Meltdown et Spectre : Intel recommande l'arrêt du déploiement des correctifs
Des soucis avec la microarchitecture Ivy Bridge et suivantes

Le , par Patrick Ruiz, Chroniqueur Actualités
Intel a émis une nouvelle note d’information à l’intention des fabricants d’équipements d’origine, fournisseurs de services cloud, fabricants de systèmes, vendeurs de logiciels et utilisateurs finals. La firme de Santa Clara recommande l’arrêt du déploiement des correctifs pour la vulnérabilité Spectre.

Le fondeur apporte réponse à des signalements de redémarrage après l’application des patchs mis à la disposition du public le 3 janvier dernier. « Spécifiquement, ces systèmes sont basés sur les microarchitectures Broadwell et Haswell pour environnements clients et serveurs », précisait l’entreprise il y a bientôt deux semaines. La liste des architectures concernées est cependant à étendre. Dans un billet paru le 17 janvier dernier en effet, Intel fait état de constats similaires sur les architectures Ivy Bridge, Sandy Bridge, SkyLake et KabyLake. On parle donc ici d’ordinateurs équipés de processeurs vieux d’au moins six ans, la microarchitecture Ivy Bridge étant utilisée depuis 2012.


Meltdown et Spectre… De quoi faire pousser les cheveux blancs aux ingénieurs d’Intel depuis la publication des détails par l’équipe du projet Google Zero. Référencée CVE-2017-5754, Meltdown permet à un programme d’avoir accès à la mémoire du kernel du système d’exploitation et est, d’avis d’experts, la plus évidente à corriger. À contrario, la vulnérabilité Spectre dans sa variante « Branch Target Injection », est, semble-t-il, celle qui continue de donner du fil à retordre au fondeur. Son exploitation consiste, pour un attaquant, à mettre à profit la capacité d’un processus à influer sur l’exécution spéculative d’un autre sur le même cœur du processeur.

Contrairement au propos initial d’Intel qui clamait que l’application des correctifs serait sans dégradation de performances sur ses processeurs, les résultats de benchmark fusent et établissent le contraire. La firme de Santa Clara elle-même a fait état de dégradations de performances pouvant aller jusqu’à 25 % dans des environnements serveur. Intel doit désormais composer avec les redémarrages en plus.

Un correctif du correctif ? Intel annonce avoir identifié la cause profonde des soucis avec les plateformes Broadwell et Haswell. « Durant la semaine, nous avons amorcé le déploiement d’une mise à jour pour test par nos partenaires industriels, et nous procéderons à une release finale une fois que le processus est achevé », a écrit le fondeur. Pas de détails supplémentaires de la part d’Intel.

S’il est manifeste que les correctifs Intel s’accompagnent de problèmes de compatibilité et de dégradations de performances, il n’en va pas de même pour Google, qui serait parvenu à corriger les trois failles sans impact notable sur les performances de ses systèmes. La firme de Mountain View propose Retpoline, une nouvelle technique de mitigation de la vulnérabilité Spectre. Contrairement à Intel qui propose des mises à jour du microcode, il s’agit ici d’une atténuation logicielle au niveau de l’hyperviseur et du système d’exploitation. Elle permet d’effectuer des appels indirects sans spéculation. Google explique l’avoir utilisé en interne sans avoir reçu la moindre plainte des clients de Google Cloud Platform en termes de réduction de performances.

Source

Intel

Votre opinion

Quelle politique de mise à jour avez-vous mise en place sur les parcs d’ordinateurs dont vous êtes responsable ?

Voir aussi

Meltdown et Spectre : un outil PowerShell est disponible, il permet de faire l'état des lieux des protections sous Windows
Vulnérabilités Meltdown et Spectre : état des lieux des navigateurs, Chrome, Mozilla et Edge face au vecteur d'exploitation JavaScript


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de CaptainDangeax CaptainDangeax - Membre averti https://www.developpez.com
le 23/01/2018 à 9:55
Allons bon. Mon Linuxmint m'a proposé une mise à jour du Intel Microcode hier soir. J'espère que ça ne va pas mettre mon i7-2600 par terre.
Avatar de marsupial marsupial - Membre chevronné https://www.developpez.com
le 23/01/2018 à 15:58
Ce qu'en pense linus torvalds

Edit :
Les serveurs névralgiques à haute disponibilité ont migré en AMD. Le reste du parc nous verrons au coup par coup.
Avatar de Jipété Jipété - Expert éminent https://www.developpez.com
le 23/01/2018 à 18:41
Citation Envoyé par marsupial Voir le message
Ce qu'en pense linus torvalds
Fouhhh, il est pas content le monsieur (on peut le comprendre...)

