Forum

Vous avez vu cette info ?


Les failles de sécurité, c'est pas la première fois que l'on en entend parler.
Mais là, cela induirait une baisse de performance de 30% sur les processeurs intel, qui sont sorti depuis 10 ans, J'ai même lu depuis 1995.

https://www.lesnumeriques.com/informatique/meltdown-spectre-qu-faut-savoir-sur-faille-processeurs-n69881.html

Faille grave pour Intel ? Des CPU jusqu'à 30 % moins rapides après correction

Un bug majeur a récemment été trouvé sur les processeurs Intel. Ce défaut permettrait à un utilisateur de VM (machine virtuelle) d’avoir accès aux données d’une autre VM sur le même système physique. Linux a déjà déployé plusieurs mises à jour de sécurité pour corriger ce bug et Windows devrait suivre sous peu. Cependant, ces corrections auraient pour conséquence de diminuer l’efficacité des processeurs. Selon les puces et programmes utilisés, on parlerait d’une baisse de performances allant de 5% à 30% et parfois plus. Encore peu d’informations sont disponibles, mais ces soucis devraient principalement affecter les datacenters et les processeurs Intel. Quelques premiers tests montrent que les jeux ne seraient pas affectés par la perte de performances (ni l'encodage vidéo).


je m'inquiète pas trop pour la sécurité, mais 30% de baisse de perf, ça fait mal !

Bonjour



En fait on devrait s'inquiéter car il semble que les patchs colmatent partiellement ses failles mais ne les corrigent pas complètement. La vraie solution consisterait à changer tous les processeurs (intel, amd, arm).. Mozilla a pu constater que la faille est exploitable via un POC (Proof Of Concept) simplement par le biais d'un navigateur et du javascript. C'est la raison pour laquelle des correctifs sortent également pour les navigateurs.

Je pense que ce problème va perdurer et qu'une course continue va s'installer entre les hackers et les colmatteurs de failles.

Détail de la vulnérabilité depuis le site de l'ANSSI

Bref, entre les perfs et la sécurité, choisissez la sécurité...

Bonsoir

Un truc qui m'étonne c'est que visiblement personne ne parle de la surconsommation électrique que ces failles vont provoquer !!!
J'ai l'impression que cela va "manger" tous les efforts faits par les opérateurs dans les datas centers !!!

En attendant, les mises à jour commencent à arriver dans Debian !!!

Et pour nous ? Est ce prévu ?

J'ai fait un tour rapide dans le bugzilla et je n'ai rien vu. Mais ce n'est pas parce que je n'ai rien vu qu'il n'y a rien

Bon week end à tous !!!!

Bonjour

D'après les quelques échanges lus sur les listes de diffusion, l'équipe Mageia est déjà en ordre de bataille pour mettre à jour Mageia. Il n'y a pas de doute à voir quand à la livraison de correctifs pour Mageia 6. En revanche, pour ce qui est de Mageia 5, il y a discussion puisque celle ci est en fin de vie et que le nombre de correctifs à produire peut être conséquent entre les kernels, les navigateurs, les éventuelles librairies concernées. A ce stade, je ne suis même pas certain qu'on ait une vision précise des applications qui seront à corriger hormis firefox et les kernels..

Mozilla devrait livrer des version corrigées pour firefox,

si les kernels sont corrigés aussi, il "suffit" de les intégrer dans mageia ?

Le kernel 4.14.12 qui prend en compte les dernières corrections pour ce bug est arrivé dans les testings.
Vos rapport sont attendus :
https://bugs.mageia.org/show_bug.cgi?id=22334

Je pense qu'il faudrait changer le titre du fil !!!

En effet, il n'y a pas que les processeurs INTEL x86 qui sont touchés : AMD (même s'ils disent plus ou moins le contraire) Qualcomm, Texas Instruments .... et ce y compris sur d'autres architectures. Bref c'est un "fail" général :-(

Une analyse qui me semble assez bonne est celle-ci.

