Forum |  HardWare.fr | News | Articles | PC | Prix | S'identifier | S'inscrire | Aide | Shop Recherche
933 connectés 

 



 Mot :   Pseudo :  
 
 Page :   1  2  3  4
Page Suivante
Auteur Sujet :

Meltdown et Spectre

n°152939
mooms
\(^o^)/
Posté le 21-03-2018 à 15:05:55  profilanswer
 

Reprise du message précédent :
Je ne vois ce que ça a de saugrenu, ça pourrait protéger les VM sans protéger l'hôte via un patch du CPU virtuel.


---------------
Le Livre de Vie
mood
Publicité
Posté le 21-03-2018 à 15:05:55  profilanswer
 

n°152948
dims
if it ain't brocken, mod it !
Posté le 21-03-2018 à 19:44:54  profilanswer
 

Je@nb a écrit :

des firmware intel pour des vm ça va pas servir à grand chose.


bah si !
ça permettra par exemple de présenter a l'OS les bonnes instructions pour protéger a l'intérieur de chaque VM...
 
un peu comme si tu mettais a jour le BIOS sur un serveur physique ;)

n°152950
Je@nb
Modérateur
In ze cloud
Posté le 21-03-2018 à 20:11:27  profilanswer
 

Non mais la faille elle est dans le cpu hein. vm ou pas les instructions cpu s'exécutent dessus. Y a rien de virtuel à patcher ça a pas de sens

n°152951
ShonGail
En phase de calmitude ...
Posté le 21-03-2018 à 20:19:52  profilanswer
 

Non mais effectivement dans le cas des hyperviseurs, ce sont ces derniers qui doivent patcher le CPU puisque ce sont eux qui y ont accès :o

n°152952
mooms
\(^o^)/
Posté le 21-03-2018 à 21:46:55  profilanswer
 

Je@nb a écrit :

Non mais la faille elle est dans le cpu hein. vm ou pas les instructions cpu s'exécutent dessus. Y a rien de virtuel à patcher ça a pas de sens


 
La faille est hardware, mais les patchs sont logiciels à ce que je sache (oui, même le microcode c'est du logiciel, et de toute façon il faut toujours que l'OS soit patché pour être protégé), et, pour le sujet du jour, je ne vois pas pourquoi les VM ne pourraient pas présenter un CPU virtuel "non vulnérable" à l'hôte (et donc protéger un CPU réel non patché).


---------------
Le Livre de Vie
n°153020
dims
if it ain't brocken, mod it !
Posté le 25-03-2018 à 22:41:57  profilanswer
 

petit retour sur la machine de test après quelques jours.....
 
donc merci VMware pour le patch microcode, vu que maintenant la VM est protégée spectreV2  
(quoi qu'en dise Je@nb le firmware est aussi pour les VM, pas que pour l'hôte ;) c'est d'ailleurs indiqué dans le KB VMWare)
 
pas d'instabilité notable.
(machine de test installée depuis 4 jours, donc faut pas prendre ça pour argent comptant)
 
par contre, une petite surprise, un W2016 a jour n'est pas par défaut protégé pour meltdown et spectre, il faut mettre les clef en BDR (AV defender de base installé et activé)
un 2012 R2 dans les mêmes conditions l'est par défaut.
 
j'ai pas cherché plus loin, c'est pt 'être normal et documenté

n°153022
Je@nb
Modérateur
In ze cloud
Posté le 26-03-2018 à 09:44:23  profilanswer
 

Si tu upgrades le microcode du processeur, bah oui ça va protéger tout ce qu'il est exécuté sur le processeur, dont la VM ...

n°153206
dims
if it ain't brocken, mod it !
Posté le 04-04-2018 à 09:33:31  profilanswer
 

la machine est passée en PROD hier.
RAS.
 
d'autres ont testé cette nouvelle version ?

n°153207
mooms
\(^o^)/
Posté le 04-04-2018 à 10:28:09  profilanswer
 

Il y a un BIOS pour ma CM avec les nouveaux microcodes, mais je ne l'ai pas encore flashé


---------------
Le Livre de Vie
n°153242
Cutter
Posté le 06-04-2018 à 13:20:17  profilanswer
 

Le microcode est flashé directement sur le CPU, ou c'est une partie de l'OS?


---------------
last.fm
mood
Publicité
Posté le 06-04-2018 à 13:20:17  profilanswer
 

n°153244
mooms
\(^o^)/
Posté le 06-04-2018 à 15:32:07  profilanswer
 

Un CPU ne peut pas être flashé, il aura toujours le microcode d'origine, mais ce dernier peut être mis à jour (temporairement, ça ne survit pas à un  démarrage) via le BIOS ou l'OS.  
La méthode BIOS est évidemment préférable puisque le microcode à jour sera chargé quel que soit l'OS.