Citation Envoyé par marsupial Voir le message
Les serveurs névralgiques à haute disponibilité ont migré en AMD.
Just curious : et vous avez fait ça comment ?
Parce qu'écrit comme ça, on dirait que c'est aussi simple que de changer de chemise, mais encore fallait-il avoir les procs (combien ?) sous la main, et les cartes-mères qui vont bien, et les mémoires adaptées, pi peut-être refaire un noyau, bref, c'est un poil plus tendu que de simplement changer de chemise, non ?
Avatar de marsupial marsupial - Membre chevronné https://www.developpez.com
le 23/01/2018 à 19:59
Je n'ai pas le nombre en tête mais c'est déjà tout vu avec notre fournisseur. Cela donne du boulot mais la décision a été prise il y a une semaine. Nous avons fait une image et on l'a descendu. Face à différents constats :

- dégradation des performances en Intel pour Meltdown inacceptable
- fiasco terrible lors de l'application des patchs MS et microcode Intel pour les stations de travail
- si au bout de 7 mois de connaissance de la faille en embargo, ils ne peuvent pas faire mieux, nous ne pouvons pas nous permettre d'attendre maintenant qu'elle est révélée

* à terme, il est prévu de migrer l'intégralité du parc en AMD qui n'est vulnérable "qu'à Spectre" parce que comme le fait remarquer Linus Torvalds, a priori, Intel prend la situation un peu trop à la légère

Nous nous sommes mis en relation avec Google pour qu'ils nous communiquent leur patch. Cela fait un peu mal aux fesses niveau sous mais un ptit check vaut mieux qu'un gros hack.
Avatar de coolspot coolspot - Membre confirmé https://www.developpez.com
le 24/01/2018 à 2:29
Ouais donc on en revient à la citation de Linus début Janvier quand il disait que Intel allait éternellement livrer des patch de merde et ne jamais rien corrigé.
Avatar de Gogo52120 Gogo52120 - Nouveau membre du Club https://www.developpez.com
le 26/01/2018 à 9:39
"les architectures Ivy Bridge, Sandy Bridge, SkyLake et KabyLake. On parle donc ici d’ordinateurs équipés de processeurs vieux d’au moins six ans"

NON De Ivy Bridge à KabyLake donc de maintenant et 2012

Par exemple mon DELL est monté avec un E3-1245V5 qui est un SkyLake.
D'ailleur je le trouve plus lent en ce moment sur certaine tache comme avec un runtime acces qui est moins fluide sur mon ERP (la base SQL, elle est sur un serveur non mis à jours depuis décembre)
Avatar de Patrick Ruiz Patrick Ruiz - Chroniqueur Actualités https://www.developpez.com
le 09/02/2018 à 3:12
Meltdown et Spectre : Intel publie un nouveau microcode pour la plateforme SkyLake
Des correctifs pour Broadwell et Haswell sont déjà en tests

Intel a mis un nouveau microcode pour l’architecture SkyLake à disposition des fabricants d’équipements d’origine (OEM) et de ses partenaires industriels. Le nouveau correctif est censé mettre fin aux problèmes de redémarrage signalés par des consommateurs après l’application des correctifs mis à la disposition du public le 3 janvier dernier.


Le fondeur avait initialement pointé les microarchitectures Broadwell et Haswell pour environnements clients et serveurs, arguant qu'elles étaient les seules concernées par les signalements. Dans un billet paru le 17 janvier cependant, Intel a fait une mise à jour des microarchitectures concernées en incluant Ivy Bridge, Sandy Bridge, SkyLake et KabyLake. Cette situation a conduit l’entreprise à recommander l’arrêt du déploiement des correctifs dans une note d’information parue le 22 janvier. L’entreprise avait dans le même temps annoncé avoir identifié la cause profonde des redémarrages sur les plateformes Broadwell et Haswell.

Les enseignements engrangés avec ces microarchitectures devaient aider le fondeur à apporter des solutions aux problèmes rencontrés avec les autres plateformes. Avec la microarchitecture SkyLake, Intel a, semble-t-il, pris de l’avance sur Broadwell et Haswell. La firme annonce en effet la mise à disposition de nouvelles versions de microcodes qui vont directement en production. Dans les cas Broadwell et Haswell, ce sont des bêta de microcodes qui sont en phase de test chez les fabricants d’équipement d’origine et les partenaires. Il semble qu’Intel ne fera plus de communication au sujet des versions définitives. Cette posture peut se justifier quand on sait qu’une fois prêtes, les OEM et les éditeurs de systèmes d’exploitation font le nécessaire pour qu’elles soient acheminées aux utilisateurs finals.


