Discussion :

[Patrick Ruiz]

Meltdown et Spectre : Intel recommande l’arrêt du déploiement des correctifs
Des soucis avec la microarchitecture Ivy Bridge et suivantes

Intel a émis une nouvelle note d’information à l’intention des fabricants d’équipements d’origine, fournisseurs de services cloud, fabricants de systèmes, vendeurs de logiciels et utilisateurs finals. La firme de Santa Clara recommande l’arrêt du déploiement des correctifs pour la vulnérabilité Spectre.

Le fondeur apporte réponse à des signalements de redémarrage après l’application des patchs mis à la disposition du public le 3 janvier dernier. « Spécifiquement, ces systèmes sont basés sur les microarchitectures Broadwell et Haswell pour environnements clients et serveurs », précisait l’entreprise il y a bientôt deux semaines. La liste des architectures concernées est cependant à étendre. Dans un billet paru le 17 janvier dernier en effet, Intel fait état de constats similaires sur les architectures Ivy Bridge, Sandy Bridge, SkyLake et KabyLake. On parle donc ici d’ordinateurs équipés de processeurs vieux d’au moins six ans, la microarchitecture Ivy Bridge étant utilisée depuis 2012.

Meltdown et Spectre… De quoi faire pousser les cheveux blancs aux ingénieurs d’Intel depuis la publication des détails par l’équipe du projet Google Zero. Référencée CVE-2017-5754, Meltdown permet à un programme d’avoir accès à la mémoire du kernel du système d’exploitation et est, d’avis d’experts, la plus évidente à corriger. À contrario, la vulnérabilité Spectre dans sa variante « Branch Target Injection », est, semble-t-il, celle qui continue de donner du fil à retordre au fondeur. Son exploitation consiste, pour un attaquant, à mettre à profit la capacité d’un processus à influer sur l’exécution spéculative d’un autre sur le même cœur du processeur.

Contrairement au propos initial d’Intel qui clamait que l’application des correctifs serait sans dégradation de performances sur ses processeurs, les résultats de benchmark fusent et établissent le contraire. La firme de Santa Clara elle-même a fait état de dégradations de performances pouvant aller jusqu’à 25 % dans des environnements serveur. Intel doit désormais composer avec les redémarrages en plus.

Un correctif du correctif ? Intel annonce avoir identifié la cause profonde des soucis avec les plateformes Broadwell et Haswell. « Durant la semaine, nous avons amorcé le déploiement d’une mise à jour pour test par nos partenaires industriels, et nous procéderons à une release finale une fois que le processus est achevé », a écrit le fondeur. Pas de détails supplémentaires de la part d’Intel.

S’il est manifeste que les correctifs Intel s’accompagnent de problèmes de compatibilité et de dégradations de performances, il n’en va pas de même pour Google, qui serait parvenu à corriger les trois failles sans impact notable sur les performances de ses systèmes. La firme de Mountain View propose Retpoline, une nouvelle technique de mitigation de la vulnérabilité Spectre. Contrairement à Intel qui propose des mises à jour du microcode, il s’agit ici d’une atténuation logicielle au niveau de l’hyperviseur et du système d’exploitation. Elle permet d’effectuer des appels indirects sans spéculation. Google explique l’avoir utilisé en interne sans avoir reçu la moindre plainte des clients de Google Cloud Platform en termes de réduction de performances.

Source

Intel

Votre opinion

Quelle politique de mise à jour avez-vous mise en place sur les parcs d’ordinateurs dont vous êtes responsable ?

Voir aussi

Meltdown et Spectre : un outil PowerShell est disponible, il permet de faire l'état des lieux des protections sous Windows
Vulnérabilités Meltdown et Spectre : état des lieux des navigateurs, Chrome, Mozilla et Edge face au vecteur d'exploitation JavaScript

[CaptainDangeax]

Allons bon. Mon Linuxmint m'a proposé une mise à jour du Intel Microcode hier soir. J'espère que ça ne va pas mettre mon i7-2600 par terre.

[marsupial]

Ce qu'en pense linus torvalds


Edit :
Les serveurs névralgiques à haute disponibilité ont migré en AMD. Le reste du parc nous verrons au coup par coup.

[Jipété]

Ce qu'en pense linus torvalds

Fouhhh, il est pas content le monsieur (on peut le comprendre...)

Les serveurs névralgiques à haute disponibilité ont migré en AMD.

