Les serveurs Hyper Threadés seraient faillibles
Notre confrère linuxfr nous fait part d'une inquiétante nouvelle… Selon une note, un serveur tournant avec un Pentium 4 HT ou avec un Xeon risquerait gros… Selon cet article, une faille des processeurs Hyper Threadés permettraient à un utilisateur ne disposant pas des privilèges requis de voler une clef RSA privée utilisée sur la machine. Le RSA est un algorithme fournissant une clé très utilisée dans le commerce éléctronique ou pour échanger des données confidentielles sur la toile.
La faille découlant d'un problème matériel, il semble que tous les systèmes d'exploitation, mis à par ceux ne gérant pas l'Hyper Threading, soient concernés...
L'Hyper-Threading est actuellement implémenté dans les processeurs Intel Pentium Extreme Edition, Pentium 4, Mobile Pentium 4, et Xeon. Si vous possédiez un tel serveur, il serait peut-être plus sage de désactiver l'Hyper Threading…
-
Plus d'infos, voir la news sur KernelTrap, et l'annonce de la découverte
43
Commentaires
Lire plus
- Processeur,
- faille ,
- cpu ,
- HT
Internet en Europe
- Robotique domestique. Quel avenir ?
- Armageddon pour le 27 mai ?
- Nintendo parle de sa future console
- Performances de la Radeon 9650 des Power Mac G5
- Nouveaux modèles et mise à jour pour TomTom GO
- une DDR2 1066 MHz chez Corsair ?
- Xbox 360 : C'est parti !
- Monolith : la fin de l'année sera de plomb
- Interview ASUS France
Windows Installer 3.1 corrigé
- Le site officiel XBox 360 en français
- Correction des bugs de réception TV sur SP2
- Identifier son CPU AMD
- Comparatif cartes graphiques d'entrée de gamme
- Kaella 2.0 est sortie
- Un virus dans ma voiture ? Impossible !
- Comparatif routeurs Wi-Fi Netgear
- Impôts via Internet : 3,7 millions de télédéclarations
- Everest 2.0 disponible
Liens commerciaux
Autres catégories :
Publicité
Dernières actus
A voir aussi
Actus et dossiers
C'est un membre de la team security de FreeBSD qui a découvert la faille.
En fait le problème viendrait du partage du cache qui permettrait à un thread de surveiller ce qu'un autre fait (avec des droits restreint). Ca pose un gros problème pour des applications de cryptographie (clef RSA entre autres).
Deux solution s'offre à vous : Désactiver l'hyper-threading ou sortir le marteau et le burin histoire d'aller modifier un ou deux transistor.
c'est quand meme énorme comme faille ... ça va pas faire du bien à Intel ça
C'est dommage mais le site où tout les détails se trouvent (notament un exploit) semble être dans la purée.
http://it.slashdot.org/article.pl? [...] 72&tid=118
C'est fait slashdoter
c'est de pire en pis chez Intel...
Voilà, à force de faire des P4 qui servent de chaufferie l'hiver et qui n'accelerent le l'internet multimedia trop vite, voilà ce qui arrive![[:ddr555]](http://img.infos-du-net.com/forum/images/perso/ddr555.gif)
Plus d'infos ici, et là.
On va dire que je fais le chieur, mais ça serait bien que tout le monde arrête d'utiliser des mots comme "ici" pour un lien. Il y a plusieurs raisons à cela :
- En cliquant sur "ici", je ne sais pas ou je vais,
- si tous les sites faisaient ça, les moteurs de recherche seraient beaucoup moins bon,
- le W3C recommande de faire des liens explicites (j'ai plus l'url sous la main)
Vous auriez pus écrire
Pour plus d'informations, voir l'annonce de la découverte et la news sur kernelTrap.
Et puis, c'est l'agorithme qui est très utilisé, pas la clé qu'il fourni
edit : fournie ? ça non plus je ne sais jamais
edit 2 : la source c'est linuxfr, pas linxfr.
boarf, pour ca faut qu'un thread lancé par un outils espion soit lancé sur la machine équipé de ca, du coup ca limite énormément les choses sur les serveurs, non ?
Le RSA est un algorithme fournissant une clé
Que dalle. C'est un algorithme de cryptographie. Après tu peux faire ce que tu veux avec. A mon avis tu voulais parler de clé de cryptage RSA, qui permettent de crypter/decrypter un message.
boarf, pour ca faut qu'un thread lancé par un outils espion soit lancé sur la machine équipé de ca, du coup ca limite énormément les choses sur les serveurs, non ?
non, c'est très dangeureux.
