Faille de sécurité des processeurs Intel

[tyrry]

Dernier message de la page précédente :

Pourquoi linux mint 17.3 n'est pas patché ? Quand ce patch sera t il dispo pour 17.3 ?

Slt ,
donne le retour de :

Code : Tout sélectionner

uname -r

le patch et fait depuis : 3.13 series (Linux Mint 17 LTS): patched in 3.13.0-139 et +
sources : https://blog.linuxmint.com/?p=3496
@+

[mpat]

Insam je ne te parle pas des mises à jour, mais du nouveau microcode intel et pour spectre regarde dans ton historique de mises à jour ou dans synaptic, et regarde aussi si tu la pas mis en liste noir dans tes mises à jour ( je connais Insam et se qui lui plaît pas ) et pas de raison que je le reçoive et pas les autres

[Insam]

Insam je ne te parle pas des mises à jour, mais du nouveau microcode intel...

Oui mpat, tu me parles de "intel-microcode_3.20180108.1_amd64.deb" à télécharger et installer, ça s'appelle aussi une mise à jour.

et pour spectre regarde dans ton historique de mises à jour ou dans synaptic, et regarde aussi si tu la pas mis en liste noir dans tes mises à jour ( je connais Insam et se qui lui plaît pas ) et pas de raison que je le reçoive et pas les autres

Ben non, j'ai pas ça dans mon historique, et pourtant je fais toutes les maj en console !
Je n'ai rien en liste noire et de toute façon ça n'est pas pris en compte par le terminal.

Après avoir appliqué tous les patchs, mises à jour, etc...Le dernier script/test (0.27) me répète toujours la même chose : vulnérable à spectre (seul Meltdown est patché depuis la mise à jour du kernel.)

[mpat]

je sais rien te dire Insam d'autres on reçu cette mise à jour.

Jkart » jeu. 11 janv. 2018 19:20
Bonjour,
noyau linux 4.13.0-26.29~16.04.2
webkit2gtk 2.18.5-0ubuntu0.16.04.1

[Insam]

Oui mpat, ces deux là je les ai mais ça ne parle pas de spectre comme dans ta capture !
Et ça ne change rien au test !

[mpat]

pour avoir ma capture d'écran tu vas dans synaptic cherche gir1.2-webkit2-4.0, tu te places dessus et tu fais obtenir la liste des changement, et normalement si tu as firefox 57.0.4 il est patché aussi, maintenant se que vaut le test que tu fais ??

[Insam]

...cherche gir1.2-webkit2-4.0, tu te places dessus et tu fais obtenir la liste des changement...

Bon ben autant pour moi, j'ai mal lu, j'ai une maj d'hier "libwebkit2gtk-4.0-37", mais pas gir1.2-webkit2-4.0 !
Cette dernière ne m'a pas été proposée, ni installée par le terminal...Pourquoi ?...Mystère !
Mais elle figure bien non installée dans synaptic..
Donc je l'installe, on voit après.
Le test est le seul trouvable et conseillé actuellement, voir le lien de sa dernière version donné précédemment par DavidTerp

Édit : aucun changement :

Tu fais comment mpat pour savoir si les patchs sont valides ?

[Insam]

Eh bien ça continue !
47 maj en trois fois dont mintupdate d'abord... Plus de proposition d'upgrade dans le gestionnaire du coup !
Mais...aucun effet toujours d'après le test 0.27

Autre chose, les noyaux :
Quand on voit les changelogs on se pose des questions :
Pour le noyau 4.4 recommandé dans le blog : parait bien patché (mais pas plus d'effet que les autres d'après le test chez moi)

Code : Tout sélectionner

linux (4.4.0-108.131) xenial; urgency=low

  * linux: 4.4.0-108.131 -proposed tracker (LP: #1741727)

  * CVE-2017-5754
    - x86/mm: Disable PCID on 32-bit kernels

 -- Marcelo Henrique Cerri <marcelo.cerri@canonical.com>  Sun, 07 Jan 2018 11:46:05 -0200

linux (4.4.0-107.130) xenial; urgency=low

  * linux: 4.4.0-107.130 -proposed tracker (LP: #1741643)

  * CVE-2017-5754
    - Revert "UBUNTU: SAUCE: arch/x86/entry/vdso: temporarily disable vdso"
    - KPTI: Report when enabled
    - x86, vdso, pvclock: Simplify and speed up the vdso pvclock reader
    - x86/vdso: Get pvclock data from the vvar VMA instead of the fixmap
    - x86/kasan: Clear kasan_zero_page after TLB flush
    - kaiser: Set _PAGE_NX only if supported

 -- Kleber Sacilotto de Souza <kleber.souza@canonical.com>  Sat, 06 Jan 2018 17:13:03 +0100

Pour le 4.13.0-25.29, c'est moins évident :

Code : Tout sélectionner

linux (4.13.0-25.29) artful; urgency=low

  * linux: 4.13.0-25.29 -proposed tracker (LP: #1741955)

  * CVE-2017-5754
    - Revert "UBUNTU: [Config] updateconfigs to enable PTI"
    - [Config] Enable PTI with UNWINDER_FRAME_POINTER

 -- Marcelo Henrique Cerri <marcelo.cerri@canonical.com>  Mon, 08 Jan 2018 17:13:57 -0200

Quand au dernier 4.13.0-26.29 :

Not Found

The requested URL /changelogs/pool/main/l/linux/linux_4.13.0-26.29/changelog was not found on this server.

[Jeep]

Il ne faut pas se focaliser sur le test Spectre & Meltdown checker, c'est indicatif. Il va regarder si les patchs connus au moment où a été écrit le script sont installés, mais il ne teste pas les failles elles-mêmes.

Mais d'après tes captures, ça indique bien que Meltdow est patché sur ton PC, donc je ne vois pas trop ce que tu attends de plus pour l'instant. Il faut attendre que les corrections pour Spectre (qui sont une diminution du risque et pas des patchs corrigeant la faille elle-même) soit mise en place pour avoir une différence.

Il y a peut-être la ligne Hardware (CPU microcode) support for mitigation qui pourrait passer à "Yes" vu que tu as mis à jour le microcode, mais soit ce n'est pas encore le cas avec cette version du microcode (elle ne corrigerait que Meltdown et pas Spectre), soit le script ne sait pas l'identifier comme tel.

[Insam]

Oui jeep, d'ailleurs je m'en moque un peu de ce tout ce binz, mais je trouve dommage de faire un tas de manips sensées colmater les brèches...Pour pas grand chose !
La faille Meltdow, oui, elle a été réparée dès l'install du bon noyau. (le 4.4 pour moi, donc rétrogradation par rapport au 4.13 qui fait ramer mon PC.)
Mais la maj dont parles mpat, est bel et bien relative à spectre !
Soit elle est inefficace, soit c'est le test qui l'est...Aucun moyen de le savoir.

[Jeep]

À mon avis, vu l'age de ton CPU, le microcode n'a pas été mis à jour par Intel (c'est le cas sur mon PC).
Tu as regardé quelle était exactement la date de la dernière version utilisée sur ton pc ?

Code : Tout sélectionner

dmesg | head -n1

Moi ça me donne 26/06/2013...