Forum Linux.général Processeur de 2009 dangereux ?

Posté par fabz67 le 12 janvier 2023 à 22:52. Licence CC By‑SA.

Étiquettes :

jan.

2023

Bonjour,
J'ai redonné vie à un vieux laptop qui date de 2009. En y installant MX Linux. Je suis agréablement surpris de la vélocité (relative) de l'engin, qui me donne envie de le réutiliser à des fins de boulot assez simples (traitement de texte, emails…)

Mais en utilisant "spectre-meltdown-checker", je vois que j'ai pas mal de failles bien ouvertes, car il faudrait upgrader le microcode du processeur, mais ça fait un bail qu'intel l'a laissé tomber.

(je précise qu'il n'y a pas que spectre et meltdown, le checker cherche par exemple "Foreshadow-NG", "Zombieload", etc)

Alors, je me demande : est-ce que c'est dangereux d'utiliser un pc qui a des vulnérabilités car le processeur est trop vieux ?
(avec par contre une distrib bien à jour)

# Non

Posté par gUI (Mastodon) le 13 janvier 2023 à 08:19. Évalué à 8. Dernière modification le 13 janvier 2023 à 08:20.

Ce serait à fortement déconseiller si tu t'en servais de plateforme cloud (i.e. tu héberges les VMs de clients) mais c'est tout. Pas d'exploitation chez les simples particuliers.

En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.
- [^] # Re: Non
  
  Posté par fabz67 le 13 janvier 2023 à 21:38. Évalué à 1.
  
  Merci de la réponse. En effet, quand je regarde sur wikipedia les failles recherchées par ce spectre-meltdown-checker ce sont apparemment des failles très difficilement exploitables !
# activer les workarounds

Posté par NeoX le 13 janvier 2023 à 09:05. Évalué à 6.

le checker te dit que la a un processeur troué,
mais il me semblait qu'il y avait des options à passer au kernel pour "desactiver" ou "contourner" les fonctions qui sont trouées

des pistes ici :
https://fr.wikipedia.org/wiki/Mitigation_de_la_vuln%C3%A9rabilit%C3%A9_spectre

mais y a surement des pistes plus detaillées et plus fiables que wikipedia
- [^] # Re: activer les workarounds
  
  Posté par gUI (Mastodon) le 13 janvier 2023 à 10:54. Évalué à 6. Dernière modification le 13 janvier 2023 à 10:54.
  
  Attention à la chute des performances associée (la faille touche le cache, le fix en limite l'utilisation).
  
  En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.
- [^] # Re: activer les workarounds
  
  Posté par fabz67 le 13 janvier 2023 à 12:52. Évalué à 1.
  
  non, justement, on ne peut pas. Je te montre ce que dit le "checker" sur les failles qu'il ne peut pas "mitiger"
  
  STATUS: VULNERABLE (Your kernel supports mitigation, but your CPU microcode also needs to be updated to mitigate the vulnerability)
  - [^] # Re: activer les workarounds
    
    Posté par PR le 13 janvier 2023 à 16:26. Évalué à 2.
    Mouai.
    
    J’ai passé 2h ce midi du coup sur le sujet.
    Installation de intel-microcode et de spectre-meltdown-checker sur une Gentoo. Reconfiguration du noyau (y’a une page dans le wiki de la distrib’).
    
    C’est un Kaby Lake de 2017 donc.
    
    J’ai un peu galéré, mais j’ai pu activé le micro-code :
```
# dmesg |grep microcode
[    0.000000] microcode: microcode updated early to revision 0xf0, date = 2021-11-12
[    0.789603] microcode: sig=0x906e9, pf=0x2, revision=0xf0
[    0.789665] microcode: Microcode Update Driver: v2.2.
```
    Dans le noyau tout m’a l’air activé (y’a un entrée spécifique dans le menuconfig)
    
    Et effectivement, le script spectre-meltdown-checker est passé d’une liste où quasi tout était KO ce matin à du OK :
```
> STATUS:  NOT VULNERABLE  (Your microcode and kernel are both up to date for SRBDS mitigat
ion control. Mitigation is enabled)

> SUMMARY: CVE-2017-5753:OK CVE-2017-5715:OK CVE-2017-5754:OK CVE-2018-3640:OK CVE-2018-363
9:OK CVE-2018-3615:OK CVE-2018-3620:OK CVE-2018-3646:OK CVE-2018-12126:OK CVE-2018-12130:OK
 CVE-2018-12127:OK CVE-2019-11091:OK CVE-2019-11135:OK CVE-2018-12207:OK CVE-2020-0543:OK
```
    Donc sur un CPU pas trop ancien, qui m’a l’air quand même bien troué (vulnérable à tous les CVE excepté un seul), y’a moyen de passer ce script au vert.
    
    Mort aux cons !
    - [^] # Re: activer les workarounds
      
      Posté par fabz67 le 13 janvier 2023 à 21:36. Évalué à 2.
      
      C'est bien, ton Kaby Lake de 2017 a un microcode mis à jour fin 2021, ce qui n'est pas très vieux.
      Mon Core 2 duo de 2009 a un microcode de 2010, et depuis (13 ans), plus rien…
      
      Mais heureux que tu ais mis à jour ta gentoo avec cette histoire.
# .

Posté par tkr (Mastodon) le 13 janvier 2023 à 12:49. Évalué à 4.

aujourd'hui, en maraudant sur linuxfr, j'ai appris qu'il était possible de mettre à jour le micrologiciel d'un processeur, au dela du bios… :D
- [^] # Re: .
  
  Posté par fabz67 le 13 janvier 2023 à 12:56. Évalué à 3.
  
  En fait, toutes les distrib linux ont le dernier microcode pour intel ou amd. Dans leurs dépôts non-free car ça vient du fabricant et les sources sont fermées. Le microcode se charge dès le lancement du kernel. Mais ces les fabricants ne font pas éternellement des updates de leurs produits.
- [^] # Re: .
  
  Posté par Ysabeau 🧶 🧦 (site web personnel, Mastodon) le 13 janvier 2023 à 13:31. Évalué à 6.
  
  Il y a un truc qui serait bien, serait de prendre la peine de mettre un vrai sujet aux commentaires aussi parce que le point est très petit et qu'il n'est pas aisé de cliquer dessus.
  
  « Tak ne veut pas quʼon pense à lui, il veut quʼon pense », Terry Pratchett, Déraillé.
  - [^] # Re: Sujet dans commentaire ( was . )
    
    Posté par totof2000 le 13 janvier 2023 à 15:01. Évalué à 3.
    
    Je suis d'accord avec toi. En plus ça permet de savoir, dans le tableau de bord, sur quel fil il y a eu une réponse.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.