---------------
Le Livre de Vie
n°153731
dims
if it ain't brocken, mod it !
Posté le 03-05-2018 à 08:14:23  profilanswer
 

yen a encore qui s'intéressent a ça ?

 

mes constations a l'heure actuelle:

 

il y a des patch linux pour les noyaux 3.16+ et 4.9+ qui ont été publiés assez récemment qui bouchent les failles spectre même sur du matériel non patché (cpu trop vieux) en utilisant reptoline

 

niveau meltdown, les patch pour Windows/linux sont dispo depuis le début de l'année

 

les patch spectre sur Windows sont dispo mais nécessitent d'avoir un hardware patché (donc récent)

 

attention sous Windows a vérifier que les patch sont activés (sous Windows server, ce n'est pas le cas par défaut)

 

intel/amd ont sorti (sort encore régulièrement pour intel) des microcode pour les CPU récents
intel a stoppé la dev de nouveaux firmware pour les anciens CPU.
liste dispo ici de ce qui a été patché et ne sera pas patché: https://newsroom.intel.com/wp-conte [...] idance.pdf
AMD a fourni des microcode pour tout ce qui est post Bulldozer (2011)

 


donc en gros, meltdown OK partout

 

spectre OK sous linux

 

spectre OK sous Windows si matériel OK

 

spectre KO sous Windows si matériel non patché et il n'y a pas/n'aura pas de moyen de boucher autrement (de ce que j'ai compris, ils n'implémenteront pas reptoline)


Message édité par dims le 03-05-2018 à 08:29:36
n°153737
ledufakade​my
Esprit libre
Posté le 03-05-2018 à 11:06:37  profilanswer
 

... jusqu'à la prochaine (faille sur hyperviseur, cpu , firmware etc )que l'on vous dévoilera que dans 1 an ou 2 ? ...
lol la sécurité info.

n°153739
dims
if it ain't brocken, mod it !
Posté le 03-05-2018 à 12:17:17  profilanswer
 

ledufakademy a écrit :

que l'on vous dévoilera que dans 1 an ou 2 ? ...


beaucoup moins que ça a priori...
https://www.tomshardware.com/news/a [...] 36656.html

n°153740
ShonGail
En phase de calmitude ...
Posté le 03-05-2018 à 12:29:02  profilanswer
 

La sécurité ce n'est pas l'absence de risques ou de failles, c'est leur gestion.

n°153741
mooms
\(^o^)/
Posté le 03-05-2018 à 13:27:23  profilanswer
 


Non mais c'était surtout du FUD pour faire baisser le cours des actions AMD, rien à voir niveau gravité avec Spectre et surtout Meltdown, HFR a même fait un article dessus...il faut se renseigner un minimum.
edit:
https://www.hardware.fr/news/15366/ [...] ryzen.html
et
https://www.hardware.fr/news/15371/ [...] -labs.html


Message édité par mooms le 03-05-2018 à 13:31:02

---------------
Le Livre de Vie
n°153742
dims
if it ain't brocken, mod it !
Posté le 03-05-2018 à 13:43:21  profilanswer
 

j'ai pas dit le contraire ;)

n°153743
mooms
\(^o^)/
Posté le 03-05-2018 à 13:45:24  profilanswer
 

dims a écrit :

j'ai pas dit le contraire ;)


Mais tu l'a laissé sous-entendre  ;)


---------------
Le Livre de Vie
n°153841
ledufakade​my
Esprit libre
Posté le 14-05-2018 à 15:05:22  profilanswer
 

ShonGail a écrit :

La sécurité ce n'est pas l'absence de risques ou de failles, c'est leur gestion.


C'est surtout un boulot d’escrocs , vendeur de rêve ... qui promet le confort d'être en sécurité qui n'existe pas et n'existera jamais ! (cela me fait penser au assurances ... aussi !)
 :lol:

n°153855
ShonGail
En phase de calmitude ...
Posté le 14-05-2018 à 20:54:15  profilanswer
 

ledufakademy a écrit :


C'est surtout un boulot d’escrocs , vendeur de rêve ... qui promet le confort d'être en sécurité qui n'existe pas et n'existera jamais ! (cela me fait penser au assurances ... aussi !)
 :lol:


 
je trouve rarement tes interventions justes et constructives.

n°153880
ledufakade​my
Esprit libre
Posté le 15-05-2018 à 16:21:49  profilanswer
 

ShonGail a écrit :


 
je trouve rarement tes interventions justes et constructives.