Il faut avouer que c'est quand même assez dramatique :-(

Édité par TuxMips Le 07/01/2018 à 19h17

je suis curieux d'avoir le feedback des testeurs pour voir s'il y a une réelle baisse de perf, ça m'ennuierait de me retrouver avec les perfs d'un i5 alors que j'ai un i7

personne pour faire un retour après la mise à jour qui prend en compte cette mise à jour ?

Un des vecteurs d'attaque sur la faille Spectre, c'est bien évidemment le navigateur. En effet, un JavaScript malicieux chargé depuis ce dernier pourrait compromettre la sécurité de vos données en exploitant cette vulnérabilité tristement célèbre.
http://xlab.tencent.com/special/spectre/spectre_check.html

Cliquer Click to check

Pour savoir si Spectre et Meltdown vous concernent, la commande (sur un ordinateur avec mises à jour faites) :

$ cat /proc/cpuinfo | grep bugs

$ grep cpu_insecure /proc/cpuinfo && echo "patched " || echo "unpatched :("

Pour GNU/Linux, cette série de patchs porte le nom de KTPI pour Kernel Page Table Isolation. Elle sera présente dans le noyau 4.15, 4.14.12 et à terme dans toutes les autres versions maintenues de GNU/Linux : kernel-4.4.110. X86_64 et kernel-4.9.75. x86_64

Ton lien me donne :


Quant à tes 2 commandes, merci mais encore faut-il savoir les interpréter

puis :


Entre ton lien qui me dit que je n'ai pas besoin de faire appel l'agent 007 et tes 2 commandes aux retours opaques .... ?! ....

OK, je comprends que la correction n'a pas encore été effectuée

Bonsoir

https://linuxfr.org/users/patrick_g/journaux/noyau-vulnerable-ou-pas

Je suis mga6 et à jour du kernel.

Or je viens de passer la commande préconisée dans le post de ce soir sur linuxfr

Et ca réponds :



Je comprends que la mise à jour du kernel pour mga6 n'est pas efficace et/ou n'est toujours pas présente.

C'est pas bien clair pour moi !

Bonne nuit à tous

Édité par TuxMips Le 22/01/2018 à 23h01

Bonjour,
InSpectre: détecter Meltdown, Spectre et leur impact sur les performances du PC

Tout autant pour Windows que Linux avec pour ce dernier le script
spectre-meltdown-checker.sh
qui donne sur un de mes PC (volontairement caché)

Édité par kalagani Le 23/01/2018 à 17h20

quelques test assez poussés ici de la part d'Hardawre.fr
https://www.hardware.fr/focus/124/windows-10-meltdown-spectre-quel-impact-performances.html

a noté que cela concerne bien principalement intel

"
Et... AMD ?

Notez que si nous nous attardons sur Intel, c'est en grande partie parce qu'aujourd'hui sous Windows, seul le patch Meltdown est actif (depuis le retrait du patch Spectre par Microsoft) et cette faille ne concerne pas AMD.

Pour ce qui est de Spectre, AMD estime pour rappel que "des différences entre son architecture [et celle de son concurrent] rend l'exploitation plus complexe". Officiellement, AMD proposera des microcode... mais de manière optionnelle :


.....
On comprend donc aussi la situation compliquée dans laquelle s'est mis Intel avec ses microcode. Si AMD estime (à tort ou à raison, les détails non publics ne nous permettent pas de juger) qu'il n'est pas nécessaire pour ses architectures de déployer des microcode implémentant les méthodes lourdes pour Spectre, Intel se retrouvera significativement désavantagé. Et on voit mal le constructeur faire un retour en arrière en indiquant que finalement, ces microcode ne servent à rien et ne seront rendus disponibles que de manière optionnelle. "

concernant linux
"Le développement des patchs IBRS/IBPB/STIBP est encore en cours de développement (voir ici ) sous Linux, retpoline ayant été préféré à court terme, et il est trop tôt pour savoir quelle méthode sera nécessaire sur chaque architecture en pratique. Il sera intéressant de voir comment réagira Microsoft en fonction de ce qui se passe sur les OS concurrents."


suivez le lien ci dessous pour l'article complet, et l'impact limité sur les perfs. (pour l'instant)

à suivre.

Édité par Ami age Le 08/02/2018 à 13h27