Reprise du message précédent :

 
Merci, j'étais justement en train de regarder les patchs VMware pour nos HPs (CPU Haswell)    
Et y'avait celui qu'ils ne recommendent pas d'appliquer.
 
Pour le moment, ca a pas trop bougé chez nous. En gros, on va avoir 30 jours pour appliquer sur du test et voir en fonction.
Pour la prod dans Azure c'est fait, y'a 1 appliance qui a complétement crashé, support MS etc... 4h de downtime
 
Et on va avoir un paquet de trucs pas supportés... et des archis très hétérogènes. Ca va être fun  

Côté VMWare pour ESXi 6.0 la build à avoir est la 6921384. Si vous êtes en build 7504637 c'est que vous êtes allés trop loin...  
Après si la machine concernée n'est pas en Haswell ou Broadwell, c'est pas bien grave en espérant que VMware gère bien le truc et que le patch installé ne rentre pas en conflit avec le nouveau qui sortira..
 
Un petit article de Lesnums : https://www.lesnumeriques.com/cpu-p [...] 70467.html  
 
Ce serait cool qu'HFR fasse de même.

https://bugs.debian.org/cgi-bin/bug [...] bug=886998

 
Génial, merci bien !!

Ah tiens j'ai un BSOD aujourd'hui sur mon laptop alors que j'ai MAJ le BIOS avant-hier et qu'il contient les correctifs CPU.
J'ai un Haswell
 
Autre point, sans avoir de mesures précises, j'ai franchement l'impression que mon système est carrément moins réactif et le CPU plus au taquet.

Bon j'ai viré le microcode CPU sur mon laptop (Dell E6540 avec i7-4610M, 16Go RAM, SSD et W7) et y'a pas besoin de lancer des benchs.
La différence est flagrante
Rien qu'à l'oreille puisque le ventilo CPU s'excite nettement moins !
Le système a retrouvé du répondant, le CPU est moins sollicité.
Merci Intel

Oui, c'est génial ce truc....On a renoncé à mettre à jour les laptop (dell 6440, 7450, 7470 et 7270...) suite à une recrudescence de bsod sur nos machines de test, et le fait d'avoir l'impression de bosser sur un alienware niveau décibel....
Au delà de ça, le risque réel n'est il pas tout de même relativement faible pour les users bureautiques, sans données confidentielles.....On se pose encore la question niveau serveur (actuellement en vmware 5.5, potentiellement moins affecté comme la patch du 14 sept. a été passé), comme on débute la phase d'externalisation de la salle ce qui n'est pas super light comme projet.... mais je vais encore devoir faire vivre l'infra quelques longs mois. Et pour le moment, pas de ressources à mettre à plein temps dedans.

Pour l'instant on réfléchi encore à patcher ou non, les pdt vont prendre les KB windows mais c'est tout.
 
Pour la partie serveur, on héberge quasiment tout en interne donc on se pose vraiment la question pour les Esxi qui sont en 6.5 et les vm... (env 400 machines)

De mon coté, c'est similaire.
Les postes clients prennent la MAJ M$ ou les MAJ applicatives.
Mais pas de MAJ du BIOS pour l'instant.
 
Coté serveur (vsphere 5.5, Vms 2k8R2->2k16), c'est le statu-quo en attendant d'avoir plus de visu sur la stabilité des correctifs et les pertes de perfs.
 
Il faut espérer pour les hébergeurs qu'ils ont des MAJ plus correctes que celles qu'on a disposition.

 
c'est le même microcode pour tout le monde vu que fourni par intel.
 
donc le bug est présent dans toutes les MAJ qui ont été fournies récemment.
 
d'ailleurs, ça vous choque pas vous que intel ne sorte les MAJ que maintenant alors que ça fait 9 mois qu'ils sont au courant de la faille et auraient pu faire les choses proprement et tranquillement plutôt que clairement dans l'urgence ????
avec le résultat qu'on connaît ????