On va dire que je fais le chieur, mais ça serait bien que tout le monde arrête d'utiliser des mots comme "ici" pour un lien. Il y a plusieurs raisons à cela :
- En cliquant sur "ici", je ne sais pas ou je vais,
- si tous les sites faisaient ça, les moteurs de recherche seraient beaucoup moins bon,
- le W3C recommande de faire des liens explicites (j'ai plus l'url sous la main)
ben ...parles pour toi mon ami: personellement, j utilise FireFox sous Linux, et quand ma souris passe au dessu d un lien, l URL absolue vers laquelle il pointe est reportee dans la barre du bas de FF. Dans la zone sous l ascenceur horizontale, la ou il reporte les erreurs HTML, previens qu il entre sur une zone HTTPS, propose les flux RSS, ce qui me fait penser que FF sous Windows devrait beneficier de la meme fonctionalite.
Donc quand je navigue, je passe la souris sur les liens, mais avant de cliquer, je verifie TOUJOURS ou ca va ... que le lien HTML soit explicite ou non ... je fait une pause d un dixiemme de seconde, un coup d oei/ prend un deuxiemme dixiemme de seconde ...ca ne ralentie pas significativement la navigation.
Idem quand je lis mes flux RSS sous ThunderBird ... ou meme les spams:
un Spam HTML propose un lien, je passe la souris dessus, TB me donne la vraie URL tout en bas de la fenetre. Je ne clique jamais, mais je trouve ca drole de voire souvent un truc du genre
< A HREF ="http://194.642.564.128/bidulemachin.cgi?paf=jetaieu">www.ebay.com< / A >
Le probleme sur le web, c est quand les liens sont gerés par des aplets JS ...
Evidement, si tu utilise Internet Explorer et OutLook ... tu devinera mes pensees ...
:
un Spam HTML propose un lien, je passe la souris dessus, TB me donne la vraie URL tout en bas de la fenetre. Je ne clique jamais, mais je trouve ca drole de voire souvent un truc du genre
< A HREF ="http://194.642.564.128/bidulemachin.cgi?paf=jetaieu">www.ebay.com< / A >
www.microsoft.com voilà un exemple qui marche sur un forum
ben ...parles pour toi mon ami: personellement, j utilise FireFox sous Linux, et quand ma souris passe au dessu d un lien, l URL absolue vers laquelle il pointe est reportee dans la barre du bas de FF. Dans la zone sous l ascenceur horizontale, la ou il reporte les erreurs HTML, previens qu il entre sur une zone HTTPS, propose les flux RSS, ce qui me fait penser que FF sous Windows devrait beneficier de la meme fonctionalite.
Donc quand je navigue, je passe la souris sur les liens, mais avant de cliquer, je verifie TOUJOURS ou ca va ... que le lien HTML soit explicite ou non ... je fait une pause d un dixiemme de seconde, un coup d oei/ prend un deuxiemme dixiemme de seconde ...ca ne ralentie pas significativement la navigation.
Oui, effectivement...
Sauf que les liens de PPC sont, comment dire... Atroce ? :
http://www.presence-pc.com/links1. [...] 9wcmludA==
Peut être que tu comprend mieux pourquoi je demande des liens explicites. Et puis, désolé si je ne suis pas le geek absolu mais quand je navigue sur un site comme PPC, je ne regarde pas forcement la cible des liens.
Evidement, si tu utilise Internet Explorer et OutLook ... tu devinera mes pensees ...
Bah non, je ne devine pas tes pensées. Mais elle ne doivent pas s'appliquer à Galeon sous Gnome ?
Pourquoi ai je l'impression que "tu frime" d'utiliser FireFox sous Linux ?
Je sais pas pour vous, mais moi il est absolument hors de question de desactiver le "HT", j'ai payer cher ce proc il y a plus d'un an pour sa fiabilite et ses performances et je compte en rester la, apres tout ditent moi quelles sont les personnes pouvant se servire de cette faille a bonne escient: les experimentes preferant pirater des serveurs plutot que de s'occuper des particuliers parmis les milliers qui en possedent, ou bien de banal pirate, pour moi le rique reste tres minime voir impossible, faut vraiment avoir une pouace de fou. aussi est-ce qu'il existe une preuve de se que linux avance, c'est bizar qu'il ais trouver cette faille plus d'un an apres...et meme si toutefois cela devais a m'arriver, c'est simple: j'arret le pc et je passe a la 360 des sa sorti (3 core a 3.2 ghz threadee etc...) la au moin mes jeux ne ramenront pas de plus ca me reviendra bcp bcp bcp moin cher pour jouer et aussi moin risquer
Je sais pas pour vous, mais moi il est absolument hors de question de desactiver le "HT", j'ai payer cher ce proc il y a plus d'un an pour sa fiabilite et ses performances et je compte en rester la, apres tout ditent moi quelles sont les personnes pouvant se servire de cette faille a bonne escient: les experimentes preferant pirater des serveurs plutot que de s'occuper des particuliers parmis les milliers qui en possedent, ou bien de banal pirate, pour moi le rique reste tres minime voir impossible, faut vraiment avoir une pouace de fou. aussi est-ce qu'il existe une preuve de se que linux avance, c'est bizar qu'il ais trouver cette faille plus d'un an apres...et meme si toutefois cela devais a m'arriver, c'est simple: j'arret le pc et je passe a la 360 des sa sorti (3 core a 3.2 ghz threadee etc...) la au moin mes jeux ne ramenront pas de plus ca me reviendra bcp bcp bcp moin cher pour jouer et aussi moin risquer
ca concerne plutôt les serveurs que les PCs de l'utilisateur lambda hein
Les xeon de hfr sont "hyper threadé" ?
