Forum |  HardWare.fr | News | Articles | PC | Prix | S'identifier | S'inscrire | Aide | Shop Recherche
739 connectés 

  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Sécurité

  Meltdown et Spectre

 



 Mot :   Pseudo :  
 
 Page :   1  2  3  4
Page Précédente
Auteur Sujet :

Meltdown et Spectre

n°151177
ShonGail
En phase de calmitude ...
Posté le 08-01-2018 à 11:47:08  profilanswer
 

Bonjour,

 

il existe déjà un topic sur ce sujet mais dans la cat. hardware : https://forum.hardware.fr/forum2.ph [...] st=1026912
Il n'est pas tourné vers les problématiques de ces vulnérabilités pour les PCs/serveurs d'entreprise.

 

Des liens utiles vers ce tremblement de terre niveau sécu :

 

https://meltdownattack.com/
https://www.computerworld.com/artic [...] ry-on.html
https://www.bleepingcomputer.com/ne [...] cpu-flaws/
https://support.microsoft.com/en-us [...] -execution
https://www.cert.ssi.gouv.fr/alerte [...] 8-ALE-001/

 

Problème : les correctifs, au delà d'être imparfaits, semblent générer des baisses de performances significatives pour les applications serveurs.

 

Avez-vous déjà des plans d'action face à ces vulnérabilités ?
Pour ma part, les correctifs ont ou vont être poussés automatiquement sur les postes clients. L'antivirus utilisé (Kaspersky Endpoint) ne pose pas problème et a poussé les clés de BDR nécessaires à l'application des MAJ.
Mais concernant les serveurs, je ne pense pas installer les MAJ pour l'instant. je préfère attendre plus d'infos et mener des tests.

 

Avez-vous déjà des retours sur les problèmes de compatibilités mais surtout de performances suite aux correctifs ?


Message édité par ShonGail le 11-01-2018 à 12:09:27
mood
Publicité
Posté le 08-01-2018 à 11:47:08  profilanswer
 

n°151179
maitre ren​ard
Posté le 08-01-2018 à 12:12:17  profilanswer
 

A titre personnel, ce qui m'importe, pour le moment, c'est l'impact sur les serveurs qui est absolument occulte et en particuliers sur les environnements orientés PE ET PME :
-sur windows server 2008 à 2016
-sur la virtualisation (hyper-v et vmware)
-sur SQL server
-sur Exchange
 


Message édité par maitre renard le 08-01-2018 à 12:12:33

---------------
On ne discute pas avec les brouettes, on les pousse...
n°151189
HPIR40
Posté le 08-01-2018 à 15:55:59  profilanswer
 

Pour moi les correctifs vont être installés c'est certain, maintenant quid de la baisse des performances? car j'ai deux serveurs (PME) et ils sont bien occupés sans être en surcharge.
 
Je ne voudrai pas qu'ils passent en surcharge après l'application des correctifs

n°151203
Deejay59
Posté le 09-01-2018 à 09:09:40  profilanswer
 

C'est clair qu'il y a eu très peu de communication dans le monde pro.
Par exemple sur Vmware si on installe les correctifs sur les hyperviseurs, est-il nécessaire aussi d'appliquer les correctifs au niveau des OS des VM?

n°151205
nebulios
Posté le 09-01-2018 à 09:13:17  profilanswer
 

Oui, il faut une mise à jour des firmware, une mise à jour des hôtes et une mise à jour des VM clientes

n°151206
Deejay59
Posté le 09-01-2018 à 09:18:02  profilanswer
 

nebulios a écrit :

Oui, il faut une mise à jour des firmware, une mise à jour des hôtes et une mise à jour des VM clientes


 
Toute la chaîne quoi...
Merci.

n°151217
Samuel14
Posté le 09-01-2018 à 15:45:37  profilanswer
 

Les dernières news VMware :
 
https://kb.vmware.com/s/article/52264
 
Affected Virtual Appliances:
 
•VMware Identity Manager (Workaround KB 52284)
•VMware vCenter Server 6.5
•VMware vCenter Server 6.0

•VMware vSphere Integrated Containers
•VMware vRealize Automation
 
Unaffected Virtual Appliances:
 
•VMware Integrated OpenStack
•VMware NSX for vSphere
•VMware Unified Access Gateway
•VMware vCenter Server 5.5
•VMware vRealize Log Insight
•VMware vRealize Operations
•VMware vRealize Orchestrator
 
