Forum |  HardWare.fr | News | Articles | PC | Prix | S'identifier | S'inscrire | Aide | Shop Recherche
1956 connectés 

 



 Mot :   Pseudo :  
 
 Page :   1  2  3  4
Page Suivante
Auteur Sujet :

Meltdown et Spectre

n°152939
mooms
乇乂丅尺卂 丅卄工匚匚
Posté le 21-03-2018 à 15:05:55  profilanswer
 

Reprise du message précédent :
Je ne vois ce que ça a de saugrenu, ça pourrait protéger les VM sans protéger l'hôte via un patch du CPU virtuel.


---------------
Le Livre de Vie | The book of Life | il Libro di Vita
mood
Publicité
Posté le 21-03-2018 à 15:05:55  profilanswer
 

n°152948
dims
if it ain't brocken, mod it !
Posté le 21-03-2018 à 19:44:54  profilanswer
 

Je@nb a écrit :

des firmware intel pour des vm ça va pas servir à grand chose.


bah si !
ça permettra par exemple de présenter a l'OS les bonnes instructions pour protéger a l'intérieur de chaque VM...
 
un peu comme si tu mettais a jour le BIOS sur un serveur physique ;)

n°152950
Je@nb
Modérateur
In ze cloud
Posté le 21-03-2018 à 20:11:27  profilanswer
 

Non mais la faille elle est dans le cpu hein. vm ou pas les instructions cpu s'exécutent dessus. Y a rien de virtuel à patcher ça a pas de sens

n°152951
ShonGail
En phase de calmitude ...
Posté le 21-03-2018 à 20:19:52  profilanswer
 

Non mais effectivement dans le cas des hyperviseurs, ce sont ces derniers qui doivent patcher le CPU puisque ce sont eux qui y ont accès :o

n°152952
mooms
乇乂丅尺卂 丅卄工匚匚
Posté le 21-03-2018 à 21:46:55  profilanswer
 

Je@nb a écrit :

Non mais la faille elle est dans le cpu hein. vm ou pas les instructions cpu s'exécutent dessus. Y a rien de virtuel à patcher ça a pas de sens


 
La faille est hardware, mais les patchs sont logiciels à ce que je sache (oui, même le microcode c'est du logiciel, et de toute façon il faut toujours que l'OS soit patché pour être protégé), et, pour le sujet du jour, je ne vois pas pourquoi les VM ne pourraient pas présenter un CPU virtuel "non vulnérable" à l'hôte (et donc protéger un CPU réel non patché).


---------------
Le Livre de Vie | The book of Life | il Libro di Vita
n°153020
dims
if it ain't brocken, mod it !
Posté le 25-03-2018 à 22:41:57  profilanswer
 

petit retour sur la machine de test après quelques jours.....
 
donc merci VMware pour le patch microcode, vu que maintenant la VM est protégée spectreV2  
(quoi qu'en dise Je@nb le firmware est aussi pour les VM, pas que pour l'hôte ;) c'est d'ailleurs indiqué dans le KB VMWare)
 
pas d'instabilité notable.
(machine de test installée depuis 4 jours, donc faut pas prendre ça pour argent comptant)
 
par contre, une petite surprise, un W2016 a jour n'est pas par défaut protégé pour meltdown et spectre, il faut mettre les clef en BDR (AV defender de base installé et activé)
un 2012 R2 dans les mêmes conditions l'est par défaut.
 
j'ai pas cherché plus loin, c'est pt 'être normal et documenté

n°153022
Je@nb
Modérateur
In ze cloud
Posté le 26-03-2018 à 09:44:23  profilanswer
 

Si tu upgrades le microcode du processeur, bah oui ça va protéger tout ce qu'il est exécuté sur le processeur, dont la VM ...

n°153206
dims
if it ain't brocken, mod it !
Posté le 04-04-2018 à 09:33:31  profilanswer
 

la machine est passée en PROD hier.
RAS.
 
d'autres ont testé cette nouvelle version ?

n°153207
mooms
乇乂丅尺卂 丅卄工匚匚
Posté le 04-04-2018 à 10:28:09  profilanswer
 

Il y a un BIOS pour ma CM avec les nouveaux microcodes, mais je ne l'ai pas encore flashé


---------------
Le Livre de Vie | The book of Life | il Libro di Vita
n°153242
Cutter
Posté le 06-04-2018 à 13:20:17  profilanswer
 

Le microcode est flashé directement sur le CPU, ou c'est une partie de l'OS?


---------------
last.fm
mood
Publicité
Posté le 06-04-2018 à 13:20:17  profilanswer
 

n°153244
mooms
乇乂丅尺卂 丅卄工匚匚
Posté le 06-04-2018 à 15:32:07  profilanswer
 

Un CPU ne peut pas être flashé, il aura toujours le microcode d'origine, mais ce dernier peut être mis à jour (temporairement, ça ne survit pas à un  démarrage) via le BIOS ou l'OS.  
La méthode BIOS est évidemment préférable puisque le microcode à jour sera chargé quel que soit l'OS.


