Vulnerabilité SRBDS

[yandake]

Bonjour,

J’utilise une machine équipée d’un Intel Xeon E3-1245 V2 qui tourne sous MX-19.4.1_x64 “ahs”.

Ci-joint la copie de l’information système.

Code: Select all

 System:    Host: <filter> Kernel: 5.10.0-5mx-amd64 x86_64 bits: 64 compiler: N/A 
           parameters: BOOT_IMAGE=/boot/vmlinuz-5.10.0-5mx-amd64 
           root=UUID=<filter> ro quiet splash nosmt 
           Desktop: Xfce 4.14.2 tk: Gtk 3.24.5 info: xfce4-panel wm: xfwm4 dm: LightDM 1.26.0 
           Distro: MX-19.4_ahs_x64 patito feo March 31  2021 base: Debian GNU/Linux 10 (buster) 
Machine:   Type: Desktop System: Hewlett-Packard product: HP Z220 CMT Workstation v: N/A 
           serial: <filter> Chassis: type: 6 serial: <filter> 
           Mobo: Hewlett-Packard model: 1790 serial: <filter> BIOS: Hewlett-Packard 
           v: K51 v01.87 date: 06/10/2019 
CPU:       Topology: Quad Core model: Intel Xeon E3-1245 V2 bits: 64 type: MCP arch: Ivy Bridge 
           family: 6 model-id: 3A (58) stepping: 9 microcode: 21 L2 cache: 8192 KiB 
           flags: avx lm nx pae sse sse2 sse3 sse4_1 sse4_2 ssse3 vmx bogomips: 27136 
           Speed: 1689 MHz min/max: 1600/3800 MHz Core speeds (MHz): 1: 1621 2: 1600 3: 1596 
           4: 1667 
           Vulnerabilities: Type: itlb_multihit status: KVM: VMX disabled 
           Type: l1tf mitigation: PTE Inversion; VMX: conditional cache flushes, SMT disabled 
           Type: mds mitigation: Clear CPU buffers; SMT disabled 
           Type: meltdown mitigation: PTI 
           Type: spec_store_bypass 
           mitigation: Speculative Store Bypass disabled via prctl and seccomp 
           Type: spectre_v1 mitigation: usercopy/swapgs barriers and __user pointer sanitization 
           Type: spectre_v2 
           mitigation: Full generic retpoline, IBPB: conditional, IBRS_FW, RSB filling 
           Type: srbds status: Vulnerable: No microcode 
           Type: tsx_async_abort status: Not affected 
Graphics:  Device-1: NVIDIA GF108GL [Quadro 600] vendor: Hewlett-Packard driver: nvidia 
           v: 390.141 bus ID: 01:00.0 chip ID: 10de:0df8 
           Display: x11 server: X.Org 1.20.10 driver: nvidia 
           unloaded: fbdev,modesetting,nouveau,vesa alternate: nv resolution: 1920x1200~60Hz 
           OpenGL: renderer: Quadro 600/PCIe/SSE2 v: 4.6.0 NVIDIA 390.141 direct render: Yes 
Audio:     Device-1: Intel 7 Series/C216 Family High Definition Audio vendor: Hewlett-Packard 
           driver: snd_hda_intel v: kernel bus ID: 00:1b.0 chip ID: 8086:1e20 
           Device-2: NVIDIA GF108 High Definition Audio vendor: Hewlett-Packard 
           driver: snd_hda_intel v: kernel bus ID: 01:00.1 chip ID: 10de:0bea 
           Device-3: Philips (or NXP) type: USB driver: snd-usb-audio,uvcvideo bus ID: 1-1.2:4 
           chip ID: 0471:20bb 
           Sound Server: ALSA v: k5.10.0-5mx-amd64 
Network:   Device-1: Intel 82579LM Gigabit Network vendor: Hewlett-Packard driver: e1000e 
           v: kernel port: f040 bus ID: 00:19.0 chip ID: 8086:1502 
           IF: eth0 state: up speed: 1000 Mbps duplex: full mac: <filter> 
           Device-2: TP-Link TL-WN821N Version 5 RTL8192EU type: USB driver: rtl8192eu 
           bus ID: 1-1.1:3 chip ID: 2357:0107 serial: <filter> 
           IF: wlan0 state: down mac: <filter> 
Drives:    Local Storage: total: 381.94 GiB used: 90.40 GiB (23.7%) 
           ID-1: /dev/sda vendor: Intel model: SSDSA2BW160G3L size: 149.05 GiB block size: 
           physical: 512 B logical: 512 B speed: 3.0 Gb/s serial: <filter> rev: LE05 scheme: MBR 
           ID-2: /dev/sdb vendor: Seagate model: ST250DM000-1BD141 size: 232.89 GiB block size: 
           physical: 4096 B logical: 512 B speed: 6.0 Gb/s rotation: 7200 rpm serial: <filter> 
           rev: HP73 temp: 31 C scheme: MBR 
Partition: ID-1: / raw size: 149.05 GiB size: 145.71 GiB (97.76%) used: 8.82 GiB (6.1%) fs: ext4 
           dev: /dev/sda1 
           ID-2: /home raw size: 143.55 GiB size: 140.30 GiB (97.73%) used: 46.36 GiB (33.0%) 
           fs: ext4 dev: /dev/sdb1 
Sensors:   System Temperatures: cpu: 31.0 C mobo: N/A gpu: nvidia temp: 55 C 
           Fan Speeds (RPM): N/A gpu: nvidia fan: 30% 
Repos:     No active apt repos in: /etc/apt/sources.list 
           Active apt repos in: /etc/apt/sources.list.d/debian-stable-updates.list 
           1: deb http://deb.debian.org/debian buster-updates main contrib non-free
           Active apt repos in: /etc/apt/sources.list.d/debian.list 
           1: deb http://deb.debian.org/debian buster main contrib non-free
           2: deb http://deb.debian.org/debian-security buster/updates main contrib non-free
           Active apt repos in: /etc/apt/sources.list.d/mx.list 
           1: deb https://mirrors.ircam.fr/pub/mx/packages/mx/repo/ buster main non-free
           2: deb https://mirrors.ircam.fr/pub/mx/packages/mx/repo/ buster ahs
           Active apt repos in: /etc/apt/sources.list.d/skype-stable.list 
           1: deb [arch=amd64] https://repo.skype.com/deb stable main
           No active apt repos in: /etc/apt/sources.list.d/various.list 
Info:      Processes: 242 Uptime: 4h 27m Memory: 15.59 GiB used: 1.98 GiB (12.7%) Init: SysVinit 
           v: 2.93 runlevel: 5 default: 5 Compilers: gcc: 8.3.0 alt: 8 Shell: quick-system-in 
           running in: quick-system-in inxi: 3.0.36 

