Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Meltdown et Spectre : Intel recommande l'arrêt du déploiement des correctifs
Des soucis avec la microarchitecture Ivy Bridge et suivantes

Le , par Patrick Ruiz

141PARTAGES

13  0 
Intel a émis une nouvelle note d’information à l’intention des fabricants d’équipements d’origine, fournisseurs de services cloud, fabricants de systèmes, vendeurs de logiciels et utilisateurs finals. La firme de Santa Clara recommande l’arrêt du déploiement des correctifs pour la vulnérabilité Spectre.

Le fondeur apporte réponse à des signalements de redémarrage après l’application des patchs mis à la disposition du public le 3 janvier dernier. « Spécifiquement, ces systèmes sont basés sur les microarchitectures Broadwell et Haswell pour environnements clients et serveurs », précisait l’entreprise il y a bientôt deux semaines. La liste des architectures concernées est cependant à étendre. Dans un billet paru le 17 janvier dernier en effet, Intel fait état de constats similaires sur les architectures Ivy Bridge, Sandy Bridge, SkyLake et KabyLake. On parle donc ici d’ordinateurs équipés de processeurs vieux d’au moins six ans, la microarchitecture Ivy Bridge étant utilisée depuis 2012.


Meltdown et Spectre… De quoi faire pousser les cheveux blancs aux ingénieurs d’Intel depuis la publication des détails par l’équipe du projet Google Zero. Référencée CVE-2017-5754, Meltdown permet à un programme d’avoir accès à la mémoire du kernel du système d’exploitation et est, d’avis d’experts, la plus évidente à corriger. À contrario, la vulnérabilité Spectre dans sa variante « Branch Target Injection », est, semble-t-il, celle qui continue de donner du fil à retordre au fondeur. Son exploitation consiste, pour un attaquant, à mettre à profit la capacité d’un processus à influer sur l’exécution spéculative d’un autre sur le même cœur du processeur.

Contrairement au propos initial d’Intel qui clamait que l’application des correctifs serait sans dégradation de performances sur ses processeurs, les résultats de benchmark fusent et établissent le contraire. La firme de Santa Clara elle-même a fait état de dégradations de performances pouvant aller jusqu’à 25 % dans des environnements serveur. Intel doit désormais composer avec les redémarrages en plus.

Un correctif du correctif ? Intel annonce avoir identifié la cause profonde des soucis avec les plateformes Broadwell et Haswell. « Durant la semaine, nous avons amorcé le déploiement d’une mise à jour pour test par nos partenaires industriels, et nous procéderons à une release finale une fois que le processus est achevé », a écrit le fondeur. Pas de détails supplémentaires de la part d’Intel.

S’il est manifeste que les correctifs Intel s’accompagnent de problèmes de compatibilité et de dégradations de performances, il n’en va pas de même pour Google, qui serait parvenu à corriger les trois failles sans impact notable sur les performances de ses systèmes. La firme de Mountain View propose Retpoline, une nouvelle technique de mitigation de la vulnérabilité Spectre. Contrairement à Intel qui propose des mises à jour du microcode, il s’agit ici d’une atténuation logicielle au niveau de l’hyperviseur et du système d’exploitation. Elle permet d’effectuer des appels indirects sans spéculation. Google explique l’avoir utilisé en interne sans avoir reçu la moindre plainte des clients de Google Cloud Platform en termes de réduction de performances.

Source

Intel

Votre opinion

Quelle politique de mise à jour avez-vous mise en place sur les parcs d’ordinateurs dont vous êtes responsable ?

Voir aussi

Meltdown et Spectre : un outil PowerShell est disponible, il permet de faire l'état des lieux des protections sous Windows
Vulnérabilités Meltdown et Spectre : état des lieux des navigateurs, Chrome, Mozilla et Edge face au vecteur d'exploitation JavaScript

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de AndMax
Membre éclairé https://www.developpez.com
Le 05/04/2018 à 13:34
Toutefois, certaines microarchitectures se retrouvent associées à la mention « arrêt » au sein de la feuille de route en raison du caractère propriétaire des technologies mises en œuvre, ce qui, d’après Intel, annule la nécessité de mettre un patch à disposition des utilisateurs.
Donc "technologie propriétaire = obsolescence programmée et pas de support" ?

Durée de support d'un CPU Intel inférieure à 7 ans ?
4  1 
Avatar de marsupial
Membre expert https://www.developpez.com
Le 23/01/2018 à 19:59
Je n'ai pas le nombre en tête mais c'est déjà tout vu avec notre fournisseur. Cela donne du boulot mais la décision a été prise il y a une semaine. Nous avons fait une image et on l'a descendu. Face à différents constats :

- dégradation des performances en Intel pour Meltdown inacceptable
- fiasco terrible lors de l'application des patchs MS et microcode Intel pour les stations de travail
- si au bout de 7 mois de connaissance de la faille en embargo, ils ne peuvent pas faire mieux, nous ne pouvons pas nous permettre d'attendre maintenant qu'elle est révélée

* à terme, il est prévu de migrer l'intégralité du parc en AMD qui n'est vulnérable "qu'à Spectre" parce que comme le fait remarquer Linus Torvalds, a priori, Intel prend la situation un peu trop à la légère

Nous nous sommes mis en relation avec Google pour qu'ils nous communiquent leur patch. Cela fait un peu mal aux fesses niveau sous mais un ptit check vaut mieux qu'un gros hack.
2  0 
Avatar de marsupial
Membre expert https://www.developpez.com
Le 23/01/2018 à 15:58
Ce qu'en pense linus torvalds

Edit :
Les serveurs névralgiques à haute disponibilité ont migré en AMD. Le reste du parc nous verrons au coup par coup.
1  0 
Avatar de Jipété
Expert éminent sénior https://www.developpez.com
Le 23/01/2018 à 18:41
Citation Envoyé par marsupial Voir le message
Ce qu'en pense linus torvalds
Fouhhh, il est pas content le monsieur (on peut le comprendre...)

Citation Envoyé par marsupial Voir le message
Les serveurs névralgiques à haute disponibilité ont migré en AMD.
Just curious : et vous avez fait ça comment ?
Parce qu'écrit comme ça, on dirait que c'est aussi simple que de changer de chemise, mais encore fallait-il avoir les procs (combien ?) sous la main, et les cartes-mères qui vont bien, et les mémoires adaptées, pi peut-être refaire un noyau, bref, c'est un poil plus tendu que de simplement changer de chemise, non ?
1  0 
Avatar de Gogo52120
Membre du Club https://www.developpez.com
Le 09/02/2018 à 9:48
"les broches d'alimentation pour carte mère à CPU Intel sont bien les mêmes que pour AMD...
Toute les cartes mères ne sont pas faite pour les CPU gourmand en Watt."

ça dépend, les deux marques ont des processeurs basse consommation (moins de 65 watts) comme des processeurs très gourmand avec plus de 165 watts comme un i9-7960X ou threadripper ou puces serveurs.

ça dépend des cartes mères, elles ont parfois un connecteur 4 pins pour le processeur ou 8. Pour les cartes serveur à double cpu on monte à 2x 8pins juste pour le CPU en plus d'une partie qui passe déjà dans le connecteur 20/24 pins pour la cartes mère (qui alimente aussi les cartes graphiques jusqu'a 75 watts en pci.

Les cartes ont des phases d'alimentation pour le cpu, plus ils y en a, plus ont peut monté un processeur gourmand ou le faire tourné de manière stable (si tout les autre condition sont réunie comme une bonne alimentation) ...
1  0 
Avatar de AndMax
Membre éclairé https://www.developpez.com
Le 05/04/2018 à 14:31
Citation Envoyé par Gogo52120 Voir le message
C'est déjà beaucoup 7 ans sur des applications critique !
Oui tout à fait d'accord, mais c'est si peu si on examine la quantité énorme de ressources qu'il faut pour en fabriquer un.
1  0 
Avatar de Gogo52120
Membre du Club https://www.developpez.com
Le 09/04/2018 à 16:41
En général, les pc qui ont plus de 7 ans ont déjà d'autre faille de sécurité que spectre donc bon (os, Intel ME ou équivalent amd, pilote ...)
Si ont tient vraiment à la sécurité, on ne garde pas des vieux postes ou vieux serveur, ou on ne met pas de données sensible dans tout les cas pour plusieurs raisons.
Si le poste à 7 ans il n'est plus très fiable (usure matériel, accumulation de bug), consomme souvent beaucoup : gestion de l'alimentation par des vieux OS pas top, alimentation usé, processeur et mémoire gourmande et plus sollicité par les application qui évolue etc ...
1  0 
Avatar de CaptainDangeax
Membre éclairé https://www.developpez.com
Le 23/01/2018 à 9:55
Allons bon. Mon Linuxmint m'a proposé une mise à jour du Intel Microcode hier soir. J'espère que ça ne va pas mettre mon i7-2600 par terre.
0  0 
Avatar de coolspot
Membre confirmé https://www.developpez.com
Le 24/01/2018 à 2:29
Ouais donc on en revient à la citation de Linus début Janvier quand il disait que Intel allait éternellement livrer des patch de merde et ne jamais rien corrigé.
0  0 
Avatar de Gogo52120
Membre du Club https://www.developpez.com
Le 26/01/2018 à 9:39
"les architectures Ivy Bridge, Sandy Bridge, SkyLake et KabyLake. On parle donc ici d’ordinateurs équipés de processeurs vieux d’au moins six ans"

NON De Ivy Bridge à KabyLake donc de maintenant et 2012

Par exemple mon DELL est monté avec un E3-1245V5 qui est un SkyLake.
D'ailleur je le trouve plus lent en ce moment sur certaine tache comme avec un runtime acces qui est moins fluide sur mon ERP (la base SQL, elle est sur un serveur non mis à jours depuis décembre)
0  0