Alan Cox a partagé un lien du blog d'AMD :https://www.amd.com/en/corporate/speculative-execution
Variante 1 :Contournement de la vérification des limitesVariante 2 :injection cible de brancheRésolu par les mises à jour logicielles / OS à mettre à disposition par les fournisseurs de systèmes et les fabricants. Impact négligeable sur les performances attendu.
Variante 3 :Chargement de cache de données non autoriséLes différences d'architecture AMD signifient qu'il y a un risque quasi nul d'exploitation de cette variante. La vulnérabilité à la variante 2 n'a pas été démontrée sur les processeurs AMD à ce jour.
Zéro vulnérabilité AMD en raison des différences d'architecture AMD.
Il serait cependant bon d'avoir la confirmation de ces déclarations d'AMD par un tiers.
L'"atténuation" sur les systèmes concernés nécessiterait un nouveau noyau et un redémarrage, mais sur de nombreuses distributions, il n'y a pas encore de packages publiés avec les correctifs :
- https://www.cyberciti.biz/faq/patch-meltdown-cpu-vulnerability-cve-2017-5754-linux/
Debian :
- https://security-tracker.debian.org/tracker/CVE-2017-5715
- https://security-tracker.debian.org/tracker/CVE-2017-5753
- https://security-tracker.debian.org/tracker/CVE-2017-5754
Autres sources d'informations que j'ai trouvées :
- https://lists.bufferbloat.net/pipermail/cerowrt-devel/2018-January/011108.html
- https://www.reddit.com/r/Amd/comments/7o2i91/technical_analysis_of_spectre_meltdown/
27 janvier 2018 Le microcode Intel casse certains systèmes
La mise à jour du microcode Intel 2018-01-08 pour résoudre les failles de sécurité de la branche d'exécution spéculative a cassé certains systèmes. Cela a affecté de nombreux systèmes Ubuntu du 8 au 21 janvier. Le 22 janvier 2018, Ubuntu a publié une mise à jour qui rétablit l'ancien microcode du 2017-07-07.
Si vous avez rencontré des problèmes avec les mises à jour, réinstallé Ubuntu et désactivé les mises à jour entre le 08/01/2018 et le 22/01/2018, vous voudrez peut-être réessayer les mises à jour automatiques d'Ubuntu.
Mise à jour du 16 janvier 2018 Spectre en 4.14.14 et 4.9.77
Si vous utilisez déjà les versions 4.14.13 ou 4.9.76 du noyau comme moi, il est facile d'installer 4.14.14
et 4.9.77
quand ils sortent dans quelques jours pour atténuer le trou de sécurité Spectre. Le nom de ce correctif est Retpoline et n'a pas le grave impact sur les performances précédemment spéculé :
Greg Kroah-Hartman a envoyé les derniers correctifs pour les versions ponctuelles de Linux 4.9 et 4.14, qui incluent désormais la prise en charge de Retpoline.
Ce X86_FEATURE_RETPOLINE est activé pour tous les processeurs AMD/Intel. Pour un support complet, vous devez également construire le noyau avec un compilateur GCC plus récent contenant le support -mindirect-branch=thunk-extern. Les changements GCC ont atterri dans GCC 8.0 hier et sont en train d'être potentiellement rétroportés vers GCC 7.3.
Ceux qui souhaitent désactiver le support de Retpoline peuvent démarrer les patchedkernels avec noretpoline .
Sans entrer dans les détails de JavaScript, voici comment éviter immédiatement le trou Meltdown (et à partir du 10 janvier 2018, la protection Spectre)
Mise à jour du 12 janvier 2018
Protection initiale contre Spectre est là et sera amélioré dans les semaines et les mois à venir.
Noyaux Linux 4.14.13, 4.9.76 LTS et 4.4.111 LTS
Extrait de cet article de Softpedia :
Les noyaux Linux 4.14.13, 4.9.76 LTS et 4.4.111 LTS sont désormais disponibles en téléchargement sur kernel.org, et ils incluent plus de correctifs contre la vulnérabilité de sécurité Spectre, ainsi que certaines régressions de Linux 4.14.12, 4.9.75 LTS , et les noyaux LTS 4.4.110 publiés la semaine dernière, car certains ont signalé des problèmes mineurs.
Ces problèmes semblent être résolus maintenant, vous pouvez donc mettre à jour en toute sécurité vos systèmes d'exploitation basés sur Linux vers les nouvelles versions du noyau publiées aujourd'hui, qui incluent davantage de mises à jour x86, certains correctifs PA-RISC, s390 et PowerPC (PPC), diverses améliorations des pilotes ( Intel i915, crypto, IOMMU, MTD), et les modifications habituelles du noyau mm et du noyau.
De nombreux utilisateurs ont eu des problèmes avec les mises à jour d'Ubuntu LTS le 4 janvier 2018 et le 10 janvier 2018. J'utilise 4.14.13
pendant quelques jours sans aucun problème cependant YMMV .
Mise à jour du 7 janvier 2018
Greg Kroah-Hartman a écrit hier une mise à jour sur les failles de sécurité Meltdown et Spectre Linux Kernel. Certains pourraient l'appeler le deuxième homme le plus puissant du monde Linux juste à côté de Linus. L'article traite des noyaux stables (discutés ci-dessous) et des noyaux LTS dont disposent la majorité des utilisateurs d'Ubuntu.