 
Le 1er bulletin :
https://www.vmware.com/us/security/ [...] -0002.html
 
Sinon vous avez des infos constructeurs pour de nouveaux firmwares ? je n'ai pas envie de contacter chaque constructeur via leur support...
HPE, Dell, Cisco UCS


Message édité par Samuel14 le 09-01-2018 à 15:54:08
n°151218
dims
if it ain't brocken, mod it !
Posté le 09-01-2018 à 16:21:22  profilanswer
 

perso, ce qui m'inquiète c'est plus la disponibilité des MAJ des firmware sur du materiel un peu vieillot.... a mon avis, ça ne sera jamais bouché sur grand nombre de machines encore en circulation/utilisation aujourd'hui

n°151242
ShonGail
En phase de calmitude ...
Posté le 10-01-2018 à 14:59:02  profilanswer
 

Moi ce qui m'inquiète le plus ce sont les chutes de perfs.
Sans compter qu'au final les serveurs resteront vulnérables puisque seul le remplacement des CPU garantira la totale innocuité face à ces attaques.
 
Pour info, voici de ce qu'en dit M$ pour SQL Server par exemple :

Citation :

Microsoft has measured the impact of Kernel Virtual Address Shadowing (KVAS) on various SQL workloads and found that some workloads experience significant performance degradation. Validate the performance impact of enabling KVAS before deploying into a production environment. If the performance impact of enabling KVAS is too high for an existing application, consider whether isolating SQL Server from untrusted code that is running on the same machine is a better mitigation for the application.


 
https://support.microsoft.com/en-us [...] sql-server

n°151244
ArthurB
Posté le 10-01-2018 à 15:31:52  profilanswer
 

A priori aucune attaque exploitant ces failles n'a été recensée pour le moment, ça semble assez costaud quand même à mettre en oeuvre.
 
Ce qui ne veut pas dire qu'il ne faut rien faire bien sûr.

mood
Publicité
Posté le 10-01-2018 à 15:31:52  profilanswer
 

n°151245
ShonGail
En phase de calmitude ...
Posté le 10-01-2018 à 15:34:28  profilanswer
 

ArthurB a écrit :

A priori aucune attaque exploitant ces failles n'a été recensée pour le moment, ça semble assez costaud quand même à mettre en oeuvre.

 

Ce qui ne veut pas dire qu'il ne faut rien faire bien sûr.

 

uh uh.
Sauf que l'utilisation de ces vulnérabilités ne laisse aucune traces.
Au final, personne ne peut affirmer que depuis qu'elles existent, c'est à dire des décennies, elles n'ont pas été exploitées.

 

Et maintenant qu'elles sont publiques, je n'imagine pas le risque encouru pour les hébergeurs, le "cloud" en général.
D'ailleurs s'ils ont réagit aussi vite, c'est pas pour rien ...


Message édité par ShonGail le 10-01-2018 à 15:34:41
n°151249
ArthurB
Posté le 10-01-2018 à 16:01:24  profilanswer
 

Bien sûr puisque hardware... Mais complexe à mettre en oeuvre, pas trouvé de preuve de concept après 1 semaine de divulgation...
 
Cependant si des mots de passe sont dérobés c'est pour être utilisé, donc si tout l'arsenal de sécurité soft ne bronche pas et que des comptes sont compromis, on saurait, à priori, d'où ça vient. Sauf si ce n'est "que" pour récupérer des informations sans éveiller de soupçon, et là on peut fantasmer sur tout et n'importe quoi... Failles connues depuis des lustres par la CIA/NSA, "obsolescence programmée" par les fondeurs, etc...

n°151252
nebulios
Posté le 10-01-2018 à 17:49:00  profilanswer
 

Tu en veux un autre Maurice ?  [:hansaplast:4]  
On m'a dit que la terre est plate, tu en penses quoi ?

n°151258
dims
if it ain't brocken, mod it !
Posté le 11-01-2018 à 07:14:43  profilanswer
 

ArthurB a écrit :

pas trouvé de preuve de concept après 1 semaine de divulgation...


 
t'as mal cherché ;)
https://gist.github.com/ErikAugust/ [...] 2a9e3d4bb6

n°151274
HPIR40
Posté le 11-01-2018 à 11:51:45  profilanswer
 

:ouch:  :ouch:  :ouch:

n°151276
ShonGail
En phase de calmitude ...
Posté le 11-01-2018 à 12:09:44  profilanswer
 

Le bulletin d'alerte du CERT-FR : https://www.cert.ssi.gouv.fr/alerte [...] 8-ALE-001/

n°151277
dims
if it ain't brocken, mod it !
Posté le 11-01-2018 à 12:13:21  profilanswer
 

@HPIR40: ouais, ça fait peur quand on voit la simplicité de la mise en œuvre !

