Debian face à Meltdown et Spectre

Je ne vais plus vous présenter ces deux failles de sécurités  qui en ont bien fait couler de l’encre depuis quelques jours/semaines/mois … Pour plus d’information à ce sujet, je vous renvoie sur la page wikipedia qui traite le sujet sur Spectre et Meltdown.

Pour avoir une idée de où est ce qu’on en est concernant la progression sur la résolution des problèmes de sécurités cités ci-dessus, je vous renvoie à la page qui traite du sujet.

Tout d’abord, vérifier quel noyau vous devriez avoir sur votre système en fonction de la version de votre distribution.

Sur ma machine, la version 9.3 (Stretch) de Debian tourne avec le noyau 3.16.0-4-amd64.

Pour rappel, et au cas où certains d’entre vous ne savent plus comment faire pour avoir le nom et la version d’une distribution Debian,

~$ lsb_release -a

~$ cat /etc/*-release

Et pour la version du noyau,

~$ uname -r

Pour vérifier si le système est sécurisé ou non, contre Spectre et Meltdown, installer le paquet spectre-meltdown-checker.

~$ sudo apt-get install spectre-meltdown-checker

Lancer ensuite le programme:

~$ sudo spectre-meltdown-checker

Evidement que mon système n’est pas protégé.

De ce fait, mettons à jour notre noyau.

~$ uname -r
3.16.0-4-amd64

Il me faut donc installer la version 64bits (amd64) du noyau linux.

~$ sudo apt-get install linux-image-amd64

Redémarrer votre machine une fois l’installation terminée, puis refaites le test.

~$ uname -r
4.9.0-5-amd64

Selection_001

Lancer de nouveau le programme:

~$ sudo spectre-meltdown-checker

Comme vous pouvez le constater, le problème avec Meltdown est réglé. Attendons les prochaines mises-à-jour du noyaux sous Debian pour voir ce qu’il en est de Spectre.

Une dernière chose. Vérifier que vous avez activé les mises-à-jour de sécurité dans le dépot de debian. Si ce n’est pas le cas, faites en sorte que vous ayez plus ou moins les mêmes informations que moi.

~$ sudo vim /etc/apt/sources.list

Backport et deb-src ne sont pas obligatoire, par contre ceux que j’ai encadré, ils le sont.

Sources:

HowToUpgradeKernel
The Spectre & Meltdown Vulnerability Checker for Linux Is Now in Debian’s Repos
Deux failles critiques : Meltdown et Spectre
Information on source package linux
Check for and Patch Spectre and Meltdown on Debian

Publicités

Possible missing firmware for module tg3

Cette pas n’est pas un scoop, puisqu’il y a plusieurs articles sur internet qui traitent du même sujet.

Dans ce blog, je vais passer par toutes les étapent qui me permettront de comprendre d’où vient problème, ainsi pour arriver à une résolution.

1. Reproduire les différentes étapes qui conduisent au message d’erreur

$ sudo update-initramfs -u

update-initramfs: Generating /boot/initrd.img-3.16.0-4-amd64
W: Possible missing firmware /lib/firmware/tigon/tg3_tso5.bin for module tg3
W: Possible missing firmware /lib/firmware/tigon/tg3_tso.bin for module tg3
W: Possible missing firmware /lib/firmware/tigon/tg3.bin for module tg3

Le message dit clairement qu’il manque un pilote. Mais de quel pilote s’agit-il? Nous le saurons plus loin.

2. Les paquets utiles

Avant d’aller plus loin, je vous propose d’installer le paquet apt-file. Cet outil va nous permettre de retrouver à quel paquet appartient un fichier (ici pour la documentation en français).

Les fichiers concernés sont: tg3_tso5.bin, tg3_tso.bin et tg3.bin.

$ sudo apt-get install apt-file

!—-message tronqué—!The following extra packages will be installed:
  libapt-pkg-perl libconfig-file-perl liblist-moreutils-perl
  libregexp-assemble-perl
The following NEW packages will be installed:
  apt-file libapt-pkg-perl libconfig-file-perl liblist-moreutils-perl
  libregexp-assemble-perl
0 upgraded, 5 newly installed, 0 to remove and 0 not upgraded.
Need to get 252 kB of archives.
After this operation, 698 kB of additional disk space will be used.
Do you want to continue? [Y/n] y
!—-message tronqué—!The system-wide cache is empty. You may want to run ‘apt-file update’
as root to update the cache. You can also run ‘apt-file update’ as
normal user to use a cache in the user’s home directory.