Linux Kernels 4.14.11, 4.9.74, 4.4.109, 3.16.52 et 3.2.97 Patch Meltdown Flaw
Extrait de cet article :
Les utilisateurs sont invités à mettre à jour leurs systèmes immédiatement
4 janvier 2018 01:42 GMT · Par Marius Nestor
Les mainteneurs du noyau Linux Greg Kroah-Hartman et Ben Hutchings ont publié de nouvelles versions de la série de noyaux Linux 4.14, 4.9, 4.4, 3.16, 3.18 et 3.12 LTS (Long Term Support) qui corrigent apparemment l'une des deux failles de sécurité critiques affectant la plupart des systèmes modernes. processeurs.
Les noyaux Linux 4.14.11, 4.9.74, 4.4.109, 3.16.52, 3.18.91 et 3.2.97 sont désormais disponibles au téléchargement sur le site Web kernel.org, et les utilisateurs sont invités à mettre à jour leurs distributions GNU/Linux à ces nouvelles versions s'ils exécutent immédiatement l'une de ces séries de noyaux. Pourquoi mettre à jour ? Parce qu'ils corrigent apparemment une vulnérabilité critique appelée Meltdown.
Comme indiqué précédemment, Meltdown et Spectre sont deux exploits qui affectent presque tous les appareils alimentés par des processeurs modernes (CPU) sortis au cours des 25 dernières années. Oui, cela signifie presque tous les téléphones portables et ordinateurs personnels. Meltdown peut être exploité par un attaquant non privilégié afin d'obtenir de manière malveillante des informations sensibles stockées dans la mémoire du noyau.
Patch pour la vulnérabilité Spectre toujours en préparation
Alors que Meltdown est une vulnérabilité sérieuse qui peut exposer vos données secrètes, y compris les mots de passe et les clés de cryptage, Spectre est encore pire et n'est pas facile à corriger. Les chercheurs en sécurité disent que cela nous hantera pendant un certain temps. Spectre est connu pour exploiter la technique d'exécution spéculative utilisée par les processeurs modernes pour optimiser les performances.
Jusqu'à ce que le bogue Spectre soit également corrigé, il est fortement recommandé de mettre à jour au moins vos distributions GNU/Linux vers l'une des nouvelles versions du noyau Linux. Recherchez donc dans les référentiels de logiciels de votre distribution préférée la nouvelle mise à jour du noyau et installez-la dès que possible. N'attendez pas qu'il soit trop tard, faites-le maintenant !
J'utilisais le noyau 4.14.10 depuis une semaine, donc le téléchargement et le démarrage de la version 4.14.11 du noyau principal d'Ubuntu n'étaient pas trop préoccupants pour moi.
Les utilisateurs d'Ubuntu 16.04 pourraient être plus à l'aise avec les versions de noyau 4.4.109 ou 4.9.74 qui ont été publiées en même temps que la 4.14.11.
Si vos mises à jour régulières n'installent pas la version du noyau que vous désirez, vous pouvez le faire manuellement en suivant cette réponse Ask Ubuntu :https://askubuntu.com/questions/879888/how-do-i-update-kernel-to-the-latest -version-principale/879920#879920
14.04.12 - Quelle différence une journée fait
Moins de 24 heures après ma réponse initiale, un correctif a été publié pour corriger la version 4.14.11 du noyau qu'ils ont peut-être précipitée. La mise à niveau vers 4.14.12 est recommandée pour tous les utilisateurs 4.14.11. Greg-KH dit :
J'annonce la sortie du noyau 4.14.12.
Tous les utilisateurs de la série de noyaux 4.14 doivent mettre à niveau.
Il y a quelques problèmes mineurs encore connus avec cette version que les gens ont rencontrés. Espérons qu'ils seront résolus ce week-end, car les correctifs n'ont pas atterri dans l'arbre de Linus.
Pour l'instant, comme toujours, veuillez tester votre environnement in.
En regardant cette mise à jour, peu de lignes de code source ont été modifiées.
Cette faille peut être exploitée à distance en visitant un site Web JavaScript.
En effet. Ainsi, une atténuation raisonnable consiste à désactiver JavaScript dans vos navigateurs Web ou à utiliser des navigateurs Web qui ne prennent pas en charge JavaScript.
La plupart des navigateurs qui prennent en charge JavaScript ont un paramètre pour le désactiver. Alternativement, si vous souhaitez maintenir une liste blanche de sites ou de domaines pour lesquels autoriser JavaScript, plusieurs modules complémentaires peuvent vous aider, tels que uBlock Origin et NoScript.
N.B. Il va sans dire que désactiver/restreindre JavaScript ne devrait pas être votre unique atténuation. Vous devez également examiner (et probablement appliquer) tous les correctifs de noyau pertinents et autres mises à jour de sécurité une fois qu'ils sont écrits, testés et publiés. Sur les distributions dérivées de Debian, utilisez des commandes telles que sudo apt update
, sudo apt list-upgradable
, et sudo apt upgrade
.
Mise à jour : ne me croyez pas sur parole. Alan Cox dit à peu près la même chose :
Ce dont vous devez vous soucier grand temps est javascript car l'exploit peut être utilisé à distance par javascript sur des pages Web pour voler des éléments de la mémoire de votre système. ... considérez des choses comme Adblockers et des extensions comme noscript qui peuvent arrêter beaucoup de courrier indésirable en premier lieu. Faites-le dès que possible. Lorsque les mises à jour du système d'exploitation apparaissent, appliquez-les. (Source )