COMPTOIR
  
register

Composé par ————— —— 12503 vues

Spectre continue son ravage dans le noyau Linux (MAJ)

MAJ 17/11: A la demande d'utilisateurs sur le forum Phoronix, voilà que des benchmarks ont été ajoutés pour comparer les performances EPYC vs Xeon. (Merci Xorg pour l'info !)

On vous épargne un nouveau topo sur Meltdown et Spectre, les failles star de l'année 2018 permettant de dumper l'intégralité de la RAM grâce aux exécutions préventives un peu trop hâtives. Bien que le sujet soit quelque peu retombé avec l'automne, cela ne signifie pas qu'une solution miracle ait été trouvée, bien au contraire.

 

En effectuant des tests des performances du prochain noyau Linux, le 4.20 ; nos confrères de chez Phoronix ont constaté des pertes allant de nulles à très importantes (50% du DaCapo, un benchmark basé sur Java). Ni une ni deux, les voilà dans les sources du pingouin, à la recherche du commit coupable.

 

microsoft coule penguin cdh

Aura-t'on le même soucis avec l'OS de la Raymonde ?

 

Suprise (ou non, justement), il s'agit de celui introduisant les Single Thread Indirect Branch Predictors (STIBP), un moyen de protection contre les failles L1TF et Foreshadow, qui pour rappel permettent à un hyperthread de piquer les données de son thread jumeau sur les CPU Intel pourvu d'Hyperthreading. Les tests de Phoronix étant évalués sur un Core i9 7960X et Core i9 7980XE , on comprends désormais le comportement (qui, soit dit en passant, ne se produit pas sur le  Threadripper 2990WX également utilisé).

 

Voilà une nouvelle qui va donc plaire aux possesseurs de processeurs rouges, d'autant plus que les pertes sont importantes sur les gros multicœurs destinés aux serveurs. A ce stade et dans le cadre d'une utilisation très spécifique uniquement, peut-être vaut-il mieux désactiver l'Hyperthreading comme chez OpenBSD et se passer de la correction software ?

 

Le test complet chez Phoronix
Un poil avant ?

Live Twitch • Un peu de multi sur Battlefield V

Un peu plus tard ...

Fonkerie • les caméos de Stan Lee

Les 14 ragots
Les ragots sont actuellement
ouverts à tous, c'est open bar !
par pascal2lille, le Lundi 19 Novembre 2018 à 12h00  
par Un ragoteur qui draille en Nouvelle-Aquitaine, le Lundi 19 Novembre 2018 à 00h32
... d'ailleurs ça marche aussi avec les vieux malades, on débranche et y'a plus de maladies, par contre le reboot risque d'être compliqué
dans quelque année on va rebooter tu vas voir, question de temps ...
par Un ragoteur qui draille en Nouvelle-Aquitaine, le Lundi 19 Novembre 2018 à 00h32  
par pascal2lille, le Dimanche 18 Novembre 2018 à 20h52
Bon, après il est bien rangé dans sa boite donc niveau vulnérabilité, je suis tranquille
La meilleure protection en informatique c'est quand la machine est débranchée. (d'ailleurs ça marche aussi avec les vieux malades, on débranche et y'a plus de maladies, par contre le reboot risque d'être compliqué )
par pascal2lille, le Dimanche 18 Novembre 2018 à 20h52  
Cool, mon dual core E6850 serait protégé, me voilà rassuré
Bon, après il est bien rangé dans sa boite donc niveau vulnérabilité, je suis tranquille
par Dylem, le Dimanche 18 Novembre 2018 à 12h48  
par Un programmeur en Île-de-France, le Dimanche 18 Novembre 2018 à 12h45
Uniquement des failles L1TF et Foreshadow, mais oui, le SMT (ou HT chez Intel) est particulièrement vulnérable à toutes ces nouvelles attaques.

Ceci dit, en tant que particulier qui ne partage pas son ordinateur avec des étrangers, vous pouvez en toute quiétude désactiver toutes ces mitigations coûteuses en performances, à condition de mettre (et de conserver) à jour les logiciels susceptibles d'exécuter un code téléchargé: navigateur et son moteur JavaScript, runtime Java, plugin Flash, lecteur PDF, voire logiciels de traitement de texte, de tableur, de base de données, tous susceptibles d'exécuter un macro-langage contenus dans des fichiers téléchargés.

Pour ma part, j'ai désactivé (via un patch de moins de 10 lignes) toutes les mitigations du noyau Linux sur toutes mes machines (y compris mon pare-feu !), car je sais, en tant que programmeur, que je n'y suis pas vulnérable.
J'ai ni Flash, ni Java sur mon PC.
Mon BIOS est à jour, mon OS aussi, je préfère garder les protections, elle coute rien en jeu.

Mais merci.
par Un programmeur en Île-de-France, le Dimanche 18 Novembre 2018 à 12h45  
par Dylem, le Dimanche 18 Novembre 2018 à 11h11
Du coup, en désactivant l'HT, je suis protégé?
Uniquement des failles L1TF et Foreshadow, mais oui, le SMT (ou HT chez Intel) est particulièrement vulnérable à toutes ces nouvelles attaques.