Just curious : et vous avez fait ça comment ?
Parce qu'écrit comme ça, on dirait que c'est aussi simple que de changer de chemise, mais encore fallait-il avoir les procs (combien ?) sous la main, et les cartes-mères qui vont bien, et les mémoires adaptées, pi peut-être refaire un noyau, bref, c'est un poil plus tendu que de simplement changer de chemise, non ?

[marsupial]

Je n'ai pas le nombre en tête mais c'est déjà tout vu avec notre fournisseur. Cela donne du boulot mais la décision a été prise il y a une semaine. Nous avons fait une image et on l'a descendu. Face à différents constats :

- dégradation des performances en Intel pour Meltdown inacceptable
- fiasco terrible lors de l'application des patchs MS et microcode Intel pour les stations de travail
- si au bout de 7 mois de connaissance de la faille en embargo, ils ne peuvent pas faire mieux, nous ne pouvons pas nous permettre d'attendre maintenant qu'elle est révélée

* à terme, il est prévu de migrer l'intégralité du parc en AMD qui n'est vulnérable "qu'à Spectre" parce que comme le fait remarquer Linus Torvalds, a priori, Intel prend la situation un peu trop à la légère

Nous nous sommes mis en relation avec Google pour qu'ils nous communiquent leur patch. Cela fait un peu mal aux fesses niveau sous mais un ptit check vaut mieux qu'un gros hack.

[coolspot]

Ouais donc on en revient à la citation de Linus début Janvier quand il disait que Intel allait éternellement livrer des patch de merde et ne jamais rien corrigé.

[Gogo52120]

"les architectures Ivy Bridge, Sandy Bridge, SkyLake et KabyLake. On parle donc ici d’ordinateurs équipés de processeurs vieux d’au moins six ans"

NON De Ivy Bridge à KabyLake donc de maintenant et 2012

Par exemple mon DELL est monté avec un E3-1245V5 qui est un SkyLake.
D'ailleur je le trouve plus lent en ce moment sur certaine tache comme avec un runtime acces qui est moins fluide sur mon ERP (la base SQL, elle est sur un serveur non mis à jours depuis décembre)

[Patrick Ruiz]

Meltdown et Spectre : Intel publie un nouveau microcode pour la plateforme SkyLake
Des correctifs pour Broadwell et Haswell sont déjà en tests

Intel a mis un nouveau microcode pour l’architecture SkyLake à disposition des fabricants d’équipements d’origine (OEM) et de ses partenaires industriels. Le nouveau correctif est censé mettre fin aux problèmes de redémarrage signalés par des consommateurs après l’application des correctifs mis à la disposition du public le 3 janvier dernier.

Le fondeur avait initialement pointé les microarchitectures Broadwell et Haswell pour environnements clients et serveurs, arguant qu'elles étaient les seules concernées par les signalements. Dans un billet paru le 17 janvier cependant, Intel a fait une mise à jour des microarchitectures concernées en incluant Ivy Bridge, Sandy Bridge, SkyLake et KabyLake. Cette situation a conduit l’entreprise à recommander l’arrêt du déploiement des correctifs dans une note d’information parue le 22 janvier. L’entreprise avait dans le même temps annoncé avoir identifié la cause profonde des redémarrages sur les plateformes Broadwell et Haswell.

Les enseignements engrangés avec ces microarchitectures devaient aider le fondeur à apporter des solutions aux problèmes rencontrés avec les autres plateformes. Avec la microarchitecture SkyLake, Intel a, semble-t-il, pris de l’avance sur Broadwell et Haswell. La firme annonce en effet la mise à disposition de nouvelles versions de microcodes qui vont directement en production. Dans les cas Broadwell et Haswell, ce sont des bêta de microcodes qui sont en phase de test chez les fabricants d’équipement d’origine et les partenaires. Il semble qu’Intel ne fera plus de communication au sujet des versions définitives. Cette posture peut se justifier quand on sait qu’une fois prêtes, les OEM et les éditeurs de systèmes d’exploitation font le nécessaire pour qu’elles soient acheminées aux utilisateurs finals.

