Meltdown et Spectre...

13 réponses
AuteurMessage

Rano |
Modérateur

Photo de Rano

Inscrit le : 13/04/2005

# Le 04/01/2018 à 19:57

Salut,

J'imagine que vous n'avez pas pu passer à côté de quelques infos concernant les petits soucis sur les processeurs Intel qui équipent la plupart des serveurs... Je n'ai pas trouvé d'articles clairs expliquant quel niveau d'accés à la machine il fallait pour exploiter la faille. Vous avez trouvé si la faille crée une véritable passoire, ou s'il faut quand même avoir un accés utilisateur par exemple ?

Chambres d'hote tavelOuvrir dans une nouvelle fenetre
Séjours en provenceOuvrir dans une nouvelle fenetre
Forum mariageOuvrir dans une nouvelle fenetre

MichaelL | Michael
Membre

Photo de MichaelL

Inscrit le : 29/01/2009

# Le 04/01/2018 à 22:11

/me lance une mise à jour de ses machines.

Bien sûr que j'étais informé.
Dès la première heure.
C'est notre métier après tout.
...


Merci.

krucial | Jean Christophe
Administrateur

Photo de krucial

Inscrit le : 09/03/2005

# Le 05/01/2018 à 22:36

Moi non plus j'ai pas compris. Mais on parle de backdoor du coup, je me dis que ca doit pas se limiter aux users machine ... BOOOOOL ?

JC - Mes sitesOuvrir dans une nouvelle fenetre | Affiliation devis travauxOuvrir dans une nouvelle fenetre

MichaelL | Michael
Membre

Photo de MichaelL

Inscrit le : 29/01/2009

# Le 05/01/2018 à 22:44

Si j'ai bien compris c'est une exécution de code qui vise directement le fonctionnement interne du processur, donc en effet ça ne doit pas tenir compte des droits d'accès.

Bool | Olivier
Modérateur

Photo de Bool

Inscrit le : 09/05/2005

# Le 05/01/2018 à 22:47

En gros c'est tout le système de cloisonnement "software" qui est contourné : noyau, applications, conteneurs, virtualisation, tout ça est court-circuité.

La moindre application en espace utilisateur dans une VM peut techniquement accéder aux infos en RAM dans une autre VM. Bref, la faille est violente mais le correctif aussi : certains parlent de perfs divisées par 4 sur de l'Apache/PHP...

Pas encore testé pour ma part (sensé être en vacances...).

daevel : infogérance et conseilOuvrir dans une nouvelle fenetre || moiOuvrir dans une nouvelle fenetre

krucial | Jean Christophe
Administrateur

Photo de krucial

Inscrit le : 09/03/2005

# Le 06/01/2018 à 06:59

Ouais donc si je suis tout seul sur mon serveur, c'est pas violent violent quoi.

JC - Mes sitesOuvrir dans une nouvelle fenetre | Affiliation devis travauxOuvrir dans une nouvelle fenetre

MichaelL | Michael
Membre

Photo de MichaelL

Inscrit le : 29/01/2009

# Le 06/01/2018 à 07:48

Ben si (là encore si j'ai bien compris) : l'exécution du code est réalisée sous un compte utilisateur et permet d'accéder à l'ensemble des données échangées dans la machine. Donc même en étant seul, il serait possible d'accéder via le code à la lecture des données circulant, donc les mots de passe, les entrées au clavier.
Et je devine que même si le serveur n'est pas concerné ni atteignable, il suffirait que le poste de travail qui s'y connecte soit touché pour que les données du serveur qui y sont lues soient connues du code parasite.

Bonnes vacances Bool !

Rano | Jean
Modérateur

Photo de Rano

Inscrit le : 13/04/2005

# Le 06/01/2018 à 09:21

krucial a dit :
Ouais donc si je suis tout seul sur mon serveur, c'est pas violent violent quoi.


Oui j’ai l’impression mais je crois que le problème vient du fait que n’importe quelle autre petite faille devient critique. Par exemple, s’il y a une petite faille dans un soft ouvert sur le web, même en étant exécuté par un utilisateur dédié sans droit, la faille du proc est exploitable pour lire des donnees critiques

Chambres d'hote tavelOuvrir dans une nouvelle fenetre
Séjours en provenceOuvrir dans une nouvelle fenetre
Forum mariageOuvrir dans une nouvelle fenetre

SquawK | Blabla
Modérateur

Photo de SquawK

Inscrit le : 09/05/2005

# Le 06/01/2018 à 18:49

C'est assez bien expliqué sur HFR :
http://www.hardware.fr/news/15325/bug-securite-cou...Ouvrir dans une nouvelle fenetre
http://www.hardware.fr/news/15326/meltdown-spectre...Ouvrir dans une nouvelle fenetre

A priori l'impact max des patchs sur les perfs c'est autour de 25% (pour des logiciels de bases de données)

Comparatif pc portableOuvrir dans une nouvelle fenetre

Bool | Olivier
Modérateur

Photo de Bool

Inscrit le : 09/05/2005

# Le 07/01/2018 à 13:18

J'ai vu un bench à 300% sur de l'Apache/PHP.

Bref, à tester...

daevel : infogérance et conseilOuvrir dans une nouvelle fenetre || moiOuvrir dans une nouvelle fenetre

Rano | Jean
Modérateur

Photo de Rano

Inscrit le : 13/04/2005

# Le 07/01/2018 à 20:41

Ça peut aider, jusque là je faisais les maj à l’aveugle...

https://twitter.com/olesovhcom/status/950058583173...Ouvrir dans une nouvelle fenetre

Chambres d'hote tavelOuvrir dans une nouvelle fenetre
Séjours en provenceOuvrir dans une nouvelle fenetre
Forum mariageOuvrir dans une nouvelle fenetre

krucial | Jean Christophe
Administrateur

Photo de krucial

Inscrit le : 09/03/2005

# Le 09/01/2018 à 10:11

Alors moi j'ai une autre question : qu'est ce qu'on risque ? L'accès aux pages ? Aux BDD ?

JC - Mes sitesOuvrir dans une nouvelle fenetre | Affiliation devis travauxOuvrir dans une nouvelle fenetre

MichaelL | Michael
Membre

Photo de MichaelL

Inscrit le : 29/01/2009

# Le 09/01/2018 à 14:29

L'accès à tout ce qui transite par la mémoire. Donc les pages si elles sont servies, les entrées au clavier, les résultats de requêtes, les vidéos lues, ... Mais pas les fichiers stockés qui ne sont pas utilisés.
J'ai bon ?

Titin | Corentin
Membre

 

Inscrit le : 29/09/2017

# Le 23/01/2018 à 14:13

krucial a dit :
Alors moi j'ai une autre question : qu'est ce qu'on risque ? L'accès aux pages ? Aux BDD ?


Elevation de privilege, accès data.

L'accès à tout ce qui transite par la mémoire. Donc les pages si elles sont servies, les entrées au clavier, les résultats de requêtes, les vidéos lues, ... Mais pas les fichiers stockés qui ne sont pas utilisés.
J'ai bon ?

Exact mais il faut qu'il est un premier accès a la machine.

Répondre

Vous ne pouvez pas participer au forum, car votre inscription n'a pas été validée. Pour vous faire valider en tant que Membre, cliquez ici.

© MHN - Tous droits réservés | CNIL N°844440 | 26/09/2018 6:21:35 | Généré en 3.91ms | Contacts | Mentions légales |