Gouffre_Twitter

Faille Intel Foreshadow/L1TF : adieu l’hyperthreading …

EDIT du 31/08/2018: J’ai réécris l’introduction de ce billet décrivant la faille. Merci à Fabien pour m’avoir poussé à creuser un peu plus, car j’ai dit quelques bêtises auparavant ! Ceci étant, je ne suis pas à l’abris d’avoir laissé quelques coquilles, donc je vous conseille, pour plus d’infos au sujet de Foreshadow, d’ailler consulter les sites officiels.

Vous avez sans doute tous entendu parler récemment de la nouvelle faille hardware, dite “Foreshadow”, sur les processeurs Intel. Cette faille concerne en fait quasi tous les processeurs produits par la société depuis la deuxième génération de processeurs Core iX. Derrière Foreshadow se cache en fait 3 failles différentes mais utilisant les mêmes méthodes et ayant les mêmes effets : l’accès potentiel d’un processus non privilégié à des portions de mémoire protégées. La faille regroupe en fait trois CVE, CVE-2018-3615, CVE-2018-3620 et CVE-2018-3646. La méthode reste la même que pour Meltdown, trouver des failles dans le code du processeur afin de pouvoir avoir accès à des données en principe inaccessibles, présentes sur le cache L1. Foreshadow exploite encore le talon d’Achille des processeurs, très exposé en ce moment, le “Speculative Branch Execution”, mais aussi le système de gestion de pages mémoire (à la base des fonctions de swap de nos O.S.), d’où son nom technique “L1TF”. Allez voir la petite vidéo très intéressante chez RedHat qui explique ça assez clairement et simplement ici.

Cette nouvelle faille concerne aussi, pour les processeurs les plus récents, les enclaves sécurisés par SGX. La SGX est un jeu d’instructions spécifiques permettant à un programme non privilégié (User Level) de déclarer et exploiter une portion de la mémoire dans un mode protégé appelé enclave, impossible à lire par tout autre processus, y compris privilégié (Mode Kernel). Typiquement, les fonction SGX sont particulièrement utiles pour travailler sur des données cryptographiques dont on veut garantir la confidentialité. On comprend ici pourquoi c’est particulièrement sensible …

Ne nous laissons pas abattre et continuons …

Lire la suite …

arm-cortex-a72

ESXi tourne sur ARM 64 !

Cela fait partie des nombreuses annonces du VMworld dont la general session qui se déroule actuellement inaugure la nouvelle édition de cette année 2018. Je reviendrai cette semaine notamment sur les nouvelles versions de vSphere 6.7 update1 et de vROps 7.0, ne vous inquiétez pas (laissez-moi juste le temps d’atterrir après 3 semaines de congés et quelques centaines de mails à dépiler ^^). Cependant, je ne pouvais passer à coté de cette petite révolution dévoilée par Pat Gelsinger et son équipe : VMware ESXi pour processeurs ARM !

Et quasiment tout ce qu’on connait de ESXi sur x86 est là : vMotion bien sûr mais aussi Fault Tolerance et HA ! On en saura sans doute plus dans les heures/jours qui viennent, mais rendez-vous quand même compte que c’est une sorte de deuxième naissance depuis la création de VMware Workstation à la fin des années 90. C’est en effet un tout nouveau vmkernel qu’il a fallu concevoir, sans doute à partir d’une feuille blanche pour un maximum d’optimisation spécifiques à la plateforme hardware.

Si on ajoute à cela la valse des failles sur les processeurs Intel actuellement (je vous parlerai de la dernière en date, L1TF, qui aura à terme des conséquences importantes sur la puissance CPU de nos serveurs), la feuille de route d’ARM visant directement les performances comparables à celle d’Intel d’ici 2/3 ans et les plans affichés de certains constructeurs de produire du hardware avec processeur ARM en “server-grade” … nul doute que cette annonce vient à point nommé pour l’IT et notamment tout le secteur faisant abondamment usage de l’Open Source (recompilable à souhait sur la plupart des plateformes hardwares). MMmmh ? Quoi ? J’entends des Docker, OpenStack, Kubernetes … ? Oui par exemple :D

Cette rentrée va être passionnante !

EDIT : Un excellent article à lire au sujet des serveurs ARM et pourquoi cela fait sens, ici.

IMG_1030

SexiGraf 0.99e : quand les Pokemon s’y mettent !

Cela n’aura sans doute pas échappé aux plus connaisseurs, les releases de Sexigraf adoptent souvent un nom, sinon mythique, du moins particulièrement riche de symbole pour les gamers que nous sommes, puisqu’il est pris dans dans un jeu vidéo. Les deux précédentes versions estampillées “City 17” et “Nova prospekt” nous provenaient BIENSUR (j’en vois un au fond qui n’est pas au courant, vous pouvez le lyncher svp ?) de l’immense série Half Life. Là, on change de registre puisque la nouvelle édition s’appelle “White Forest” et se rapporte à la zone Pokemon éponyme. Bon, là, j’avoue, vu mon grand âge, j’ai du faire appel à des souvenirs bien enfouis avant de crier “Euréka” :). Bon, aheum, honte à moi, j’avais zappé que White Forest était aussi une base de la résistance, toujours dans Half Life ! … alors, donc, même le titre ne veut plus rien dire, j’ai l’air de quoi maintenant ^^

Non obstant, cette courte introduction n’avait pour but que de broder un peu sur cette petite news (petite dans le sens de sa taille, pas de son importance). Nos chers frenchies Frédéric et Raphael nous ont concocté – en pleine canicule – une nouvelle version de Sexigraf : 0.99e “White Forest”. Au menu, de nouveaux graphs évidemment : on peut notamment citer la supervision de la bande passante disque et réseau sur chaque VM ou encore le suivi de l’activité des HBA dans les dashboards des clusters VMware. Sexigraf White Forest apporte aussi son lot d’améliorations et de corrections de bugs sur les tableaux de bord existants (VSAN entre autres).

Je vous ferai un petit retour après mes vacances (oui je suis en vacances, là, ça se voit non ? ^^) avec des images et des beaux graphs, mais en attendant, jetez-vous sur le billet du blog Sexigraf pour en savoir plus en cliquant ici, , oui pil à cet endroit. Dingue non ? Hé, oui, on arrête pas le progrès, ça s’appelle le HTML !

Sexigraf power !