Récement j’ai vérifié les vulnérabilités spectre-meltdown.

La seule vulnérabilité (connue à ce jour) rélévée est celle-ci:

Code: Select all

CVE-2020-0543 aka 'Special Register Buffer Data Sampling (SRBDS)'
* Mitigated according to the /sys interface:  NO  (Vulnerable: No microcode)
* SRBDS mitigation control is supported by the kernel:  YES  (found SRBDS implementation evidence in kernel image. Your kernel is up to date for SRBDS mitigation)
* SRBDS mitigation control is enabled and active:  NO 
> STATUS:  VULNERABLE  (Your CPU microcode may need to be updated to mitigate the vulnerability)

Pourtant j’ai installé le dernier microcode disponible (intel-microcode (3.20210216.1~deb10u1) buster).

Or je vois dans le message de vulnérabilté
* SRBDS mitigation control is supported by the kernel: YES
* SRBDS mitigation control is enabled and active: NO

Sachant que j’ai priori installé le dernier microcode disponible (intel-microcode (3.20210216.1~deb10u1 buster), ma question est als suiavnte.
Si le contrôle de l’attenuation de la vulnérabilité SRBS est supportée par le Kernel mais que celle ci n’est pas activée et active, y a til un moyen de l’activer et de la rendre active ?

Merci de vos conseils et retours d’experience.

Bien Cordialement,

Yan D.

[Huckleberry Finn]

Le microcode peut ne pas être en vigueur en raison de cette liste noire par défaut :

/etc/modprobe.d/intel-microcode-blacklist.conf

Code: Select all

# The microcode module attempts to apply a microcode update when
# it autoloads.  This is not always safe, so we block it by default.
blacklist microcode

[agnivo007]

Je ne pense pas que cela compte à moins que vous n'exécutiez un PC de contrôleur de réacteur nucléaire sur Internet public.

[yandake]

Bonjour,

Merci pour vos commentaires.

Le fichier intel-microcode-blacklist.conf contient bien "blacklist microcode".

Si c'est bien l'origine du problème que devrais je faire? (supprimer la ligne? ou indiquer autre chose?)

Merci

Bien Cordialement,

Yan D.

[yandake]

Bonjour à tous,

Un up pour ma question.

Car je ne sais toujours pas ce que dois faire et si quelque chose peut être fait.?

Bien Cordialement,

Yan D.

[Jerry3904]

Ceci veut dire que rien n'est nécessaire:

Code: Select all

Le microcode [b]peut ne pas être en vigueur[/b] en raison de cette liste noire par défaut :

/etc/modprobe.d/intel-microcode-blacklist.conf[

Tout est bien.

[yandake]

CVE-2020-0543Bonjour,
Merci pour vos commentaires.

@:Jerry3904

Ceci veut dire que rien n'est nécessaire:

Code: Select all

Le microcode peut ne pas être en vigueur en raison de cette liste noire par défaut :

/etc/modprobe.d/intel-microcode-blacklist.conf[

Tout est bien.

Oui je veux bien l'entendre. Mais alors pourquoi la recherche de vulnérabilité indique toujours

Code: Select all

SRBDS mitigation control is enabled and active: NO

?
Ou alors c'est que j'interprete mal le message? Ce qui ne me semble pas le cas puisque "spectre-meltdown-checker" m'indique toujours que je suis toujours vulnerable sur

Code: Select all

CVE-2020-0543 aka 'Special Register Buffer Data Sampling (SRBDS)'
* Mitigated according to the /sys interface:  NO  (Vulnerable: No microcode)
* SRBDS mitigation control is supported by the kernel:  YES  (found SRBDS implementation evidence in kernel image. Your kernel is up to date for SRBDS mitigation)
* SRBDS mitigation control is enabled and active:  NO 
> STATUS:  VULNERABLE  (Your CPU microcode may need to be updated to mitigate the vulnerability)

Ou alors il n'y a pas de solution technique sur cette vulnerabilité?.

Bat
Yan D.