Serveur dédié : mise à jour du kernel OVH pour combler les failles Spectre et Meltdown

Au début du mois de février, l'université de Graz et Google Project Zero ont annoncé avoir découvert deux failles de sécurité importantes s'appuyant sur les mécanismes de fonctionnement interne des processeurs.

Serveur dédié : mise à jour du kernel OVH pour combler les failles Spectre et Meltdown photo

Trois vulnérabilités permettant d'accéder à de la mémoire privilégiée ont été publiées, qui ont pour point commun d'exploiter les mécanismes d'exécution spéculative et les timings des caches mémoires.

Meltdown

La première faille, Meltdown (CVE-2017-5754), permet de bypasser les mécanismes d'isolation mémoire entre mémoire classique (utilisée par les applications) et mémoire kernel (utilisée par le noyau du système d'exploitation, et protégée normalement par des mécanismes hardware dans le CPU).

Meltdown est une attaque side channel permanent;qui s'attaque à une faille de certains processeurs OOO (Out Of Order, la plupart des processeurs performants modernes depuis le Pentium Pro) qui, dans leur mécanismes d'exécution spéculatifs, peuvent non seulement lire des données mémoires protégées mais aussi exécuter des instructions sur ces données mémoires.

Concrètement, avec Meltdown, il est possible de lire tout type de mémoire à partir d'un process malicieux, y compris côté serveur de bypasser toutes les protections de type VM/Hyperviseur/Docker. Meltdown touche spécifiquement les architectures d'Intel et ARM.

Spectre

En parallèle à Meltdown, une autre faille a été dévoilée baptisée Spectre. permanent;Pour Spectre, la situation est plus compliquée. Il s'agit toujours d'une variation sur le même thème, à savoir tenter d'exploiter les mécanismes d'exécution spéculative des processeurs. Tous les processeurs modernes sont concernés a différents niveau et l'on retrouve, y compris chez un même constructeur, des différences d'une architecture à l'autre en fonction des mécanismes précis de fonctionnement de chaque génération.

Le papier décrit deux attaques distinctes. La première, connue sous le nom de CVE-2017-5753 (bounds check bypass) permet à un processus d'accéder, dans certains conditions un peu plus complexes, à la mémoire d'un autre processus. Contrairement à Meltdown dont l'exploitation est triviale, il faut ici connaître les spécificités du programme que l'on attaque pour réussir à l'exploiter.

Le groupe Google Project Zero a montré que cette attaque était exploitable aussi bien sur les CPU Intel, AMD (FX et APU), et ARM (un Cortex A57 à été testé). Si tous les processeurs sont exploitables, c'est que tous les modèles OOO modernes reposent, dans les grandes lignes, sur l'algorithme de Tomasulo, du nom de l'ingénieur qui l'a développé en 1967 chez IBM.

Virtuellement, tous les systèmes (du serveur au smartphone) sont vulnérables à cette attaque pour laquelle des PoC existent même en Javascript (pour bypasser les barrières des VM qui isolent le code Javascript de vos différents onglets), ce qui la rend assez grave. Des méthodes de mitigations, aussi bien au niveau des compilateurs, des navigateurs, et des systèmes d'exploitations sont en cours de développement et des patchs sont attendus rapidement pour limiter le problème.

Vous pouvez retrouver les détails techniques des failles Spectre et Meltdown chez OVH.

Mon machine est-elle touchée par ces failles?

Il vous suffit de tester votre processeur avec le script Spectre & Meltdown Checker:

curl -L https://meltdown.ovh -o spectre-meltdown-checker.sh
chmod +x spectre-meltdown-checker.sh
sh ./spectre-meltdown-checker.sh

Résultat avant la mise à jour du kernel:

CVE-2017-5753 [bounds check bypass] aka 'Spectre Variant 1'
* Checking count of LFENCE opcodes in kernel:  NO 
> STATUS:  VULNERABLE  (only 46 opcodes found, should be >= 70, heuristic to be improved when official patches become available)

CVE-2017-5715 [branch target injection] aka 'Spectre Variant 2'
* Mitigation 1
*   Hardware (CPU microcode) support for mitigation:  NO 
*   Kernel support for IBRS:  NO 
*   IBRS enabled for Kernel space:  NO 
*   IBRS enabled for User space:  NO 
* Mitigation 2
*   Kernel compiled with retpoline option:  NO 
*   Kernel compiled with a retpoline-aware compiler:  NO 
> STATUS:  VULNERABLE  (IBRS hardware + kernel support OR kernel with retpoline are needed to mitigate the vulnerability)

CVE-2017-5754 [rogue data cache load] aka 'Meltdown' aka 'Variant 3'
* Kernel supports Page Table Isolation (PTI):  NO 
* PTI enabled and active:  NO 
> STATUS:  VULNERABLE  (PTI is needed to mitigate the vulnerability)

Mise à jour du kernel OVH

Sur la Kimsufi, c'est le kernel OVH 4.9.87 qui intégre tous les correctifs Meltdown et Spectre, ainsi que la mise à jour du microcode pour les puces Intel.

Il suffit de suivre le tutoriel pour mettre à jour le noyau OVH.