 

faut relativiser quand même, sur ce POC, il sait quoi  chercher, donc de la à récupérer un mot de passe ou une clef de sécurité qui est stockée on ne sait ou et dont on ne connaît aucune info, ça va être plus dur ;)


Message édité par dims le 11-01-2018 à 12:13:41
n°151278
dims
if it ain't brocken, mod it !
Posté le 11-01-2018 à 12:20:13  profilanswer
 

quelque chose me dit que la liste est loin d'être complète :D
https://security-center.intel.com/a [...] geid=en-fr

n°151283
ShonGail
En phase de calmitude ...
Posté le 11-01-2018 à 13:32:53  profilanswer
 

Pour info : problème dans l'utilisation du shadowing RDS après KB4056890 :
https://social.technet.microsoft.co [...] inserverTS

n°151292
kikidonc
Posté le 11-01-2018 à 17:57:39  profilanswer
 

Ca va être un de ces bordel ce truc...
 
https://docs.ovh.com/fr/dedicated/m [...] ng-system/
 
Tous les editeurs ne sont pas prêts.
Et pire encore, tous les patchs actuels ne suffisent pas.
 
Exemple Redhat :
https://access.redhat.com/security/ [...] eexecution
 
 
Variant 2 can be exploited both locally (within the same OS) and through the virtualization guest boundary. Fixes require CPU microcode/firmware to activate.  Subscribers are advised to contact their hardware OEM to receive the appropriate microcode/firmware for their processor.  
 
En gros, on peut patcher la couche OS, mais la faille étant Hardware, ça va être coton. On upgrade pas vraiment les BIOS/firmware en général.

n°151298
dims
if it ain't brocken, mod it !
Posté le 11-01-2018 à 19:48:48  profilanswer
 

Ya pt'etre une solution pour les cas ou les constructeurs ne fourniraient pas de bios a jour:
https://blogs.vmware.com/vsphere/20 [...] ature.html
 
Par contre, a tester très soigneusement avant !!!!

n°151299
dims
if it ain't brocken, mod it !
Posté le 11-01-2018 à 19:55:41  profilanswer
 

Idem a partir de windows
https://www.win-raid.com/t2649f47-G [...] -BIOS.html

 

Du coup, j'ai pas cherché mais c'est sur que ça doit aussi etre possible sous linux


Message édité par dims le 11-01-2018 à 19:56:30
n°151301
larjungboy
Joli chapeau
Posté le 11-01-2018 à 21:58:16  profilanswer
 

Quid des routeurs et commutateurs ?


---------------
C'est la crise.
n°151302
raviere
Posté le 11-01-2018 à 23:20:32  profilanswer
 

cisco dit pour le moment on s'en fou notre système est fermé :) mais bon ils feront comme les autres ils sortirons les patchs, côté stockage bulletin d'info netapp idem que cisco (en cours d'analyse d'impact mais système fermé), emc² pareil, sur la partie san brocade en cours d'analyse
 
En gros quasi tout le monde est en cours d'analyse ... pour un problème soit disant connu depuis juin 2017...
côté os microsoft par contre c'est très clair , on a des gros impacts en lab sur les versions serveurs donc on attends les prochaines fournées de patchs crosoft
côté linux c'est pas prêt également
 
Côté matos encore chez cisco avec ucs patch dispo logiquement le 18 février 2018 ...  
 
côté juniper idem en cours de qualif
côté f5 (big ip) idem en cours de qualif
 
Sans compter le nombre d'applications comme checkpoint, securemote, les db etc ..... et j'en passes qui sortent également en mode patché
 
bref une année complète de patch party en prévision

n°151303
ShonGail
En phase de calmitude ...
Posté le 12-01-2018 à 07:25:33  profilanswer
 

raviere a écrit :


côté os microsoft par contre c'est très clair , on a des gros impacts en lab sur les versions serveurs donc on attends les prochaines fournées de patchs crosoft
côté linux c'est pas prêt également


 
Tu as des sources la-dessus ? Autre que la com de M$ sur des dégradations concernant SQL Server (lien posté plus haut) ?

n°151304
Samuel14
Posté le 12-01-2018 à 08:03:53  profilanswer
 

raviere a écrit :


Côté matos encore chez cisco avec ucs patch dispo logiquement le 18 février 2018 ...  
 