Ceci dit, en tant que particulier qui ne partage pas son ordinateur avec des étrangers, vous pouvez en toute quiétude désactiver toutes ces mitigations coûteuses en performances, à condition de mettre (et de conserver) à jour les logiciels susceptibles d'exécuter un code téléchargé: navigateur et son moteur JavaScript, runtime Java, plugin Flash, lecteur PDF, voire logiciels de traitement de texte, de tableur, de base de données, tous susceptibles d'exécuter un macro-langage contenus dans des fichiers téléchargés.

Pour ma part, j'ai désactivé (via un patch de moins de 10 lignes) toutes les mitigations du noyau Linux sur toutes mes machines (y compris mon pare-feu !), car je sais, en tant que programmeur, que je n'y suis pas vulnérable.
par Dylem, le Dimanche 18 Novembre 2018 à 11h11  
Du coup, en désactivant l'HT, je suis protégé?
Message de Un ragoteur RGB en Auvergne-Rhône-Alpes supprimé par un modérateur : HS total
par Un ragoteur charitable des Hauts-de-France, le Dimanche 18 Novembre 2018 à 09h17  
par Jemporte, le Dimanche 18 Novembre 2018 à 00h03
Spectre ne touche donc pas le Core 2 (C2D, C2Q). Ca n'a jamais été très claire. Par contre pourrait toucher son prédécesseur, le gros du haut de gamme Pentium IV.
C'est probablement fortement lié à l'HT : Pentium 4C et plus, et tous les core I, mais pas la génération Core2. ça colle avec les conseils de BSD désactivant l'HT
par Un programmeur en Île-de-France, le Dimanche 18 Novembre 2018 à 08h54  
par Nicolas D., le Samedi 17 Novembre 2018 à 22h57
'ai du mal à voir en quoi le titre peut être mal compris ?
Le titre implique que Linux serait le seul touchéalors qu'il n'a fait qu'implémenté un contournement (désactivable indépendamment des autres) utilisant une nouvelle fonctionnalité implémentés dans les nouveaux micro-code Intel pour ce type de mitigation. Windows (et les autres OS) seront touchés également lorsqu'ils l'implémenteront à leur tour.

 
un joli récapitulatif de toutes les failles découvertes .../... mais ne comporte rien de nouveau.
Suivez le lien vers le document des chercheurs; ils y listent une tétrachiée de variantes, dont, par exemple Metdown-BR qui affecte Ryzen, chose qu'ils sont les premiers à démontrer, alors que tout le monde croyait jusqu'ici qu'AMD était épargné par Meltdown.

 
je ne dis jamais qu'AMD est épargné par l'intégralité des failles, simplement par le correctif STIBP introduit en 4.20, rien de plus
Citation: "Voilà une nouvelle qui va donc plaire aux possesseurs de processeurs rouges". Je ne vois pas pourquoi AMD pourrait se réjouir alors qu'au contraire d'Intel il ne se bouge pas vraiment pour modifier ses micro-codes et fournir des contournements aux failles qui le touchent...

 
J'en profite au passage pour rappeller qu'un simple script javascript permettait de lire le contenu de la RAM, niveau vie privée et sécurité sur le web, c'était quand même pas anodin pour Mr Tout-le-monde .
"Permettait", oui. Ce n'est plus la cas: Javascipt ne fourni plus de primitive de mesure du temps suffisamment précise pour construire le canal parallèle (une gigue aléatoire est introduite).
par Un ragoteur charitable des Hauts-de-France, le Dimanche 18 Novembre 2018 à 08h27  
par Un programmeur en Île-de-France, le Samedi 17 Novembre 2018 à 20h03
Enfin, rappelons que ces failles ne sont dangereuses que pour les ordinateurs partagés entre utilisateurs, pas pour le PC qui trône chez vous et moi et dont les logiciels
Ah non pas du tout ! avec ce genre de failles la mémoire n'est plus étanche: une pub dans un onglet web, peut exploiter javascript et accéder à un document ouvert sur ton PC (ex: Keepass ouvert avec tous tes mots de passes, ou un excel des comptes que t'es en train de faire, ou encore un onglet de webmail mail...).
Même si tu lançais une unique appli à la fois en redémarrant entre chaque tu es exposé : il suffit qu'un antivirus scan ton disque et tous les fichiers de ton disque vont passer tôt ou tard en mémoire...
par Jemporte, le Dimanche 18 Novembre 2018 à 00h03  
Spectre ne touche donc pas le Core 2 (C2D, C2Q). Ca n'a jamais été très claire. Par contre pourrait toucher son prédécesseur, le gros du haut de gamme Pentium IV.
par Nicolas D., le Samedi 17 Novembre 2018 à 22h57  
par Un programmeur en Île-de-France, le Samedi 17 Novembre 2018 à 20h03
bla
Effectivement, ce n'est pas la faute de Linux - ce qui n'est jamais dit - mais c'est bien Spectre qui tue les performances de l'OS ; j'ai du mal à voir en quoi le titre peut être mal compris ?

Le lien est un joli récapitulatif de toutes les failles découvertes, merci de l'info mais ne comporte rien de nouveau. Relis bien l'article, je ne dis jamais qu'AMD est épargné par l'intégralité des failles, simplement par le correctif STIBP introduit en 4.20, rien de plus

J'en profite au passage pour rappeller qu'un simple script javascript permettait de lire le contenu de la RAM, niveau vie privée et sécurité sur le web, c'était quand même pas anodin pour Mr Tout-le-monde .