---------------
Le Livre de Vie | The book of Life | il Libro di Vita
n°153731
dims
if it ain't brocken, mod it !
Posté le 03-05-2018 à 08:14:23  profilanswer
 

yen a encore qui s'intéressent a ça ?

 

mes constations a l'heure actuelle:

 

il y a des patch linux pour les noyaux 3.16+ et 4.9+ qui ont été publiés assez récemment qui bouchent les failles spectre même sur du matériel non patché (cpu trop vieux) en utilisant reptoline

 

niveau meltdown, les patch pour Windows/linux sont dispo depuis le début de l'année

 

les patch spectre sur Windows sont dispo mais nécessitent d'avoir un hardware patché (donc récent)

 

attention sous Windows a vérifier que les patch sont activés (sous Windows server, ce n'est pas le cas par défaut)

 

intel/amd ont sorti (sort encore régulièrement pour intel) des microcode pour les CPU récents
intel a stoppé la dev de nouveaux firmware pour les anciens CPU.
liste dispo ici de ce qui a été patché et ne sera pas patché: https://newsroom.intel.com/wp-conte [...] idance.pdf
AMD a fourni des microcode pour tout ce qui est post Bulldozer (2011)

 


donc en gros, meltdown OK partout

 

spectre OK sous linux

 

spectre OK sous Windows si matériel OK

 

spectre KO sous Windows si matériel non patché et il n'y a pas/n'aura pas de moyen de boucher autrement (de ce que j'ai compris, ils n'implémenteront pas reptoline)


Message édité par dims le 03-05-2018 à 08:29:36
n°153737
ledufakade​my
Esprit libre
Posté le 03-05-2018 à 11:06:37  profilanswer
 

... jusqu'à la prochaine (faille sur hyperviseur, cpu , firmware etc )que l'on vous dévoilera que dans 1 an ou 2 ? ...
lol la sécurité info.

n°153739
dims
if it ain't brocken, mod it !
Posté le 03-05-2018 à 12:17:17  profilanswer
 

ledufakademy a écrit :

que l'on vous dévoilera que dans 1 an ou 2 ? ...


beaucoup moins que ça a priori...
https://www.tomshardware.com/news/a [...] 36656.html

n°153740
ShonGail
En phase de calmitude ...
Posté le 03-05-2018 à 12:29:02  profilanswer
 

La sécurité ce n'est pas l'absence de risques ou de failles, c'est leur gestion.

n°153741
mooms
乇乂丅尺卂 丅卄工匚匚
Posté le 03-05-2018 à 13:27:23  profilanswer
 


Non mais c'était surtout du FUD pour faire baisser le cours des actions AMD, rien à voir niveau gravité avec Spectre et surtout Meltdown, HFR a même fait un article dessus...il faut se renseigner un minimum.
edit:
https://www.hardware.fr/news/15366/ [...] ryzen.html
et
https://www.hardware.fr/news/15371/ [...] -labs.html


Message édité par mooms le 03-05-2018 à 13:31:02

---------------
Le Livre de Vie | The book of Life | il Libro di Vita
n°153742
dims
if it ain't brocken, mod it !
Posté le 03-05-2018 à 13:43:21  profilanswer
 

j'ai pas dit le contraire ;)

n°153743
mooms
乇乂丅尺卂 丅卄工匚匚
Posté le 03-05-2018 à 13:45:24  profilanswer
 

dims a écrit :

j'ai pas dit le contraire ;)


Mais tu l'a laissé sous-entendre  ;)


---------------
Le Livre de Vie | The book of Life | il Libro di Vita
n°153841
ledufakade​my
Esprit libre
Posté le 14-05-2018 à 15:05:22  profilanswer
 

ShonGail a écrit :

La sécurité ce n'est pas l'absence de risques ou de failles, c'est leur gestion.


C'est surtout un boulot d’escrocs , vendeur de rêve ... qui promet le confort d'être en sécurité qui n'existe pas et n'existera jamais ! (cela me fait penser au assurances ... aussi !)
 :lol:

n°153855
ShonGail
En phase de calmitude ...
Posté le 14-05-2018 à 20:54:15  profilanswer
 

ledufakademy a écrit :


C'est surtout un boulot d’escrocs , vendeur de rêve ... qui promet le confort d'être en sécurité qui n'existe pas et n'existera jamais ! (cela me fait penser au assurances ... aussi !)
 :lol:


 
je trouve rarement tes interventions justes et constructives.

n°153880
ledufakade​my
Esprit libre
Posté le 15-05-2018 à 16:21:49  profilanswer
 

ShonGail a écrit :


 
je trouve rarement tes interventions justes et constructives.