Bah y'a plusieurs choses qui choquent : la com minimaliste d'Intel, ses tentatives de passer sous silence les problèmes de perfs, les bugs des correctifs, la panade actuelle alors qu'effectivement cela fait a priori plusieurs mois qu'ils connaissaient le problème, le PDG qui vend toutes ses actions y'a deux mois , la nouvelle faille avec AMT  

Je ne comprends pas non plus Intel mais j'imagine que le nouveau mécanisme qu'ils mettent en place via leur µcode ne doit pas être si facile que ça à développer.
Côté hébergeur nous sommes comme tout le monde, on est dépendant d'Intel et des éditeurs. Je trouve juste un peu con que Microsoft ne fasse pas apparaître le patch Meltdown automatiquement sur les serveurs Windows dépourvus d'AV...  
Il faut taper dans la base de registre pour le voir dans Windows update.
 
Côté Linux cela roule avec les nouveaux kernel, il ne faut juste pas télécharger le nouveau µcode.
 
Côté bureautique les pertes de perf restent très limitées, cela se ressent plus sur de la base de données type PGSQL d'après ce que j'ai pu voir comme bench pour l'instant. Cela se ressent également sur les perfs disques, j'ai vu des CrystalDiskMark passer et la baisse de perf sur le dernier test était assez flagrante.
Toute application qui fait beaucoup de Syscall ressent des ralentissements, pour le reste c'est plus contenu.

https://www.numerama.com/tech/32074 [...] seurs.html

 
Oui c'est la version officielle d'Intel. Ce n'est pas ce que disent certains benchs.
 
https://databricks.com/blog/2018/01 [...] cloud.html
https://access.redhat.com/articles/3307751
 
Loin d'être négligeable côté PGSQL : https://www.phoronix.com/scan.php?p [...] 6pti&num=2
 
Cela se ressent également sur certains serveurs de jeux :
https://www.epicgames.com/fortnite/ [...] ity-update
 
En espérant que diverses optimisations puissent réduire l'écart mais en attendant...  

La com d'Intel je n'y crois pas.
Qui plus est ils se limitent à des CPU de 2 ans d'âge maxi.
 
Le mien a 4 ans d'âge et ne devrait pas être considéré obsolète.

la clef est écrite par les AV compatibles avec le patch de janvier
donc si pas de clef, c'est soit pas d'AV soit AV incompatible
et comme les machines sont sensées avoir un AV, je trouve ça assez logique de faire comme ça.

 
C'est une logique qui se comprend mais on est sur du serveur, autre chose à faire que de passer des clés dans la base de registre pour effectuer une mise à jour critique et à fortiori indispensable... Surtout que le comportement n'est pas la même entre les Windows Server et les Windows Desktop et que cela ne facilite pas l'automatisation.
"The Kernel VA shadow feature is currently enabled by default on client versions of Windows and is disabled by default on versions of Windows Server."

Article sur les correctifs Intel qui foutent le souk :
https://www.silicon.fr/spectre-melt [...] 102a8b47f2

 
Merci cela résume simplement la situation.

"souk", c'est en effet le bon mot On dirait que tout le monde s'active dans son coin sans vraiment se consulter...Faut dire que ça touche tout de même un put... de large spectre entre hard et soft.

https://arstechnica.com/gadgets/201 [...] re-patched

Inspectre de GRC permet de vérifier si on est patché et surtout de désactiver les fix Meltdown et Spectre (il faut redémarrer): https://www.grc.com/inspectre.htm
 
Voici ce que ça donne chez moi avec un 6700K, CrystalDiskMark x64 6.0 et un SSD sous Windows 7 x64, (voir détail de ma config dans mon profil):
 
Meltdown off:

 
Meltdown on:

 
 
47% de perfs en moins en écriture 4Ko-Q1T1, et le core 1 à 100% en lecture 4Ko-Q8T8 (il ne dépasse pas les 85% en off).
 

Repris du topic PC grand public :
 

 
Nous on a rien à jour encore, quelqu'un sait si c'est fonctionnel pour des versions serveurs ?

Les MAJ sont pas poussées automatiquement ?
Bloquées sur un WSUS ?

Si si, mais on a pas le go pour aller en prod.