$ apt-file search tg3

E: The cache is empty. You need to run ‘apt-file update’ first.

Et oui, on général on se précipite pour aller à l’étape suivante, heureusement qu’il y a un message qui nous indique ce qu’on devrait faire dans un premier temps.

$ apt-file update

apt-file is now using the user’s cache directory.
If you want to switch back to the system-wide cache directory,
 run ‘apt-file purge’
Downloading complete file http://ftp.ie.debian.org/debian/dists/jessie/main/Contents-amd64.gz
!—-message tronqué—!

3. A la recherche du ou des paquets à installer

$ apt-file search tg3

aegis-web: /usr/share/aegis/en/html/proj_hstg3.rpt
allegro4-doc: /usr/share/man/man3/getg32.3alleg4.gz
firmware-linux-nonfree: /lib/firmware/tigon/tg3.bin
firmware-linux-nonfree: /lib/firmware/tigon/tg357766.bin
firmware-linux-nonfree: /lib/firmware/tigon/tg3_tso.bin
firmware-linux-nonfree: /lib/firmware/tigon/tg3_tso5.bin
gitg: /usr/share/gitg/icons/gitg32x32.png
libgivaro-dev: /usr/include/givaro/givmontg32.h
libgivaro-dev: /usr/include/givaro/givmontg32.inl
libgivaro-doc: /usr/share/doc/libgivaro-doc/givmontg32_8h.html
libgivaro-doc: /usr/share/doc/libgivaro-doc/givmontg32_8h__incl.map
libgivaro-doc: /usr/share/doc/libgivaro-doc/givmontg32_8h__incl.md5
libgivaro-doc: /usr/share/doc/libgivaro-doc/givmontg32_8h__incl.png
linux-headers-3.16.0-4-common: /usr/src/linux-headers-3.16.0-4-common/include/linux/iio/gyro/itg3200.h
linux-image-3.16.0-4-amd64: /lib/modules/3.16.0-4-amd64/kernel/drivers/net/ethernet/broadcom/tg3.ko
linux-image-3.16.0-4-amd64-dbg: /usr/lib/debug/lib/modules/3.16.0-4-amd64/kernel/drivers/net/ethernet/broadcom/tg3.ko
noiz2sa-data: /usr/share/games/noiz2sa/sounds/stg3.ogg
tumiki-fighters-data: /usr/share/games/tumiki-fighters/stage/stg3.stg
ugene-data: /usr/share/ugene/data/position_weight_matrix/UniPROBE/GR09/Rtg3.pwm

Le pilote qui nous intéresse est un pilote non libre (non free) et, est contenu dans le paquet firmware_linux_nonfree. Cependant, cette information, bien qu’elle soit suffisante pour installer ce qu’il nous faut, ne nous dit pas à quel matériel s’applique le pilote.

4. Information sur le paquet à installer

Pour avoir plus d’information concernant le contenu du paquet firmware-linux-nonfree,

$ aptitude show firmware-linux-nonfree
Package: firmware-linux-nonfree         
State: not installed

Multi-Arch: foreign
!—-message tronqué—!
Description: Binary firmware for various drivers in the Linux kernel
 This package contains the binary firmware for  various drivers in the Linux
 kernel.  This is a collection of firmware blobs which are not individually
 large enough to warrant a standalone package.
 !—-message tronqué—!

On a la confirmation que ce paquet n’est pas installé. Dans la description, il est indiqué que ce paquet contient une collection de pilotes. Ces derniers sont trop petit en taille pour avoir un paquet attribué pour chacun d’eux.

En limitant la recherche par rapport à tg3,

$ aptitude show firmware-linux-nonfree | grep tg3

 * Broadcom BCM5703/BCM5704 TSO firmware (tigon/tg3_tso.bin)
 * Broadcom BCM5701A0 firmware (tigon/tg3.bin)
 * Broadcom BCM5705 TSO firmware (tigon/tg3_tso5.bin)
 * Broadcom BCM57766 firmware (tigon/tg357766.bin)

Nous avons finalement l’information qui nous intéresse. Le pilote manquant est celui de la carte ethernet.

Ce qui est tout à fait normal, puisque je n’ai installé que le pilote de la carte Wifi lors de l’installation de Debian.