D’ailleurs, à propos de ces derniers, le déploiement des correctifs du 3 janvier est à l’arrêt. Faisant suite à la recommandation d’Intel, Microsoft a publié une mise à jour (KB4078130) de désactivation des correctifs de la vulnérabilité Spectre. Elle est disponible sur le site du catalogue de mises à jour de Microsoft. « Intel a communiqué de nouvelles directives concernant les problèmes de redémarrage et le comportement imprévisible du système avec le microcode inclus dans les mises à jour du BIOS publiées pour résoudre Spectre(variante 2), CVE-2017-5715. Dell conseille à tous les clients de ne pas déployer la mise à jour du BIOS pour la vulnérabilité Spectre (variante 2) pour le moment. Nous avons supprimé les mises à jour du BIOS affectées de nos pages de support et travaillons avec Intel sur une nouvelle mise à jour du BIOS qui inclura un nouveau microcode d'Intel », a écrit le constructeur d’ordinateurs. Même son de cloche chez HP qui a annoncé des mesures similaires.

Le déploiement des correctifs chez ces OEM pourra donc reprendre sur leurs parcs d’ordinateurs intégrant des processeurs SkyLake. Du retard néanmoins pour Intel qui, au début de cette apocalypse numérique, a promis d'apporter une solution définitive à ces vulnérabilités au plus tard à la fin du mois de janvier.

D’après une publication du Wall Street Journal, Alibaba et Lenovo ont été informés de l’existence de ces failles en premier, ce qui laisse penser que la Chine a une longueur d’avance ; de quoi réveiller les États-Unis qui préviennent : « gardez vos systèmes à jour. »

Source

Intel

Votre opinion

Quelle politique de mise à jour avez-vous mise en place sur les parcs d’ordinateurs dont vous êtes responsable ?

Voir aussi

Meltdown et Spectre : un outil PowerShell est disponible, il permet de faire l'état des lieux des protections sous Windows
Vulnérabilités Meltdown et Spectre : état des lieux des navigateurs, Chrome, Mozilla et Edge face au vecteur d'exploitation JavaScript
Avatar de MikeRowSoft MikeRowSoft - I.A. en bêta-test https://www.developpez.com
le 09/02/2018 à 5:57
Je ne me sent pas concerné par cette article, mais je présume que choisir une marque "pro active" et avoir du matériel plutôt récent facilite grandement les choses.

La plus part du temps, plus la carte mère monte en gamme plus le constructeur rajoute des options propriétaire faisant qu'un "Intel Update" comme pour le driver de carte graphique n'est pas possible.

Microsoft aurait du proposer une autre mise à jour en facultatif avec une petite alarme, car il se peut que des systèmes ne puissent obtenir le correctif. Les techniciens SAV devrait avoir du boulot en plus des administrateurs systèmes entre BIOS et Windows Update Alarmiste... Certain passe des journées à constater des "courts jus" sur du matériel qu'ils ont probablement assemblé eux même pour les clients et les plus honnête dépanne gratuitement...

AMD et ARM ?
les broches d'alimentation pour carte mère à CPU Intel sont bien les mêmes que pour AMD...
Toute les cartes mères ne sont pas faite pour les CPU gourmand en Watt.
Avatar de Gogo52120 Gogo52120 - Nouveau membre du Club https://www.developpez.com
le 09/02/2018 à 9:48
"les broches d'alimentation pour carte mère à CPU Intel sont bien les mêmes que pour AMD...
Toute les cartes mères ne sont pas faite pour les CPU gourmand en Watt."

ça dépend, les deux marques ont des processeurs basse consommation (moins de 65 watts) comme des processeurs très gourmand avec plus de 165 watts comme un i9-7960X ou threadripper ou puces serveurs.

ça dépend des cartes mères, elles ont parfois un connecteur 4 pins pour le processeur ou 8. Pour les cartes serveur à double cpu on monte à 2x 8pins juste pour le CPU en plus d'une partie qui passe déjà dans le connecteur 20/24 pins pour la cartes mère (qui alimente aussi les cartes graphiques jusqu'a 75 watts en pci.

Les cartes ont des phases d'alimentation pour le cpu, plus ils y en a, plus ont peut monté un processeur gourmand ou le faire tourné de manière stable (si tout les autre condition sont réunie comme une bonne alimentation) ...
Avatar de MikeRowSoft MikeRowSoft - I.A. en bêta-test https://www.developpez.com
le 09/02/2018 à 21:18
Merci !

Ne reste plus qu'a mieux connaitre ce qui se fait chez Apple et IBM !
Contacter le responsable de la rubrique Accueil