Et comme on a patché que certains ESX (mais pas les bios), je me demandais si c'était suffisant de patcher windows

D'où l'idée d'utiliser le soft mais faut que ça fonctionne sur du win server virtualisé

En ce qui concerne Meltdown le patch Windows pour les pc du bureau est dissimulé dans la mise à jour mensuel  
 
Quand au Microcode Intel ne compte pas les faire pour les CPU de plus de 5 ans.
 
http://www.hardware.fr/news/15341/ [...] haine.html
 
Intel continue d'indiquer qu'il a proposé un microcode pour "90% des CPU Intel introduits ces cinq dernières années" comme s'y était engagé son CEO à l'ouverture du CES. Le communiqué indique cependant qu'Intel a reproduit les problèmes de stabilités rapportés par ses clients, et que contrairement à ce qui était indiqué la semaine dernière, ces problèmes ne sont pas limités à Broadwell et Haswell  
 
Savoir si ils appliquent la même politique pour les Xeons
 

Failles connues depuis 1995
 
https://www.csee.umbc.edu/~younis/P [...] _TSE_2.pdf
 
Si les dates en bas de chaque page est la date du document regarde la date et l’heure qui y figure

Et où dans le doc ils parlent de la faille ?

 
Dans la pratique pour l'instant oui, d'ailleurs sur la génération Sandy Bridge, le patch VMWare incluant le microcode n'a pas eu d'effet.
 

 
Je n'arrive pas bien à savoir. Officilemment ESXi n'est pas vulnérable  Meltdown. Donc je ne comprends pas bien à quoi servent la série de KB de Novembre (on a peu de détails) pour Spectre vu qu'il n'y avait aucun microcode à l'époque. Par contre il recommande quand même de màj les ESXi et APRES les Guest OS. Et pour Spectre VM hardware en version 9 mini est nécessaire.
 
 

https://www.computerworld.com/artic [...] fixes.html

 
Oui j'ai vu ça hier... Enfin c'est ce que disait déjà plus ou moins les constructeurs depuis qu'ils ont constaté des soucis avec le microcode, sauf que via son communiqué, Intel a élargi la liste des processeurs concernés par le bug en plus d'insister sur le fait de ne pas installer le microcode.
Je suis très étonné que Dell laisse à dispo leur BIOS en téléchargement, même avec un avertissement et vu l'impact élargi, autant le retirer..
 
Dans tous les cas on a patché une partie de nos machines (plusieurs dizaines) dès la sortie du BIOS et nous n'avons constaté aucun reboot/impact pour l'instant.

https://blog.qualys.com/news/2018/0 [...] t-exploits

c'est parti !!!! ça va commencer a être marrant

et du coup, les attaques de ce type, est-ce que certains antivirus peuvent maintenant au moins les détecter ou pas ?
edit : et même plus largement, les solutions de protection en général (réseau, pare-feu,proxy etc etc...)

c'est justement les stats des antivirus qui ont remonté l'augmentation de tentatives d'exploit
 
normalement les navigateurs ont été pacthés (si tu es a jour) ce qui va grandement limité les risques.

Ouais enfin si l'attaque est sophistiquée le navigateur ne protégera pas, à moins de bloquer JS.

Techniquement, la faille est même invisible de l'OS...en pratique, les antivirus vont être capables de détecter les vecteurs ou les exploits de façon indirecte.

ok merci pour vos réponses

Bonjour à tous,
par rapport à ces failles et surtout par leur correction, tout est en manuel?Rien ne passe en Windows Update.
 
Car je voudrais éviter de déployer une correction (MAJ) par mon WSUS qui pourrait ralentir les serveurs.
 
 
 

Il faut ajouter une clé de registre de compatibilité pour recevoir les màj depuis janvier.
Elle est normalement rajoutée par ton antivirus si compatible, mais Microsoft, dans sa sagesse et son intelligence infinie, n'a rien prévu pour ceux n'en utilisant pas, il faut alors le faire soi-même (ne pas le faire si tu as un antivirus, car si il ne l'a pas rajouté de lui-même ça signifie qu'il n'est pas compatible):

Format reg:

Format cmd:

 
Il considère qu'un AV fait partie intégrante de Windows depuis que la Microsoft Security Essentials a été intégrée à Windows Defender dès Windows 8 ?