5. Résolution

De ce fait, pour résoudre ce problème, nous n’allons pas installer le paquet spécifique à la carte ethernet, puisqu’il n’y en a pas. Par contre, on nous propose d’installer le paquet firmware-linux-nonfree.

Pour rappel, ce paquet contient tous les pilotes non libre. En l’installant, nous allons avoir sur notre système, les pilotes qui nous concernent aussi bien que ceux qui ne nous concernent pas. Notez aussi que, « Non free » être présent dans votre sources.list, comme dans l’exemple ci-dessous, pour pouvoir ensuite installer ce paquet.

deb http://site.example.com/debian distribution  main non-free contrib

Maintenant, on peut se lancer dans l’installation de ce fameux paquet dont on n’arrête pas d’en parler depuis le début.

$ sudo apt-get install firmware-linux-nonfree

Pour vérifier que le paquet a bien été installé.

$ sudo aptitude show firmware-linux-nonfree

Package: firmware-linux-nonfree
State: installed
Automatically installed: no
Multi-Arch: foreign
Version: 0.43
Priority: optional
Section: non-free/kernel
Maintainer: Debian Kernel Team
Architecture: all
Uncompressed Size: 5,128 k
Suggests: initramfs-tools

Note:

En général, il y a toutes les chances que vous rencontrerez ce genre de message lorsque vous devriez en mettant à jour le noyaux Linux, et si les bons pilotes n’ont pas été installés.

Un petit plus pour terminer ce blog. Si vous avez plusieurs noyaux installés, pour tous les mettre à jour, il faut taper la commande:

$ sudo update-initramfs -u -k all

Debian: Problème de mise-à-jour après l’installation de VMWare

Message d’erreur

insserv: Starting vmware-USBArbitrator depends on rmnologin and therefore on system facility `$all’ which can not be true!

Pour y remédier, il faut créer deux fichiers  /etc/insserv/overrides/vmware, puis /etc/insserv/overrides/vmware-USBArbitrator et les rendre exécutables:

Contenu du fichier /etc/insserv/overrides/vmware

### BEGIN INIT INFO
# Provides:          vmware
# Required-Start:    $remote_fs $syslog
# Required-Stop:     $remote_fs $syslog
# Default-Start:     2 3 5
# Default-Stop:      2 3 5
# Short-Description: VMware VMX service for virtual machines
# Description:       Allows running of VMware virtual machines.                                    
### END INIT INFO

Contenu du fichier /etc/insserv/overrides/vmware-USBArbitrator

### BEGIN INIT INFO
# Provides:          vmware-USBArbitrator
# Required-Start:    $remote_fs $syslog vmware
# Required-Stop:     $remote_fs $syslog vmware
# Default-Start:     2 3 5
# Default-Stop:      2 3 5
# Short-Description: Start daemon when vmware starts
# Description:       Enable service provided by daemon.
### END INIT INFO

Lancer ensuite les commandes

# chmod +x /etc/insserv/overrides/vmware*
# cd  /etc/insserv/overrides
# ./vmware
# ./vmware-USBArbitrator

Source
Vmware Player Prevents Aptitude from Installing Debian Packages

Mise à niveau d’Ubuntu vers la version 9.04

Rien de tel que des captures d’écran :






Une fonctionnalité qui a disparu est la combinaison : CTRL+ALT+Backspace

Personnellement, vu que je commence à être un peu expérimenté depuis le temps que je suis sous linux, la désactivation de cette combinaison ne me dérange pas du tout. Par contre, je trouve que cette idée est « débile » puisque ça enlève la possibilité aux nouveaux utilisateurs d’Ubuntu de se débrouiller facilement en cas de problème.

Est-ce que c’est plus facile de faire une combinaison:

CTRL+ALT+Fx
entrer le login/mot de passe
checher le processus à tuer
tuer le processus

Cependant, j’encourage vivement les personnes qui sont à l’aise avec le terminal de s’en passer de cette combinaison, qui de plus est une très bonne habitude à prendre.

Pour réactiver cette combinaison,

Il suffit donc d’éditer son xorg.conf : gksudo gedit /etc/X11/xorg.conf et d’ajouter à la fin :

Section "ServerFlags"
Option "DontZap" "false"
EndSection

Source :
redémarrage serveur graphique sous Jaunty

Mise-à-jour vers Pidgin 2.5.2 non automatisée?