 
T'as des sources ?
 
EDT : je ne vois pas la date du 18/02 pour les patchs.
 
Quelques infos pour les matériels Cisco UCS.
 
Bulletin Officiel :
https://tools.cisco.com/security/ce [...] idechannel
 
Précisions sur le forum Cisco :
https://communities.cisco.com/commu [...] rabilities
 
Of course, as patches are tested and planned, people want to know the impact of them. Spectre variant 1 and Meltdown operating system patches reportedly have little to no performance impact. Spectre variant 2 - CVE-2017-5715, which requires both operating system as well as processor microcode updates, may have performance impacts. The Cisco UCS team’s testing indicates that CPU and memory constrained workloads don’t have any significant performance impacts. However, IO constrained workloads show a measurable and sometimes significant performance impact. In particular, we are seeing the biggest impact on IO tests to local and SAN-based storage with sequential reads or sequential writes and especially with 4k block size. I’ve heard similar findings from customers and partners this week as well.


Message édité par Samuel14 le 12-01-2018 à 08:15:30
n°151336
raviere
Posté le 13-01-2018 à 11:50:11  profilanswer
 

sur la partie cisco tu a la date de fix prévu dans la bonne colonne , comme tu peux le voir la comm officiel est clair , côté switch c'est monde fermé donc pas affecté et ils font les tests, côté maj des blades ils communiquent une date du 18/02 effectivement
 
pour le pb de dégradation de perf ce sont des tests internes chez ocd (orange cyber defense) et pour le moment toutes nos comm internes nous indiquent de ne pas patcher les os , mais bien de faire toutes les maj hyperviseur.
 
Côté io c'est bien ce qu'on constate également (seq read en 4k fortement impacté environ 30% de baisse, write moins en moyenne 6-7%)

n°151350
rotoutou
Across member
Posté le 14-01-2018 à 16:26:05  profilanswer
 

Plop tous :hello:
 
Je bosse dans une grande boite, avec pas mal de VM, postes clients, tel mobiles, ordi portables, etc. Je participe aux réunions de crise sur ce bordel ...
 
Je vais passer un peu de temps ici, histoire d'avoir un peu d'actu et de prendre un peu d'infos sur ce que font les autres et l'industrie (et les éditeurs).
 
 [:raph0ux:3]


---------------
Reckless inferior depraved repentant ruinous foul-mouthed revered master Rotoutou the great.
n°151355
Je@nb
Modérateur
In ze cloud
Posté le 14-01-2018 à 19:43:43  profilanswer
 

vous faites encore des réunions de crises ? :o
Ici c'est déjà tout patché, pas la peine de se masturber en réunion

n°151356
ShonGail
En phase de calmitude ...
Posté le 14-01-2018 à 20:11:14  profilanswer
 

Je@nb a écrit :

vous faites encore des réunions de crises ? :o
Ici c'est déjà tout patché, pas la peine de se masturber en réunion


 
Tout je ne pense pas :o
 
Même les microcodes CPU ?
 
Et niveau perfs ?

n°151358
Je@nb
Modérateur
In ze cloud
Posté le 14-01-2018 à 20:39:56  profilanswer
 

Tout ce qu'il à patcher et sinon le reste est dans Azure :o

n°151360
rotoutou
Across member
Posté le 14-01-2018 à 22:41:29  profilanswer
 

Je@nb a écrit :

vous faites encore des réunions de crises ? :o
Ici c'est déjà tout patché, pas la peine de se masturber en réunion


 
On commence à avoir des plans d'action, et une bonne vue de ce qu'il faut faire, mais le chantier est énorme ... c'est vraiment un sale coup pour le SI de ma boite ... :(
 
En jours/homme j'imagine même pas à combien ça va monter ...
 