D’ailleurs, à propos de ces derniers, le déploiement des correctifs du 3 janvier est à l’arrêt. Faisant suite à la recommandation d’Intel, Microsoft a publié une mise à jour (KB4078130) de désactivation des correctifs de la vulnérabilité Spectre. Elle est disponible sur le site du catalogue de mises à jour de Microsoft. « Intel a communiqué de nouvelles directives concernant les problèmes de redémarrage et le comportement imprévisible du système avec le microcode inclus dans les mises à jour du BIOS publiées pour résoudre Spectre(variante 2), CVE-2017-5715. Dell conseille à tous les clients de ne pas déployer la mise à jour du BIOS pour la vulnérabilité Spectre (variante 2) pour le moment. Nous avons supprimé les mises à jour du BIOS affectées de nos pages de support et travaillons avec Intel sur une nouvelle mise à jour du BIOS qui inclura un nouveau microcode d'Intel », a écrit le constructeur d’ordinateurs. Même son de cloche chez HP qui a annoncé des mesures similaires.

Le déploiement des correctifs chez ces OEM pourra donc reprendre sur leurs parcs d’ordinateurs intégrant des processeurs SkyLake. Du retard néanmoins pour Intel qui, au début de cette apocalypse numérique, a promis d'apporter une solution définitive à ces vulnérabilités au plus tard à la fin du mois de janvier.

D’après une publication du Wall Street Journal, Alibaba et Lenovo ont été informés de l’existence de ces failles en premier, ce qui laisse penser que la Chine a une longueur d’avance ; de quoi réveiller les États-Unis qui préviennent : « gardez vos systèmes à jour. »

Source

Intel

Votre opinion

Quelle politique de mise à jour avez-vous mise en place sur les parcs d’ordinateurs dont vous êtes responsable ?

Voir aussi

Meltdown et Spectre : un outil PowerShell est disponible, il permet de faire l'état des lieux des protections sous Windows
Vulnérabilités Meltdown et Spectre : état des lieux des navigateurs, Chrome, Mozilla et Edge face au vecteur d'exploitation JavaScript

[MikeRowSoft]

Je ne me sent pas concerné par cette article, mais je présume que choisir une marque "pro active" et avoir du matériel plutôt récent facilite grandement les choses.

La plus part du temps, plus la carte mère monte en gamme plus le constructeur rajoute des options propriétaire faisant qu'un "Intel Update" comme pour le driver de carte graphique n'est pas possible.

Microsoft aurait du proposer une autre mise à jour en facultatif avec une petite alarme, car il se peut que des systèmes ne puissent obtenir le correctif. Les techniciens SAV devrait avoir du boulot en plus des administrateurs systèmes entre BIOS et Windows Update Alarmiste... Certain passe des journées à constater des "courts jus" sur du matériel qu'ils ont probablement assemblé eux même pour les clients et les plus honnête dépanne gratuitement...

AMD et ARM ?
les broches d'alimentation pour carte mère à CPU Intel sont bien les mêmes que pour AMD...
Toute les cartes mères ne sont pas faite pour les CPU gourmand en Watt.

[Gogo52120]

"les broches d'alimentation pour carte mère à CPU Intel sont bien les mêmes que pour AMD...
Toute les cartes mères ne sont pas faite pour les CPU gourmand en Watt."

ça dépend, les deux marques ont des processeurs basse consommation (moins de 65 watts) comme des processeurs très gourmand avec plus de 165 watts comme un i9-7960X ou threadripper ou puces serveurs.

ça dépend des cartes mères, elles ont parfois un connecteur 4 pins pour le processeur ou 8. Pour les cartes serveur à double cpu on monte à 2x 8pins juste pour le CPU en plus d'une partie qui passe déjà dans le connecteur 20/24 pins pour la cartes mère (qui alimente aussi les cartes graphiques jusqu'a 75 watts en pci.

Les cartes ont des phases d'alimentation pour le cpu, plus ils y en a, plus ont peut monté un processeur gourmand ou le faire tourné de manière stable (si tout les autre condition sont réunie comme une bonne alimentation) ...

[MikeRowSoft]

Merci !

Ne reste plus qu'a mieux connaitre ce qui se fait chez Apple et IBM !

