Postez ici vos trucs & astuces.
Répondre

comment faire un checker du spectre ?

#1Messageil y a 6 ans

Intéressant ! Merci :sourire:
Voici une trad auto du readme:
Checker Spectre & Meltdown
==========================

Un simple script shell pour savoir si votre installation Linux est vulnérable contre les 3 CVEs "d'exécution spéculative" qui ont été rendus publics début 2018.

Sans options, il va vous inspecter le noyau en cours d'exécution.
Vous pouvez également spécifier une image du noyau sur la ligne de commande, si vous souhaitez inspecter un noyau que vous n'exécutez pas.

Le script fera de son mieux pour détecter les mesures d'atténuation, y compris les correctifs non vanille rétro-portés, quel que soit le numéro de version du noyau annoncé.

Exemple de sortie de script

![checker](https://framapic.org/6O4v4AAwMenv/M6J4CFWwsB3z.png)

## Résumé rapide des CVEs

CVE-2017-5753** Vérifier le contournement des bornes (Variante aspect 1)

Impact: Kernel & tous les logiciels
Atténuation: recompilation du logiciel *et* du noyau avec un compilateur modifié qui introduit l'opcode LFENCE aux positions appropriées dans le code résultant.
Impact sur le rendement de l'atténuation: négligeable

**CVE-2017-5715** injection cible de la branche (Spectre Variant 2)

Impact: Noyau
Atténuation 1: nouvel opcode via la mise à jour du microcode qui devrait être utilisé par les compilateurs à jour pour protéger le BTB (en rinçant les prédicteurs indirects de branche)
Atténuation 2: introduction de "retpoline" dans les compilateurs, et recompilation du logiciel/OS avec lui
Impact sur les performances de l'atténuation: élevé pour l'atténuation 1, moyen pour l'atténuation 2, en fonction de votre CPU.

**CVE-2017-5754** chargement de cache de données voyous (Meltdown)

Impact: Noyau
Atténuation: mise à jour du noyau (avec les correctifs PTI/KPTI), la mise à jour du noyau est suffisante.
Impact sur le rendement de l'atténuation: faible à moyen

Avis de non-responsabilité

Cet outil fait de son mieux pour déterminer si votre système est immunisé (ou a mis en place des mesures d'atténuation appropriées) pour les vulnérabilités collectivement appelées "exécution spéculative". Il ne tente pas d'exécuter n'importe quel type d'exploitation, et ne peut pas garantir que votre système est sécurisé, mais plutôt vous aide à vérifier si votre système a les mesures d'atténuation correctes connues en place.
Cependant, certaines mesures d'atténuation peuvent également exister dans votre noyau que ce script ne sait pas (encore) comment détecter, ou il peut faussement détecter des mesures d'atténuation qui ne fonctionnent pas comme prévu (par exemple, sur les noyaux rétroportés ou modifiés).

L'exposition de votre système dépend également de votre CPU. À partir de maintenant, les processeurs AMD et ARM sont marqués comme étant immunisés contre certaines ou toutes ces vulnérabilités (à l'exception de certains modèles ARM spécifiques). Tous les processeurs Intel fabriqués depuis 1995 sont considérés comme vulnérables. Quel que soit le processeur utilisé, on peut demander plus d'informations au fabricant de ce processeur et/ou du dispositif dans lequel il fonctionne.

La nature des vulnérabilités découvertes étant relativement nouvelle, on peut s'attendre à ce que le paysage des processeurs vulnérables change avec le temps, c'est pourquoi ce script fait l'hypothèse que tous les processeurs sont vulnérables, sauf si le fabricant a explicitement indiqué le contraire dans une annonce publique vérifiable.

Cet outil a été publié dans l'espoir qu'il sera utile, mais ne l'utilisez pas pour tirer des conclusions hâtives sur votre sécurité.

Traduit avec www.DeepL.com/Translator

comment faire un checker du spectre ?

#2Messageil y a 6 ans

:bjr: Merci pour le truc, je vais tenter ça sur mon amd. :merci:
lemust83 : (en rinçant les prédicteurs indirects de branche)
:shock: Pas tout compris mais pas grave, prédicateurs ou pas, je vais quand même me le rincer avec une
:biere:
bien fraîche :rigole:
Répondre