ben ...parles pour toi mon ami: personellement, j utilise FireFox sous Linux, et quand ma souris passe au dessu d un lien, l URL absolue vers laquelle il pointe est reportee dans la barre du bas de FF. [...]
< A HREF ="http://194.642.564.128/bidulemachin.cgi?paf=jetaieu">www.ebay.com< / A >
[...]
Le probleme sur le web, c est quand les liens sont gerés par des aplets JS ...
Evidement, si tu utilise Internet Explorer et OutLook ... tu devinera mes pensees ...
C'est dommage à part le troll de derniére ligne, c'était une trés belle mise en valeur pour une méthode anti_attrappe_nigo. A au faite, même le pauvre IE est capable de te dire ou va ton lien si tu regarde en bas à gauche de ton écran (nonon le fait pas, faut être sous IE et windows pour le voir)
Le plus dangereux n'est pas le programme que l'on utilise ou même l'OS utilisé mais surtout l'utilisateur qui se croit ou surtout qui croit avoir une machine sans faille par ce qu'il est sous bidule et qu'il utilise truc.
J'en avais déjà parler ici mais un simple moteur de recherche peut permettre de détecter une faille ou les faille d'un ordinateur. Tu es peut-être à l'abris de bien plus de probléme que je pourrais rencontrer mais jusqu'ici je n'ai pas eu à me préoccuper de vers ou autres conneries. Il suffit de se protéger d'une maniére ou d'une autre.
HFR est sur des 2200+ il me semble
http://www.hardware.fr/html/a_propos/
HardWare.fr
40, chemin de paisy
69578 Limonest Cedex
HardWare.fr
Spa loin de chez moi et ça fait un peu campagne huppée 
40, chemin de paisy
69578 Limonest Cedex
Ca fait surtout zone industrielle
Leurs locaux sont au siège de LDLC.
C'est marrant, la photo c'est un athlon socket 754
C'est de la pub cachée ?
oui, je voulais pas troller dans le texte, j'ai mis une photo amd
pour les liens, je ne mets pas de liens idpz ou autre dans les news, hein
m'en fin le mec qui veut me foutre des softs de sniff de clé rsa sur mes serveurs bi xeon, il faudra déjà qu'il rentre sur la machine pour y foutre sa merde.
Quand il en sera la, ca sera deja bien la merde
m'en fin le mec qui veut me foutre des softs de sniff de clé rsa sur mes serveurs bi xeon, il faudra déjà qu'il rentre sur la machine pour y foutre sa merde.
Quand il en sera la, ca sera deja bien la merde
Tout a fais bien dis !!
C'est une faille locale, et un serveur sécurisé faisant de la cryptographie etc n'a pas de raison d'avoir une mutlitude de user logués dessus sans surveillance AMHA ! Si un user externe arrives déjà à rentrer sur le serveur, l'admin aurat d'autres soucis que celui de savoir si il a ou pas recuperer une clef RSA.
Faut se mefier des failles locales tout de meme. On peut etre contamine sans le savoir et s'en rendre compte des mois/annees apres !
Joce> ca concerne plutôt les serveurs que les PCs de l'utilisateur lambda hein.
oui peut importe on commence par les serveurs histoire de debuter et apres on passe aux utilisateurs pour finir en beautee, cela dit qu'est ce que cela peut bien apporter au pirate de voler la clef RSA d'un particulier??? menfin bref mon HT restera toujours active quoi qu'il arrive....
Joce> ca concerne plutôt les serveurs que les PCs de l'utilisateur lambda hein.
oui peut importe on commence par les serveurs histoire de debuter et apres on passe aux utilisateurs pour finir en beautee, cela dit qu'est ce que cela peut bien apporter au pirate de voler la clef RSA d'un particulier??? menfin bref mon HT restera toujours active quoi qu'il arrive....
si la clés volée permet d'accéder a des serveurs ^^ ca a tout son intéret
mais il est hors de question que je désactive l'HT des serveur bi-xeon que j'utilise, ca serait de la débilité vu la perte de performance que cela occasionne.
Autant dire que windows XP est pas sécure et qu'il faut retourner au Win 3.1 (je parle pas de windows update
Deja, dire windows et parler de securite, ca va pas dans la meme phrase