"Faille de sécurité critique meltdown."

#1

Bonjour bonjour !
En démarrant une instance toute fraîche de Yunohost, j’obtiens ce message en interface web d’administration :

Vous êtes vulnérable à la faille de sécurité critique meltdown. Pour résoudre le problème, vous devez mettre à jour votre système puis le redémarrer pour charger le nouveau noyau Linux.

Or, la version de mon noyau est justement celle qui est censée avoir (entre autres choses) résolu cette faille (4.9.65-3+deb9u2).
Je penche donc pour une sécurité Yunohost qui a identifié malencontreusement un problème qui n’existe plus mais pour le coup, je ne sais pas quelle(s) action(s) tenter pour ne plus voir appraître ce message ! Quelqu’un a-t-il une idée ?
Merci bien !

Léo

#2

Tu peux avoir + d’infos en lançant la commande suivante depuis SSH :

/usr/lib/moulinette/yunohost/vendor/spectre-meltdown-checker/spectre-meltdown-checker.sh
#3

Très bon script.
En voici les retours critiques :

CVE-2017-5753 aka 'Spectre Variant 1, bounds check bypass'
* Kernel has array_index_mask_nospec:  NO 
* Kernel has the Red Hat/Ubuntu patch:  NO 
* Kernel has mask_nospec64 (arm64):  NO 
* Checking count of LFENCE instructions following a jump in kernel...  NO  (only 3 jump-then-lfence instructions found, should be >= 30 (heuristic))
> STATUS:  VULNERABLE  (Kernel source needs to be patched to mitigate the vulnerability)

CVE-2017-5715 aka 'Spectre Variant 2, branch target injection'
* Mitigation 1
  * Kernel is compiled with IBRS support:  NO 
    * IBRS enabled and active:  UNKNOWN 
  * Kernel is compiled with IBPB support:  NO 
    * IBPB enabled and active:  NO 
* Mitigation 2
  * Kernel has branch predictor hardening (arm):  NO 
  * Kernel compiled with retpoline option:  NO 
> STATUS:  VULNERABLE  (IBRS+IBPB or retpoline+IBPB is needed to mitigate the vulnerability)

CVE-2017-5754 aka 'Variant 3, Meltdown, rogue data cache load'
* Kernel supports Page Table Isolation (PTI):  YES 
  * PTI enabled and active: dmesg: read kernel buffer failed: Operation not permitted
 UNKNOWN  (dmesg truncated, please reboot and relaunch this script)
  * Reduced performance impact of PTI:  NO  (PCID/INVPCID not supported, performance impact of PTI will be significant)
dmesg: read kernel buffer failed: Operation not permitted
dmesg truncated, Xen detection will be unreliable. Please reboot and relaunch this script
* Running as a Xen PV DomU:  NO 
> STATUS:  UNKNOWN  (couldn't find any clue of PTI activation due to a truncated dmesg, please reboot and relaunch this script)

CVE-2018-3640 aka 'Variant 3a, rogue system register read'
* CPU microcode mitigates the vulnerability:  NO 
> STATUS:  VULNERABLE  (an up-to-date CPU microcode is needed to mitigate this vulnerability)

CVE-2018-3639 aka 'Variant 4, speculative store bypass'
* Kernel supports speculation store bypass:  NO 
> STATUS:  VULNERABLE  (Neither your CPU nor your kernel support SSBD)

CVE-2018-3615 aka 'Foreshadow (SGX), L1 terminal fault'
* CPU microcode mitigates the vulnerability:  N/A 
> STATUS:  VULNERABLE  (your CPU supports SGX and the microcode is not up to date)

CVE-2018-3620 aka 'Foreshadow-NG (OS), L1 terminal fault'
* Kernel supports PTE inversion:  NO 
* PTE inversion enabled and active:  UNKNOWN  (sysfs interface not available)
> STATUS:  VULNERABLE  (Your kernel doesn't support PTE inversion, update it)

CVE-2018-3646 aka 'Foreshadow-NG (VMM), L1 terminal fault'
* This system is a host running a hypervisor: dmesg: read kernel buffer failed: Operation not permitted
dmesg: read kernel buffer failed: Operation not permitted
 YES 
* Mitigation 1 (KVM)
  * EPT is disabled:  N/A  (the kvm_intel module is not loaded)
* Mitigation 2
  * L1D flush is supported by kernel:  NO 
  * L1D flush enabled:  UNKNOWN  (can't find or read /sys/devices/system/cpu/vulnerabilities/l1tf)
  * Hardware-backed L1D flush supported:  NO  (flush will be done in software, this is slower)
  * Hyper-Threading (SMT) is enabled:  NO 
> STATUS:  VULNERABLE  (disable EPT or enabled L1D flushing to mitigate the vulnerability)

> SUMMARY: CVE-2017-5753:KO CVE-2017-5715:KO CVE-2017-5754:?? CVE-2018-3640:KO CVE-2018-3639:KO CVE-2018-3615:KO CVE-2018-3620:KO CVE-2018-3646:KO

Pour info, je suis sur un VPS externe loué, certaines failles semblent être liées directement à ce VPS et je ne peux pas intervenir dessus…

#4

Mouep ben je ne sais pas quoi te dire à part qu’il faut s’assurer que ton kernel soit le plus à jour possible, et qu’il faudrait que le gérant de ton VPS fasse quelque chose …

Eventuellement tu peux tester avec une version + à jour du script : https://github.com/speed47/spectre-meltdown-checker/blob/master/spectre-meltdown-checker.sh

#5

Dakodak.