Quant tu auras bosser plus de 30 sur les parties techniques du métiers et plus de 10 ans dans la sécurité informatique je pense que tu regarderas le secteur de la sécurité d'un autre œil : on appelle cela l'expérience.
Après libre à toi de construire une forteresse sur des fondations en sable ... et surtout des intentions qui, au plus haut niveau, sont de jouer avec "toi".

n°153884
ShonGail
En phase de calmitude ...
Posté le 15-05-2018 à 19:15:28  profilanswer
 

Ouais OK

n°154454
dims
if it ain't brocken, mod it !
Posté le 10-06-2018 à 16:44:56  profilanswer
 
n°154707
xcomm
Posté le 22-06-2018 à 22:03:46  profilanswer
 

Oui, celle ci, je commence à avoir les correctifs de la faille Spectre variant 4, mais pour moi, ce n'est pas très claire sur l'activation et sa mise en œuvre.
 
But unlike Intel's updates for variant 2, the updates for Spectre variant 4, which is rated as a 'moderate'-severity issue and closely related to Spectre variant 1, will be optional and will by-default set to off. In this state, there is no impact on performance.
 
https://www.zdnet.com/article/new-s [...] rns-intel/
 
Il est question d'un switch ON / OFF, selon que la machine soit connectée à un réseau ou complètement isolée avec un risque de compromission plus faible où l'on pourrait laisser le dit curseur sur OFF.
 
Sauf que je n'ai pas vu de curseur d'activation / désactivation (sauf erreur de ma part) sur un poste utilisateur en Core i7 mis à jour. Ce curseur ne serait-il disponible que sur les serveurs ?
 
Microsoft a sorti le 14/6 un script Power Shell maintenant version 1.0.8 prenant en compte ce qui est aussi appelé SSBD (Speculative Store Bypass Disable) :
https://gallery.technet.microsoft.c [...] l-e36f0050
 
J'ai exécuté chacune des lignes indiquées dans le tableau encadré, mais actuellement, je n'ai pas de machine avec mise à jour du CPU contre ces failles, pour pouvoir être plus précis.
[EDIT le 24/6/2018] Les explications du scripts :
https://support.microsoft.com/en-in [...] powershell
 
La mise à jour du guide de Microsoft du 12 juin avec l'ajout de la partie Speculative Store Bypass Disable (SSBD) des processeurs Intel :
https://portal.msrc.microsoft.com/e [...] /ADV180012
 
En parlant de nouvelles vulnérabilités découvertes, il y a celle-ci :
https://www.cyberus-technology.de/
https://www.intel.com/content/www/u [...] 00145.html
 
[EDIT le 25/6/2018] Je vais faire un petit résumé :
Prérequis : Firmware du constructeur avec la dernière version de BIOS / UEFI bénéficiant des dernières corrections de CPU Intel contre spectre v4. (Pour information, le PDF de révision de CPU et de correctif à appliquer initialisé par Intel n'est plus maintenu, et il faut donc une révision supérieure à ce qui est écrit dans le document qui n'inclut pas pour le moment les nouvelles révisions pour les corrections de vulnérabilité contre Spectre v4).
- Dernier moteur d'antivirus.
- Derniers correctifs Microsoft Windows 10. (exemples cités et testé avec le kernel 1803)
 
Mais ça ne suffit pas.  
Il reste une dernière étape pour activer la correction des vulnérabilités.
 
Enable mitigations around Speculative Store Bypass (CVE-2018-3639) together with mitigations around Spectre Variant 2 (CVE-2017-5715) and Meltdown (CVE-2017-5754) through the following registry settings (because they are not enabled by default).
 
Ajouter les 2 changements de registre avec les droits administrateur, et redémarrer la machine pour prise en compte.
 

Citation :

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f
 
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f


 
https://support.microsoft.com/en-us [...] ilities-in
 
Le lancement du scripte Power Shell nous montre maintenant le champ SSBDWindowsSupportEnabledSystemWide qui passe maintenant de False à True.
 
PS : Je n'ai pas encore testé le script Microsoft sur CPU AMD.
Je n'ai pas testé sur machine Linux.
 