Quant tu auras bosser plus de 30 sur les parties techniques du métiers et plus de 10 ans dans la sécurité informatique je pense que tu regarderas le secteur de la sécurité d'un autre œil : on appelle cela l'expérience.
Après libre à toi de construire une forteresse sur des fondations en sable ... et surtout des intentions qui, au plus haut niveau, sont de jouer avec "toi".

n°153884
ShonGail
En phase de calmitude ...
Posté le 15-05-2018 à 19:15:28  profilanswer
 

Ouais OK

n°154454
dims
if it ain't brocken, mod it !
Posté le 10-06-2018 à 16:44:56  profilanswer
 
n°154707
xcomm
Posté le 22-06-2018 à 22:03:46  profilanswer
 

Oui, celle ci, je commence à avoir les correctifs de la faille Spectre variant 4, mais pour moi, ce n'est pas très claire sur l'activation et sa mise en œuvre.
 
But unlike Intel's updates for variant 2, the updates for Spectre variant 4, which is rated as a 'moderate'-severity issue and closely related to Spectre variant 1, will be optional and will by-default set to off. In this state, there is no impact on performance.
 
https://www.zdnet.com/article/new-s [...] rns-intel/
 
Il est question d'un switch ON / OFF, selon que la machine soit connectée à un réseau ou complètement isolée avec un risque de compromission plus faible où l'on pourrait laisser le dit curseur sur OFF.
 
Sauf que je n'ai pas vu de curseur d'activation / désactivation (sauf erreur de ma part) sur un poste utilisateur en Core i7 mis à jour. Ce curseur ne serait-il disponible que sur les serveurs ?
 
Microsoft a sorti le 14/6 un script Power Shell maintenant version 1.0.8 prenant en compte ce qui est aussi appelé SSBD (Speculative Store Bypass Disable) :
https://gallery.technet.microsoft.c [...] l-e36f0050
 
J'ai exécuté chacune des lignes indiquées dans le tableau encadré, mais actuellement, je n'ai pas de machine avec mise à jour du CPU contre ces failles, pour pouvoir être plus précis.
[EDIT le 24/6/2018] Les explications du scripts :
https://support.microsoft.com/en-in [...] powershell
 
La mise à jour du guide de Microsoft du 12 juin avec l'ajout de la partie Speculative Store Bypass Disable (SSBD) des processeurs Intel :
https://portal.msrc.microsoft.com/e [...] /ADV180012
 
En parlant de nouvelles vulnérabilités découvertes, il y a celle-ci :
https://www.cyberus-technology.de/
https://www.intel.com/content/www/u [...] 00145.html
 
[EDIT le 25/6/2018] Je vais faire un petit résumé :
Prérequis : Firmware du constructeur avec la dernière version de BIOS / UEFI bénéficiant des dernières corrections de CPU Intel contre spectre v4. (Pour information, le PDF de révision de CPU et de correctif à appliquer initialisé par Intel n'est plus maintenu, et il faut donc une révision supérieure à ce qui est écrit dans le document qui n'inclut pas pour le moment les nouvelles révisions pour les corrections de vulnérabilité contre Spectre v4).
- Dernier moteur d'antivirus.
- Derniers correctifs Microsoft Windows 10. (exemples cités et testé avec le kernel 1803)
 
Mais ça ne suffit pas.  
Il reste une dernière étape pour activer la correction des vulnérabilités.
 
Enable mitigations around Speculative Store Bypass (CVE-2018-3639) together with mitigations around Spectre Variant 2 (CVE-2017-5715) and Meltdown (CVE-2017-5754) through the following registry settings (because they are not enabled by default).
 
Ajouter les 2 changements de registre avec les droits administrateur, et redémarrer la machine pour prise en compte.
 

Citation :

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f
 
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f


 
https://support.microsoft.com/en-us [...] ilities-in
 
Le lancement du scripte Power Shell nous montre maintenant le champ SSBDWindowsSupportEnabledSystemWide qui passe maintenant de False à True.
 
PS : Je n'ai pas encore testé le script Microsoft sur CPU AMD.
Je n'ai pas testé sur machine Linux.
 