[Patrick Ruiz]

Spectre : les correctifs « stables » pour les microarchitectures Broadwell et Haswell sont disponibles
Une semaine après les cas Kaby et Coffee Lake

Le sablier du temps continue de se vider et a tendance à faire oublier les vulnérabilités Meltdown et Spectre. Fondeurs, fabricants d’équipements d’origine et éditeurs de systèmes d’exploitation continuent pourtant de faire tourner les méninges pour protéger les consommateurs d’éventuelles attaques qui exploiteraient ces failles. Particulièrement touché par ces dernières, Intel fait des mises à jour à ce sujet de façon quasi hebdomadaire désormais. Tour d’horizon des dernières avancées du côté du fondeur basé à Santa Clara aux États-Unis…

Intel a fort à faire depuis le début de cette année. L’image de la firme a été sérieusement écornée par la publication des détails des failles Meltdown et Spectre par les chercheurs du projet Google Zero. L’entreprise a pourtant été prévenue au moins trois mois à l’avance, mais n’a pu publier des correctifs qu’en date du 3 janvier (après les révélations). Le déploiement de ces derniers a rapidement tourné au fiasco à cause des plaintes des possesseurs d’ordinateurs pointant des redémarrages intempestifs causés par l’application des patchs ; on était alors rendus au 11 janvier dernier. Intel a, deux semaines plus tard, dû recommander l’arrêt de l’opération.

Au centre de la tourmente, les microarchitectures Broadwell et Haswell (pour environnements clients et serveurs) initialement considérées par le fondeur comme étant les seules concernées par les trouvailles des chercheurs de Google. La firme de Santa Clara a récemment mis son guide de révisions de microcodes à jour ; après une phase de bêta auprès des fabricants d’équipements d’origine et partenaires d’Intel, les correctifs « stables » contre la variante numéro 2 de la vulnérabilité Spectre sont disponibles pour ces microarchitectures. De façon brossée, on parle des processeurs Intel Xeon et des Intel Core i ; seuls les patchs des serveurs EX (Broadwell et Haswell) restent en bêta pour le moment.

L’annonce fait suite au passage en production – le 9 janvier dernier – de correctifs pour la plateforme SkyLake. Le déploiement des correctifs sur les architectures concernées devrait donc reprendre. La liste des plateformes pour lesquelles les utilisateurs sont susceptibles de recevoir des mises à jour de microcodes est à allonger. Dans un billet paru la semaine dernière, la firme a publié des correctifs pour ses processeurs de 7^e (Kaby Lake) et 8^e (Coffee Lake) génération, ainsi que pour les récents Core X.

Fondeurs, fabricants d’équipements d’origine et éditeurs de systèmes d’exploitation ont jusqu’ici apporté des solutions logicielles à la variante numéro 2 de la vulnérabilité Spectre. Quand Microsoft propose des mises à jour du microcode des processeurs affectés, Google propose une technique qui permet d’effectuer des appels indirects sans spéculation ; des solutions qui introduisent des baisses de performances. L’issue à ce problème réside dans le matériel avec l’intégration des protections requises directement aux processeurs. Intel a promis de livrer de telles puces au plus tard à la fin de cette année.

Source

Guide de révision des microcodes Intel

Votre opinion

Quelle politique de mise à jour avez-vous mise en place sur les parcs d’ordinateurs dont vous êtes responsable ?

Voir aussi

Meltdown et Spectre : un outil PowerShell est disponible, il permet de faire l'état des lieux des protections sous Windows

[MikeRowSoft]

les supercalculateurs sont épargnés.
restons heureux, le kit de dev à un coût plus élevé que prévu.

[Patrick Ruiz]

Meltdown et Spectre : Intel abandonne le développement des mises à jour de microcodes pour certains processeurs
Une décision qui ne surprend pas

Intel a publié une nouvelle version de sa feuille de route de mise à jour de microcodes depuis peu. Le fondeur annonce l’abandon du développement des mises à jour de microcodes pour certains processeurs ; la publication des correctifs pour le reste de sa flotte se poursuit néanmoins.

En substance, plusieurs familles sont concernées par l’annonce d’Intel : Bloomfield, Clarksfield, Gulftown, Harpertown Xeon, C0/E0, Jasper Forest, Penryn, SoFIA 3GR, Wolfdale et Yorkfield, des modèles sortis entre 2007 et 2011, n’auront pas droit au bout de code salvateur. Le fondeur poursuit néanmoins avec la publication des correctifs pour es autres processeurs et annonce que des versions stables des patchs pour les gammes Arrandale, Clarkdale (Xeon), Nehalem, Westmere et Lynnfield sont disponibles.

Un abandon surprenant ?

