/User page tables isolation'

réponse :
$ dmesg | grep 'Kernel/User page tables isolation'
[ 0.000000] Kernel/User page tables isolation: enabled

$ bugs : cpu_insecure
+
[ 0.000000] Kernel/User page tables isolation: enabled
ça veut dire que la faille concerne la cpu mais que le palliatif kpti a bien été appliqué
dans le noyau

$ grep cpu_insecure /proc/cpuinfo && echo "patched :)" || echo "unpatched :("
réponse
$ grep cpu_insecure /proc/cpuinfo && echo "patched :)" || echo "unpatched :("
bugs : cpu_insecure
bugs : cpu_insecure
bugs : cpu_insecure
bugs : cpu_insecure
patched :)

patched = corrigé

cordialement

nmrk.n
Desconectado
Joined: 11/01/2013

Le 30/01/2018 à 16:58,
name at domain a écrit :

name at domain"
id="mid_listhandler_3_site_trisquel_info_nid_23738_pid_0_cid_127286_uid_15983_tid_69_6e427a32b2682de22cc3bbd717244d9b_trisquel_info"
class=" cite">Bonjour

Pas besoin de se compliquer l'existance, quelques commandes
suffisent

Va sur ce lien pour voir si tes navigateurs web sont sensibles  à
Spectre

http://xlab.tencent.com/special/spectre/spectre_check.html

et click to Check

si vulnérable faire la mise à jour

Quel processeur a-on ?

$ grep name /proc/cpuinfo

Pour savoir si Spectre et Meltdown vous concernent, la commande
(sur un ordinateur avec mises à jour faites) :

$ cat /proc/cpuinfo | grep bugs

Réponse en Terminal

$ cat /proc/cpuinfo | grep bugs

bugs        : cpu_meltdown

bugs        : cpu_meltdown

bugs        : cpu_meltdown

bugs        : cpu_meltdown

Cet exemple concerne un ordinateur vulnérable avec un cpu Intel i5

$ grep cpu_insecure /proc/cpuinfo && echo "patched :)" ||
echo "unpatched :("

Pour GNU/Linux, cette série de patchs porte le nom de KTPI pour
Kernel Page Table Isolation. Elle sera présente dans le noyau
4.15, 4.14.12 et à terme dans toutes les autres versions
maintenues de GNU/Linux : kernel-4.4.110. X86_64 et kernel-4.9.75.
x86_64

Voir le Kernel installé → En Terminal

$ uname -r

4.14.12

Afin de s'assurer de la présence du mécanisme de sécurité KPTI sur
un système utilisant un noyau GNU/Linux il est possible d'exécuter
la commande suivante :

$ dmesg | grep 'Kernel/User page tables isolation'

réponse :

$ dmesg | grep 'Kernel/User page tables isolation'

[    0.000000] Kernel/User page tables isolation: enabled

$ bugs : cpu_insecure

+

[   0.000000] Kernel/User page tables isolation: enabled

ça veut dire que la faille concerne la cpu mais que le palliatif
kpti a bien été appliqué

dans le noyau

$ grep cpu_insecure /proc/cpuinfo && echo "patched :)" ||
echo "unpatched :("

réponse

$ grep cpu_insecure /proc/cpuinfo && echo "patched :)" ||
echo "unpatched :("

bugs : cpu_insecure

bugs : cpu_insecure

bugs : cpu_insecure

bugs : cpu_insecure

patched :)

patched = corrigé

cordialement

Windows ou GNU/Linux toute cette affaire est pour moi claire comme
du jus de boudin, je n'y comprends rien ...

Bon courage à tous !

--
nmrk.n

[FSF Associate Member]
name at domain">

Ker Tris
Desconectado
Joined: 05/27/2016

Merci pour ta réponse détaillée !

Pour l'instant, j'ai juste utilisé le lien Tencent, mais je vais faire le reste aussi.

$ Start checking...
$
$ According to our checking
$ Your browser is NOT VULNERABLE to Spectre
$

Pour le lien, autant utiliser le HTTPS, alors voici pour les suivants :
https://xlab.tencent.com/special/spectre/spectre_check.html