Mise-à-jour de pidgin 2.5.2 à partir de la version 2.5.0 : un vrai parcours du combattant :)

Il faut tout d’abord télécharger l’archive à partir du site officiel de pidgin.

http://www.pidgin.im/

Après décompression du fichier, et lorsque je lance dans une console:

./configure

Voici mon message d’erreur:

GtkSpell development headers not found

Pour résoudre ce problème, il faut aller dans Synaptic, et installer le paquet glibgtkspell-dev
Quand c’est fait, j’ai relancé un ./configure , et encore une fois, j’ai plus ou moins le même soucis que précédement:

Use --disable-gstreamer if you do not need GStreamer (sound) support pidgin

Et la, je me suis dit que ce ne serait peut-être pas le dernier soucis que je vais avoir,et donc j’ai du aller visiter le site officiel de pidgin pour voir les solutions qu’ils proposent, entre autre celle ci pour installer toutes les dépendances automatiquement:

sudo apt-get build-dep pidgin

Mais bon, il ne faut pas croire que tout est rose :) … un nouveau message d’erreur:

E: Vous devez insérer quelques adresses « sources » dans votre sources.list

Et oui, tout est dit, donc il faut ajouter les 2 lignes suivantes dans votre source.list (que vous pouvez récupérer sur: https://launchpad.net/~pidgin-developers/+archive)

deb http://ppa.launchpad.net/pidgin-developers/ubuntu hardy main
deb-src http://ppa.launchpad.net/pidgin-developers/ubuntu hardy main

Après cela, j’ai espéré que cette fois ci je ne vais plus avoir de problème en relançant ma recherche de dépendance:

sudo apt-get build-dep pidgin
Lecture des listes de paquets... Fait
Construction de l'arbre des dépendances
Lecture des informations d'état... Fait
Les NOUVEAUX paquets suivants seront installés :
check doxygen libcamel1.2-dev libdb-dev libdb4.6-dev libebook1.2-dev
libedata-book1.2-dev libedataserver1.2-dev libgadu-dev libgstreamer0.10-dev
liblaunchpad-integration-dev libltdl3-dev libmeanwhile-dev libncursesw5-dev
libnm-util-dev libnspr4-dev libnss3-dev libperl-dev libsasl2-dev
libsilc-1.1-2-dev libsqlite3-dev libxt-dev libzephyr-dev network-manager-dev
tcl8.4-dev tk8.4 tk8.4-dev
0 mis à jour, 27 nouvellement installés, 0 à enlever et 3 non mis à jour.
Il est nécessaire de prendre 11,3Mo dans les archives.
Après cette opération, 65,9Mo d'espace disque supplémentaires seront utilisés.
Souhaitez-vous continuer [O/n] ? O

J’ai ensuite l’icône de mise à jour, est-ce enfin une bonne nouvelle?!

Malheureusement, cette MAJ est juste pour le passage de la version 2.5.0 vers la 2.5.1

Et donc, je retente un ./configure puisque j’ai téléchargé la version 2.5.2

Pidgin will be installed in /usr/local/bin.
Warning: You have an old copy of Pidgin at /usr/bin/pidgin.

configure complete, now type 'make'

$make

Le fait de lancer un ‘make’ dure un petit moment, avec tout plein de texte incompréhensible pour le commun des mortels :) … et donc il faut savoir patienter. Puis tout à l’air bon, je tente la dernière manipulation:

sudo make install

Ouf, j’y suis arrivé finalement. Bon courage à ceux qui veulent tenter aussi de leur côté.

Sources:
site officiel de pidgin
l’archive pour la version 2.5.2
la source.lst pour pidgin

Maintenir son système grâce à un Script v3.1

Avec la version 3.1, l’installation du script est beaucoup plus facile, ainsi que la mise-à-jour pour de nouvelles versions.

Pour l’installation, comme j’avais la version 3.0, il fallait se placer dans le répertoire ou à été mis le fichier maintenance-systeme.sh puis de copier les commandes suivantes:

rm -r .config/maintenance
rm $HOME/*aintenance*yst?me*
Les autres commandes disent que les fichiers n'existent pas, et donc j'ai continué la procédure:

– ajouter dans /etc/apt/sources.list la ligne suivante:

deb http://scriptsubuntu.free.fr/apt hardy universe

– mettre à jour le paquet:

sudo apt-get update

Puis cliquez sur le lien suivant:

apt://maintenir-systeme

Une fois installé, l’application se trouve dans Applications/Outils Système/Maintenir Système

Sources:
http://doc.ubuntu-fr.org/maintenir_systeme