[EDIT le 19/8/2018]
Intel vient d'annoncer une nouvelle faille nommée "L1 Terminal Fault" (L1TF). Cette faille concerne les CPU Intel Core et Intel Xeon.
https://software.intel.com/security [...] inal-fault
https://www.intel.com/content/www/u [...] 00161.html
 
Concernant les postes utilisateurs, Microsoft continue de préconiser l'utilisation et le mise en œuvre de la protection et l'isolation du kernel par la virtualisation (Virtualization Based Security (VBS)) :
Windows Virtualization Based Security (VBS) is foundational to Windows 10 security. All VBS features including Hypervisor-enforced Code Integrity (HVCI) and VBS enclaves depend on confidentiality to maintain a strong security boundary. The L1TF vulnerability introduces risk that the confidentiality of VBS secrets could be compromised via a side-channel attack when Hyper-Threading (HT) is enabled, weakening the security boundary provided by VBS. Even with this increased risk, VBS still provides valuable security benefits and mitigates a range of attacks with HT enabled. Hence, we recommend that VBS continue to be used on HT-enabled systems. Customers who want to eliminate the potential risk of the L1TF vulnerability on the confidentiality of VBS should consider disabling HT to mitigate this additional risk.
 
Windows client operating system users who are using Hyper-V for the security guarantees provided by VM isolation should disable HT to protect against L1TF

 
Pour se prémunir totalement de cette nouvelle faille découverte, voici ce qu'il convient de réaliser pour les postes utilisateurs Windows 10 que je traite ici. Il conviendra d'analyser ce que les autres OS sont en mesure de couvrir, et particulièrement côté serveur Linux et hyperviseurs par exemple :
1 : Installation of Windows Security updates.
2 : Installation of firmware updates provided by the device’s OEM. (Normalement déjà réalisé par le firmware traitant les vulnérabilités de spectre V4)
3 : Disabling Hyper-Threading

 
https://portal.msrc.microsoft.com/e [...] /adv180018
 
Le script PowerShell de Microsoft permettant de voir l'état du poste utilisateur vient de passer en version 1.0.9 et maintenant en version 1.0.10.
https://gallery.technet.microsoft.c [...] l-e36f0050
 
L'explication du script est disponible ici :
https://support.microsoft.com/en-in [...] nMID=24542
 
De son côté, Intel a fait une communication concernant les impacts pour rassurer tout le monde :
https://www.intel.com/content/www/u [...] /l1tf.html


Message édité par xcomm le 19-08-2018 à 16:51:31
n°155863
xcomm
Posté le 19-08-2018 à 16:58:11  profilanswer
 
n°158647
xcomm
Posté le 14-11-2018 à 21:28:51  profilanswer
 

Microsoft vient de mettre à disposition le KB4467708
https://support.microsoft.com/en-us [...] -kb4467708
 
Provides protections against an additional subclass of speculative execution side-channel vulnerability known as Speculative Store Bypass (CVE-2018-3639) for AMD-based computers. These protections aren't enabled by default
 
Il convient ensuite d'activer ces protections comme indiqué ci-dessous :
https://support.microsoft.com/en-us [...] ilities-in
 
To enable mitigations for CVE-2018-3639 (Speculative Store Bypass), CVE-2017-5715 (Spectre Variant 2) and CVE-2017-5754 (Meltdown):
 
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f
 
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
 
Restart the computer for the changes to take effect.

 

Citation :

Enable user-to-kernel protection on AMD processors together with other protections for CVE 2017-5715 and protections for CVE-2018-3639 (Speculative Store Bypass):
 
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f
 
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
 
Restart the computer for the changes to take effect.


 
Le script Microsoft (Speculation Control Validation PowerShell Script) actuellement en version 1.0.11 nous permet de vérifier le changement avant / après activation du correctif et reboot de la machine.
https://gallery.technet.microsoft.c [...] l-e36f0050


Message édité par xcomm le 18-01-2019 à 20:22:57
n°158648
mooms
\(^o^)/
Posté le 14-11-2018 à 21:37:42  profilanswer
 

Et pour Win7 ?


---------------
Le Livre de Vie
n°158649
Hermes le ​Messager
Breton Quiétiste
Posté le 14-11-2018 à 21:49:01  profilanswer
 

mooms a écrit :

Et pour Win7 ?


 
Le support mainstream de Windows 7 a expiré.

n°158651
mooms
\(^o^)/
Posté le 14-11-2018 à 22:55:11  profilanswer
 

Mais les failles de sécurité sont toujours corrigées jusqu'en 2020.