Heureusement pour ma partie on ne gère que quelques boites IBM (virtuelles et physiques - en attente de réponse de l’éditeur) et une centaine de VM ... (dont quelques vieux trucs genre sles10, j'espère que l’éditeur finira par sortir - et si oui, vite - des patchs)


---------------
Reckless inferior depraved repentant ruinous foul-mouthed revered master Rotoutou the great.
n°151361
Je@nb
Modérateur
In ze cloud
Posté le 14-01-2018 à 23:51:33  profilanswer
 

Jours/homme ?  :pfff:

n°151362
ShonGail
En phase de calmitude ...
Posté le 15-01-2018 à 07:26:32  profilanswer
 

Je@nb a écrit :

Tout ce qu'il à patcher et sinon le reste est dans Azure :o


 
Bon soit. Et niveau perf ? Pas d'inquiétudes ? Des premiers retours ?

n°151363
Je@nb
Modérateur
In ze cloud
Posté le 15-01-2018 à 10:09:53  profilanswer
 

Les vm se touchent un peu moins mais rien d'affolant, pas de plaintes

n°151364
rotoutou
Across member
Posté le 15-01-2018 à 10:33:10  profilanswer
 

Je@nb a écrit :

Jours/homme ?  :pfff:


 
jours/hommes pardon
 
Pourquoi le smiley agressif ?


---------------
Reckless inferior depraved repentant ruinous foul-mouthed revered master Rotoutou the great.
n°151376
neuneutrin​o
Posté le 15-01-2018 à 16:20:23  profilanswer
 

Bonjour à tous. Je ne sais pas si quelqu'un en a parlé dans un autre topic mais le microcode fourni par Intel pour la CVE-2017-5715 est semble-t-il bugué avec certains de leur processeurs...
 
VMware a retiré ses mises à jour contenant ledit µcode et Dell a retiré aussi, sans raison apparente au départ, les BIOS pour sa génération 13G de serveurs... Nous avions trouvé cela louche au début mais comme nous n'avions aucune info de Dell et que nous avions déjà installé les BIOS nous n'y avons pas prêté plus attention que ça.
 
Grand mal nous a pris, on se retrouve donc avec des ESXi à jour alors qu'ils ne devraient pas l'être et certains de nos serveurs sont dans la même situation.
 
On a pas voulu se masturber en réunion mais vraisemblablement on est allé un peu vite en besogne.
 
Voici le KB de VMware avec le contournement qui va bien : https://kb.vmware.com/s/article/52345
La petite info de chez Intel : https://newsroom.intel.com/news/int [...] ot-issues/
Dell pour les BIOS : http://www.dell.com/support/articl [...] g-?lang=en
 
En gros ce bug provoque des reboots intempestifs avec les machines équipées de Broadwell et Haswell.
 
Voilà je préfère prévenir ceux qui seraient potentiellement concernés par le soucis avant qu'ils fassent la même erreur nous... ;)
Par contre je ne sais pas si cela concerne aussi les processeurs desktop ni si cela impacte les Linux qui utilisent aussi ce microcode, je suppose que oui mais je n'ai pas trouvé d'info pertinente.

n°151377
Samuel14
Posté le 15-01-2018 à 16:32:52  profilanswer
 

Merci !
On vient de tomber sur la KB en question chez VMware...mais nous n'avons pas eu le temps de patcher vu les différents process client.
https://kb.vmware.com/s/article/52345  

n°151378
neuneutrin​o
Posté le 15-01-2018 à 16:44:37  profilanswer
 

De notre côté on applique le contournement proposé par VMware sur les ESXi trop à jour en attendant un vrai patch.. ;)

n°151379
kikidonc
Posté le 15-01-2018 à 16:58:58  profilanswer
 

neuneutrino a écrit :


Voilà je préfère prévenir ceux qui seraient potentiellement concernés par le soucis avant qu'ils fassent la même erreur nous... ;)
Par contre je ne sais pas si cela concerne aussi les processeurs desktop ni si cela impacte les Linux qui utilisent aussi ce microcode, je suppose que oui mais je n'ai pas trouvé d'info pertinente.


 
Merci, j'étais justement en train de regarder les patchs VMware pour nos HPs (CPU Haswell)  :jap:  
Et y'avait celui qu'ils ne recommendent pas d'appliquer.
 
Pour le moment, ca a pas trop bougé chez nous. En gros, on va avoir 30 jours pour appliquer sur du test et voir en fonction.
Pour la prod dans Azure c'est fait, y'a 1 appliance qui a complétement crashé, support MS etc... 4h de downtime
 
Et on va avoir un paquet de trucs pas supportés... et des archis très hétérogènes. Ca va être fun  :o

mood
Publicité
Posté le   profilanswer
 

 Page :   1  2  3  4
Page Précédente

Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Sécurité

  Meltdown et Spectre

 

Sujets relatifs
Plus de sujets relatifs à : Meltdown et Spectre


Copyright © 1997-2018 Hardware.fr SARL (Signaler un contenu illicite) / Groupe LDLC / Shop HFR