Comment mettre à jour Microcode Processeur intel Xeon X5670

CanardBlue · Juillet 4, 2023, 5:32pm

Bonjour,
je vous explique mon problème, il semblerait que d’après cette commande (sauf si mal interprété) ils semblerais que les deux cpu sois vulnérable voici la version du firmware
pour info j’ai debian 12

d’après dmesg | grep 'microcode'
[ 0.773927] MDS: Vulnerable: Clear CPU buffers attempted, no microcode
[ 2.320077] microcode: Microcode Update Driver: v2.2.

ou encore la commande grep microcode /proc/cpuinfo
microcode : 0x1f microcode : 0x1f microcode : 0x1f microcode : 0x1f

liste des vulnérabilités
Vulnerabilities: Itlb multihit: KVM: Mitigation: Split huge pages L1tf: Mitigation; PTE Inversion; VMX conditional cache flushes, SMT vulnerable Mds: Vulnerable: Clear CPU buffers attempted, no microcode; SMT vul nerable Meltdown: Mitigation; PTI Mmio stale data: Unknown: No mitigations Retbleed: Not affected Spec store bypass: Mitigation; Speculative Store Bypass disabled via prctl Spectre v1: Mitigation; usercopy/swapgs barriers and __user pointer saniti zation Spectre v2: Mitigation; Retpolines, IBPB conditional, IBRS_FW, STIBP condi tional, RSB filling, PBRSB-eIBRS Not affected Srbds: Not affected Tsx async abort: Not affected

j’ai bien installé le package contrib non free intel-microcode, mais il semblerait que cela ne change rien.
Y a-t-il un moyen d’atténuer tout cela ? Où mettre à jour le firmware, j’ai trouvé pas mal d’info sur Internet, mais bon ça semble assez compliqué ou alors non fonctionnel

merci pour votre futur aide
cordialement

pled · Juillet 5, 2023, 8:04am

Comme expliqué sur cette page, il te reste encore la possibilité d’utiliser les Debian backports :
https://wiki.debian.org/Microcode

Uniquement si ton « problème » t’empêche de dormir la nuit !

Zargos · Juillet 5, 2023, 10:14am

Bonjour,
les listes des infos qui sont affichées, certaines sont liées à la technologie physique et ne peuvent pas être corrigées efficacement par le microcode.
D’autres ne sont pas forcement pertinentes dans le sens ou la faille existe mais n’est pas exploitable.
Enfin, d’autres existent, sont exploitables, mais nécessitent d’avoir un accès physique à la machine.
Certains (je crois) ne sont exploitable que sous Windows mais pas sous Linux.

Désolé de ne pas être p lus précis, mais les données sont assez arides à lire

Mais par exemple, cedtte i nfo:

N’a aucun intérêt si tu n’utilises pas KVM.

Sur:

Il est possible de suivre le lien suivant, mais attention, il vaut mieux tester sur une plateforme de dev avant:

CanardBlue · Juillet 5, 2023, 11:38am

hello pour info j’utilise KVM avec proxmox
effectivement de base c’est proxmox mon os qui viens de passer en version 8 basé sur (debian 12)

c’est pour ça que je voulais savoir.
je crois que y a plus de risque quand on utilise hyperviseur je crois

d’après ce que je lis si c’est en mitigation c’est déjà protégé c’est ça ?

Zargos · Juillet 5, 2023, 12:44pm

Oui c’est que la faille est traitée d’une façon ou d’une autre.

Ni plus ni moins. Tout dépends ensuite de la faille. Certaines failles sur une VM peuvent permettre d’attaquer l’hyperviseur et inversement.