---------------
Le Livre de Vie
n°158653
xcomm
Posté le 14-11-2018 à 23:59:22  profilanswer
 

Oui, en théorie, mais pas de façon tip-top déjà, lorsque j'en avais encore à gérer.  
Windows 7 SP1 est indiqué en haut de cette page, donc il doit y avoir un minimum de fait, j'imagine :
https://support.microsoft.com/en-us [...] ities-prot

n°163085
dims
if it ain't brocken, mod it !
Posté le 15-05-2019 à 07:47:26  profilanswer
 
n°163093
billy06
Posté le 15-05-2019 à 11:33:36  profilanswer
 

Oui, c'est rien. Avec toutes les mitigations, on doit bien en être à -15% de perf sur les serveurs, mais les bénef d'Intel vont bien. Intel (et AMD) remboursent ? A quand la class action ?
Bref, monter des serveurs ARM (enfin, si la sécurité est importante pour vous)

n°163102
mooms
\(^o^)/
Posté le 15-05-2019 à 13:21:16  profilanswer
 

La seule façon de réellement se protéger est de désactiver l'HT, Apple annonce -40% de perf  !
 
Comme je l'ai lu sur HN, avec ces nouvelles failles et celles de l'année dernière, on a bien du perdre deux générations de CPU, voire trois niveau performances.
 
Bon après il faut relativiser: le risque principal pour quelqu'un qui n'exécute pas n'importe-quoi sur son PC (sinon le problème n'est pas vraiment ces failles) c'est le Javascript dans les navigateurs.
Bloquer le Javascript tiers est déjà une bonne habitude, d'autant que la plupart des sites fonctionnent toujours (ou alors il suffit d'autoriser un second domaine).


---------------
Le Livre de Vie
n°163104
dims
if it ain't brocken, mod it !
Posté le 15-05-2019 à 14:38:01  profilanswer
 

mooms a écrit :

La seule façon de réellement se protéger est de désactiver l'HT, Apple annonce -40% de perf  !


ça suffit apparemment pas ;)
 
https://www.cyberus-technology.de/p [...] eload.html
 

Citation :

Even without Hyperthreading, it is possible to leak data out of other protection domains. During experimentation it turned out, that ZombieLoad leaks endure serializing instructions. Such leaks do however work with lower probability and are harder to obtain.
[…]
Even with Hyperthreading disabled, ZombieLoad allows to leak data from other protection domains on the same logical core. If a faulty read leaks data during transient execution, this data may also originate from kernel space. Such an attack would be mounted after transitions between kernel space and user space, e.g., return paths from system calls.
Attacks of this class are much harder to mount because the return paths from such other protection domains to the user space/VM are less likely to leak interesting values. One reason for this are serializing instructions which do not prevent leakage in general, but reduce the amount of leaking memory.
In order to trigger leaks from interesting memory addresses, the attacker could combine the use of Spectre-style gadgets prior to mounting a ZombieLoad attack. Such gadgets may be hard to find on the return paths to user space/VM. They could, however, be deliberately installed in proprietary software in order to provide backdoors, and would be very hard to detect.
[…]
disabling Hyperthreading completely represents the safest mitigation. This does not, however, close the door on attacks on system call return paths that leak data from kernel space to user space.


 
pour les perfs, oui, évidement, désactiver l'HT va laisser des traces :D

n°163105
mooms
\(^o^)/
Posté le 15-05-2019 à 14:39:47  profilanswer
 

Vendez vos actions Intel et achetez du AMD :o


---------------
Le Livre de Vie
n°163117
xcomm
Posté le 15-05-2019 à 20:22:48  profilanswer
 


Effectivement. J'ai activé les clefs de registre demandées par Microsoft sur cette page (with Hyper-Threading disabled), puis après redémarrage, fais un test avec le nouveau script PowerShell " SpeculationControl 1.0.13 ".
 
https://www.powershellgallery.com/p [...] rol/1.0.13
Résultat : Atténuations MDS installées, CPU vulnérable, mais activation des atténuations OS : FALSE.
 
Ça craint, même si le VBS est activé.
 
Avez-vous pu commencer vos tests ?
 
[EDIT] : et aussi plein d'autres annoncées par ailleurs :
https://www.intel.com/content/www/u [...] 00213.html


Message édité par xcomm le 15-05-2019 à 21:48:05
n°163118
dims
if it ain't brocken, mod it !
Posté le 15-05-2019 à 23:23:42  profilanswer
 

idem sur les clients ou j'ai testé (avec HT activé de mon coté)

mood
Publicité
Posté le   profilanswer
 

 Page :   1  2  3  4
Page Suivante

Aller à :
Ajouter une réponse
 

Sujets relatifs
Plus de sujets relatifs à : Meltdown et Spectre


Copyright © 1997-2018 Hardware.fr SARL (Signaler un contenu illicite) / Groupe LDLC / Shop HFR