[EDIT le 19/8/2018]
Intel vient d'annoncer une nouvelle faille nommée "L1 Terminal Fault" (L1TF). Cette faille concerne les CPU Intel Core et Intel Xeon.
https://software.intel.com/security [...] inal-fault
https://www.intel.com/content/www/u [...] 00161.html
 
Concernant les postes utilisateurs, Microsoft continue de préconiser l'utilisation et le mise en œuvre de la protection et l'isolation du kernel par la virtualisation (Virtualization Based Security (VBS)) :
Windows Virtualization Based Security (VBS) is foundational to Windows 10 security. All VBS features including Hypervisor-enforced Code Integrity (HVCI) and VBS enclaves depend on confidentiality to maintain a strong security boundary. The L1TF vulnerability introduces risk that the confidentiality of VBS secrets could be compromised via a side-channel attack when Hyper-Threading (HT) is enabled, weakening the security boundary provided by VBS. Even with this increased risk, VBS still provides valuable security benefits and mitigates a range of attacks with HT enabled. Hence, we recommend that VBS continue to be used on HT-enabled systems. Customers who want to eliminate the potential risk of the L1TF vulnerability on the confidentiality of VBS should consider disabling HT to mitigate this additional risk.
 
Windows client operating system users who are using Hyper-V for the security guarantees provided by VM isolation should disable HT to protect against L1TF

 
Pour se prémunir totalement de cette nouvelle faille découverte, voici ce qu'il convient de réaliser pour les postes utilisateurs Windows 10 que je traite ici. Il conviendra d'analyser ce que les autres OS sont en mesure de couvrir, et particulièrement côté serveur Linux et hyperviseurs par exemple :
1 : Installation of Windows Security updates.
2 : Installation of firmware updates provided by the device’s OEM. (Normalement déjà réalisé par le firmware traitant les vulnérabilités de spectre V4)
3 : Disabling Hyper-Threading

 
https://portal.msrc.microsoft.com/e [...] /adv180018
 
Le script PowerShell de Microsoft permettant de voir l'état du poste utilisateur vient de passer en version 1.0.9 et maintenant en version 1.0.10.
https://gallery.technet.microsoft.c [...] l-e36f0050
 
L'explication du script est disponible ici :
https://support.microsoft.com/en-in [...] nMID=24542
 
De son côté, Intel a fait une communication concernant les impacts pour rassurer tout le monde :
https://www.intel.com/content/www/u [...] /l1tf.html


Message édité par xcomm le 19-08-2018 à 16:51:31
n°155863
xcomm
Posté le 19-08-2018 à 16:58:11  profilanswer
 
n°158647
xcomm
Posté le 14-11-2018 à 21:28:51  profilanswer
 

Microsoft vient de mettre à disposition le KB4467708
https://support.microsoft.com/en-us [...] -kb4467708
 
Provides protections against an additional subclass of speculative execution side-channel vulnerability known as Speculative Store Bypass (CVE-2018-3639) for AMD-based computers. These protections aren't enabled by default
 
Il convient ensuite d'activer ces protections comme indiqué ci-dessous :
https://support.microsoft.com/en-us [...] ilities-in
 
To enable mitigations for CVE-2018-3639 (Speculative Store Bypass), CVE-2017-5715 (Spectre Variant 2) and CVE-2017-5754 (Meltdown):
 
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f
 
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
 
Restart the computer for the changes to take effect.

 

Citation :

Enable user-to-kernel protection on AMD processors together with other protections for CVE 2017-5715 and protections for CVE-2018-3639 (Speculative Store Bypass):
 
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f
 
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
 
Restart the computer for the changes to take effect.


 
Le script Microsoft (Speculation Control Validation PowerShell Script) actuellement en version 1.0.11 nous permet de vérifier le changement avant / après activation du correctif et reboot de la machine.
https://gallery.technet.microsoft.c [...] l-e36f0050


Message édité par xcomm le 18-01-2019 à 20:22:57
n°158648
mooms
乇乂丅尺卂 丅卄工匚匚
Posté le 14-11-2018 à 21:37:42  profilanswer
 
n°158649
Hermes le ​Messager
Breton Quiétiste
Posté le 14-11-2018 à 21:49:01  profilanswer
 

mooms a écrit :

Et pour Win7 ?


 
Le support mainstream de Windows 7 a expiré.

n°158651
mooms
乇乂丅尺卂 丅卄工匚匚
Posté le 14-11-2018 à 22:55:11  profilanswer
 

Mais les failles de sécurité sont toujours corrigées jusqu'en 2020.


---------------
Le Livre de Vie | The book of Life | il Libro di Vita
n°158653
xcomm
Posté le 14-11-2018 à 23:59:22  profilanswer
 

Oui, en théorie, mais pas de façon tip-top déjà, lorsque j'en avais encore à gérer.  
Windows 7 SP1 est indiqué en haut de cette page, donc il doit y avoir un minimum de fait, j'imagine :
https://support.microsoft.com/en-us [...] ities-prot

mood
Publicité
Posté le   profilanswer
 

 Page :   1  2  3  4
Page Suivante

Aller à :
Ajouter une réponse
 

Sujets relatifs
Plus de sujets relatifs à : Meltdown et Spectre


Copyright © 1997-2018 Hardware.fr SARL (Signaler un contenu illicite) / Groupe LDLC / Shop HFR