Non, eu égard aux spécificités techniques sur lesquelles l’apocalypse numérique « Meltdown et Spectre » repose. Tout le problème avec les processeurs modernes est qu’ils traitent les données en un temps beaucoup plus court que celui requis pour accéder à une information en mémoire vive. Cet état de choses a débouché sur la mise sur pied de mécanismes d’optimisation au sein du hardware : mise en place de caches, exploitation d’unités d’exécution en parallèle, prédiction. La manœuvre est destinée à éviter que le µP ne se tourne les pouces dans l’attente de données que la mémoire vive doit lui servir.

Le souci avec ces optimisations est qu’elles laissent des traces dans les caches en cas de mauvaise prédiction ou en cas d’erreurs générées par les instructions qui exploitent les unités d’exécution parallèle. Un attaquant qui a connaissance de cette situation sait donc comment exfiltrer des informations sensibles d’un système. Illustration avec le cas Meltdown qui permet d’extirper des informations de la zone mémoire réservée au noyau du système d’exploitation.

Bien entendu, il s’agit d’explications destinées à appréhender la situation dans sa généralité ; chaque processeur dispose de singularités dont il faut tenir compte. Le fondeur le confirme dans la feuille de route de mise à jour de microcodes en évoquant le fait que certaines spécificités d’architecture viennent limiter la possibilité de développer un correctif. Toutefois, certaines microarchitectures se retrouvent associées à la mention « arrêt » au sein de la feuille de route en raison du caractère propriétaire des technologies mises en œuvre, ce qui, d’après Intel, annule la nécessité de mettre un patch à disposition des utilisateurs.

Dur pour le fondeur qui, en plus de gérer des complexités techniques de ce calibre, doit faire avec des recours collectifs. Le géant du semi-conducteur a entamé l’année 2018 avec trois cas sur le dos. Il y a néanmoins une bonne nouvelle puisqu’Intel vient de lancer une nouvelle famille de microprocesseurs Core i9 pour ordinateurs portables. Ces µP devraient intégrer des protections matérielles contre Meltdown et Spectre si l’on en croit une annonce d’Intel – parue mi-mars – qui précise que les processeurs Intel de 8^e génération seront munis de « partitions » qui les protègent contre la variante 2 de Spectre, ainsi que de Meltdown.

Sources

Feuille de route de révision des microcodes (PDF)

hackndo

Et vous ?

Que pensez-vous de cette décision d’Intel ? Surprenante ou pas ?

Envisagez-vous de passer aux laptops avec Core i9 ?

Voir aussi

Vulnérabilités Meltdown et Spectre : Intel devrait livrer ses premiers processeurs dotés de protections intégrées plus tard cette année

[AndMax]

Toutefois, certaines microarchitectures se retrouvent associées à la mention « arrêt » au sein de la feuille de route en raison du caractère propriétaire des technologies mises en œuvre, ce qui, d’après Intel, annule la nécessité de mettre un patch à disposition des utilisateurs.

Donc "technologie propriétaire = obsolescence programmée et pas de support" ?

Durée de support d'un CPU Intel inférieure à 7 ans ?

[Gogo52120]

C'est déjà beaucoup 7 ans sur des applications critique !
monsieur tout le monde s'en fiche de spectre et meltdown en général c'est lui la plus grosse fail de sécurité.

[AndMax]

C'est déjà beaucoup 7 ans sur des applications critique !

Oui tout à fait d'accord, mais c'est si peu si on examine la quantité énorme de ressources qu'il faut pour en fabriquer un.

[Gogo52120]

Ah je n'ai pas dit qu'il fallais tout jettez mais passer les machines qui ont 7 ans en machine de secours ou secondaire.

Un de mes client a un HP ml350 gen6 double xeon, 12 go de ram, on le garde en serveur de backup

[MikeRowSoft]

Cela suffit à dispenser d'un correctif Windows ou Linux donc...

[Gogo52120]

En général, les pc qui ont plus de 7 ans ont déjà d'autre faille de sécurité que spectre donc bon (os, Intel ME ou équivalent amd, pilote ...)
Si ont tient vraiment à la sécurité, on ne garde pas des vieux postes ou vieux serveur, ou on ne met pas de données sensible dans tout les cas pour plusieurs raisons.
Si le poste à 7 ans il n'est plus très fiable (usure matériel, accumulation de bug), consomme souvent beaucoup : gestion de l'alimentation par des vieux OS pas top, alimentation usé, processeur et mémoire gourmande et plus sollicité par les application qui évolue etc ...