Après mise à jour du noyau et redémarrage du serveur, les failles semblent maintenant comblées:

CVE-2017-5753 [bounds check bypass] aka 'Spectre Variant 1'
* Checking whether we're safe according to the /sys interface:  YES  (kernel confirms that the mitigation is active)
> STATUS:  NOT VULNERABLE  (Mitigation: __user pointer sanitization)

CVE-2017-5715 [branch target injection] aka 'Spectre Variant 2'
* Checking whether we're safe according to the /sys interface:  YES  (kernel confirms that the mitigation is active)
> STATUS:  NOT VULNERABLE  (Mitigation: Full generic retpoline)

CVE-2017-5754 [rogue data cache load] aka 'Meltdown' aka 'Variant 3'
* Checking whether we're safe according to the /sys interface:  YES  (kernel confirms that the mitigation is active)
> STATUS:  NOT VULNERABLE  (Mitigation: PTI)

Voilà, mettez vos noyaux à jour, c'est important.

Dropkick Murphys - I'm Shipping Up To Boston

Pour fêter la Saint Patrick, rien de tel qu'un bon petit morceau de punk irlandais joué par les Dropkick Murphys !

Voici donc I'm Shipping Up To Boston:

Dropkick Murphys est un groupe de punk celtique américain, originaire de Quincy, à côté de South Boston, dans le Massachusetts. Formé en 1996, le groupe mêle des influences de musique irlandaise traditionnelle, punk hardcore, oi! et folk rock.

À ses débuts, la formation comprend Mike McColgan (chant) Ken Casey (basse, chant), Rick Barton (guitare, chant) et Matt Kelly (batterie). Au fil de sa carrière, Dropkick Murphys acquiert une réputation importante grâce à de nombreuses tournées dans le monde entier et à l'organisation des week-ends de la Fête de la Saint-Patrick à Boston durant lesquels le groupe joue durant sept jours de suite, et auxquels des milliers de fans provenant du monde entier assistent chaque année.

Le nom « Dropkick Murphys » vient d'un centre de désintoxication où étaient récupérés les errants des bas-fonds de Boston. Le nom Dropkick Murphys aurait été donné au centre de désintoxication d'après le nom de son créateur, John Murphy, un ancien catcheur de Boston, dont l'un des mouvements préférés était le dropkick (ou « saut chassé » en français).

Le groupe utilise des instruments traditionnels, tels que la cornemuse, l'accordéon, la mandoline ou la flûte à partir de l'album Sing Loud, Sing Proud!. Il reprend de nombreuses chansons traditionnelles irlandaises, telles que (F)lannigan's Ball, I'm Shipping Up to Boston, The Fields of Athenry, Fairmount Hill, Johnny, I Hardly Knew Ya, The Gang's all Here, The Fighting 69 ou encore The Green Fields of France (No Man's Land) reprise de Eric Bogle parlant d'un jeune Écossais, Willie McBride, mort durant la Première Guerre mondiale.

Plusieurs des reprises faites par Dropkick Murphys sont des standards irlandais dits Irish Pub Drinking Song (chanson à boire de pub irlandais).

Vous pouvez entendre la chanson I'm Shipping Up to Boston dans The Departed (Les Infiltrés), le film de Martin Scorsese. C'est même devenu l'hymne officiel de l'équipe de baseball de Boston, les Boston Red Sox, ainsi que la chanson officielle de la ligue de football australienne, la A-League.

Happy Saint Patrick's Day !

La Casa de Papel

La Casa de Papel est une mini-série télévisée espagnole en quinze épisodes réalisée par Álex Pina et diffusée sur Netflix.

La Casa de Papel photo

Un homme mystérieux, surnommé le Professeur (El Profesor), planifie le meilleur braquage jamais organisé. Pour exécuter son plan, il recrute les meilleurs malfaiteurs du pays qui n'ont rien à perdre.

Pour des raisons de sécurité, tous les membres de l'opération prennent un nom d'emprunt basé sur un nom de ville: Tokyo, Nairobi, Río, Moscou, Berlin, Denver, Helsinki et Oslo.

Le but est d'infiltrer la Fabrique nationale de la monnaie et du timbre afin d'imprimer 2,4 milliards d'euros, en moins de onze jours et sans verser une goutte de sang. Pourtant, le groupe sera en charge de 67 otages dont Alison Parker, la fille de l'ambassadeur du Royaume-Uni.

C'est évidemment sans compter sur l'intelligence et la perspicacité de l'inspecteur en charge des négociations et de son équipe, qui vont tenter de donner du fil à retordre à notre fine équipe.

La série est très bien conçue : les personnages sont bien développés, au fur et à mesure des épisodes, et l'histoire est très bien ficelée. L'esthétique est bien présente et n'est pas sans rappeler celle d'Utopia - il me semble même que le générique de fin de la Casa de Papel utilise le même motif musical.

En bref, la Casa de Papel est LA série de ce début d'année. Vous pouvez y aller les yeux fermés, c'est une bonne série, qui sait gérer le suspense et l'envie de voir la suite. C'est un plaisir que de regarder, anticiper les mouvements des braqueurs ou encore remettre en question certaines réactions des otages ou de la police.

Lire la suite! »

Pin It on Pinterest

Spelling error report

The following text will be sent to our editors: