IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Falcon Sensor de CrowdStrike a également causé des problèmes sur les machines Linux récemment
Les professionnels estiment que la situation n'est pas comparable aux BSoD provoqués sur Windows

Le , par Stéphane le calme

37PARTAGES

13  0 
Le désormais célèbre logiciel Falcon Sensor de CrowdStrike, qui a provoqué la semaine dernière des pannes généralisées d'ordinateurs fonctionnant sous Windows, a également provoqué des pannes sur des machines Linux.

C'est en tout cas ce que ce sont empressés de rapportés les médias.

L'un d'eux note par exemple :

« En juin, Red Hat a averti ses clients d'un problème décrit comme "Kernel panic observed after booting 5.14.0-427.13.1.el9_4.x86_64 by falcon-sensor process" (panique du noyau observée après le démarrage de 5.14.0-427.13.1.el9_4.x86_64 par le processus falcon-sensor) qui a affecté certains utilisateurs de Red Hat Enterprise Linux 9.4 après (comme le suggère l'avertissement) avoir démarré sur la version 5.14.0-427.13.1.el9_4.x86_64 du noyau.

« Un second problème intitulé "System crashed at cshook_network_ops_inet6_sockraw_release+0x171a9" conseille aux utilisateurs "d'obtenir de l'aide pour résoudre les problèmes potentiels liés au module noyau falcon_lsm_serviceable fourni par la suite logicielle de sécurité CrowdStrike Falcon Sensor/Agent". Red Hat a également indiqué que "la désactivation de la suite logicielle CrowdStrike Falcon Sensor/Agent ... atténuera les pannes et apportera une stabilité temporaire au système en question pendant que le problème est étudié". Le problème a été "observé mais n'est pas limité aux versions 6 et 7".

« Nous avons également repéré des rapports selon lesquels CrowdStrike est soupçonné de causer des problèmes sous Debian et Rocky Linux ».


Toutefois, des professionnels ce sont empressés de noter que les problèmes liés à Linux sont très différents des problèmes de BSOD de Windows :

« Les paniques du noyau redhat ont été causées par un bug dans l'implémentation ebpf du noyau, probablement une régression introduite par un patch spécifique à rhel. Blâmer crowdstrike pour cela est stupide (tout comme blâmer Microsoft pour le BSOD de Crowdstrike est stupide).

« Pour la petite histoire, je travaille également sur un produit utilisant des eBPF, et j'ai eu des mises à jour du noyau qui ont causé des paniques dans mes sondes eBPF.

« Dans mon cas, la panique s'est produite parce que le noyau a décidé de modifier une interface de hook LSM, en ajoutant un nouvel argument devant les autres. Lorsque la sonde est chargée, le noyau ne vérifie pas le type des arguments, et ne réalise donc pas que la sonde n'est pas compatible avec le nouveau noyau. Lorsque la sonde s'exécute, il se passe des choses bizarres et vous vous retrouvez avec une panique du noyau.

« Les sondes eBPF qui provoquent des paniques du noyau indiquent presque toujours un bogue du noyau, et non un bogue du fournisseur ebpf. Il y a bien sûr des exceptions (comme un ebpf qui refuse l'accès à une ressource et fait planter pid1). Mais elles sont très rares ».

Pour mémoire, eBPF est une technologie issue du noyau Linux qui peut exécuter des programmes dans un environnement confiné, mais avec les privilèges du noyau du système d'exploitation. eBPF est utilisé pour étendre de façon sûre et efficace les capacités du noyau, sans qu'il soit nécessaire de modifier le code source du noyau ou de charger des modules.


Mais ce genre d'avis ne fait pas l'unanimité. Un professionnel de l'informatique rétorque :

« Il n'est pas évident pour moi qu'ils soient si différents, mais peut-être ne suis-je pas "suffisamment intelligent".

« Pour moi, il s'agit d'une question compliquée - les organisations Linux et Windows sont toutes deux très performantes en matière d'ingénierie de la fiabilité du noyau, même si les structures organisationnelles et les approches d'ingénierie sont très différentes.

« Oui, "on a fait confiance aux mauvaises personnes", mais je ne vois pas comment l'ingénierie peut résoudre complètement ce problème ».


Un internaute a partagé son expérience :

« Crowdstrike a fait cela à notre flotte Linux de production le 19 avril dernier, et je meurs d'envie d'en parler.

« La version courte est la suivante : nous sommes un laboratoire de technologie civique, nous avons donc un tas de sites web de production différents créés à des moments différents sur des infrastructures différentes. Nous utilisons Crowdstrike, fourni par notre entreprise. Crowdstrike a publié une mise à jour un vendredi soir qui était incompatible avec la version stable de Debian. Nous avons donc patché Debian comme d'habitude, tout s'est bien passé pendant une semaine, puis tous nos serveurs à travers de multiples sites web et hôtes sur le cloud ont subi simultanément un crash dur et ont refusé de démarrer.

« Lorsque nous avons connecté l'un des disques à une nouvelle machine et vérifié les journaux, Crowdstrike semblait être le coupable, nous l'avons donc supprimé manuellement, la machine a démarré, nous avons essayé de le réinstaller et la machine s'est immédiatement effondrée à nouveau. OK, déposons un ticket d'assistance et cherchons à entrer en contact avec un ingénieur en ligne.

« Crowdstrike a pris un jour pour répondre, et a ensuite demandé un tas de preuves supplémentaires (en plus de ce qui précède) qui indiqueraient que c'était leur faute. Ils ont reconnu le bogue un jour plus tard, et quelques semaines plus tard, ils ont effectué une analyse des causes profondes pour expliquer qu'ils n'avaient pas pris en compte notre scénario (Debian stable fonctionnant avec la version n-1, je crois, qui est une configuration prise en charge) dans leur matrice de test. Dans notre propre post mortem, il n'y avait pas de réelle capacité à empêcher la même chose de se reproduire - "nous poussons un logiciel sur vos machines quand nous le voulons, que ce soit urgent ou non, sans le tester" semble être au cœur du modèle, en particulier si vous êtes un petit service informatique d'une grande entreprise ».

En attendant le consensus, les utilisateurs sur Linux jubilent...

Si Falcon Sensor de CrowdStrike est également disponible sur Linux, les utilisateurs n'ont pas été impactés. Aussi, ils en ont profité pour prendre leur revanche sur les réseaux sociaux et se moquer, à leur tour, des utilisateurs sur Windows.

Elon Musk n’a pas manqué de réagir à la panne. Il a ainsi partagé un montage photo d’une foule hagarde avec des visages remplacés par des écrans bleus Windows. Un peu plus tard dans la soirée, il a également assuré avoir supprimé CrowdStrike de ses systèmes. « Nous venons de supprimer CrowdStrike de tous nos systèmes », a-t-il indiqué. Et de poursuivre : « Malheureusement, beaucoup de nos fournisseurs et de nos sociétés de logistique l’utilisent », en réponse à des utilisateurs qui l’interpellaient sur le sujet.

Les utilisateurs sur mac ont fait pareil

« Permettez-moi d’être le premier à dire qu’en tant qu’utilisateur Apple, je ne suis presque jamais affecté par des pannes nationales ou mondiales. Les trucs de Bill Gates sont vraiment nuls », avance un internaute.

« Belle matinée à vous, ami utilisateurs de Mac et non affectés », lance un autre, comme s’il s’agissait de la série post-apocalyptique The last of US et que les utilisateurs de Windows étaient devenus les zombies affectés par le champignon parasite.

Différents montages photo circulent également. L’un des plus populaire représente deux manchots, flanqués du logo à la pomme et de celui de Linux, qui mettent au pas trois autres de leurs congénères, tous utilisateurs de Microsoft. Un autre montre une maison dévorée par les flammes tandis qu'un enfant s'amuse sur une balançoire.

« Pour une fois que ça sert à quelque chose d’avoir un Mac », ironise même le compte officiel de la chaîne de restauration Burger King, envoyant, du même coup, une pique à son concurrent McDonald’s et son célèbre Big Mac.

Sources : RedHat (1, 2), RockyLinux, Debian

Et vous ?

Pensez-vous que les pannes sur les machines Linux provoquées par Falcon Sensor fin juin sont comparables à celles sur Windows ? Dans quelle mesure ?
Quelles boutades trouvez vous plus originales ?

Une erreur dans cette actualité ? Signalez-nous-la !

Avatar de Leruas
Membre éclairé https://www.developpez.com
Le 22/07/2024 à 20:47
Maintenant qu'on connait la raison du bug (et que cela arrive dans 100% des cas avec ce patch), comment cela se fait qu'ils n'aient pas vu ce problème sur leurs machines de test en QA ?
7  0 
Avatar de Eric80
Membre éclairé https://www.developpez.com
Le 23/07/2024 à 17:04
Citation Envoyé par fmartini Voir le message
En effet, le réseau intradef (l'intranet standard de l'armée française) est entièrement coupé d'internet.
ce qui est bien plus pertinent que des solutions tjs connectées.

Le gars ds l interview parle bien des systèmes Microsoft imposés dans les différents ministères, dont la défense. Comme il dit, pour des raisons évidentes de souveraineté, l armée se méfie énormément de Windows et fait tout pour éviter que les infos transitent trop vers MS et la NSA...
5  0 
Avatar de floyer
Membre éclairé https://www.developpez.com
Le 29/08/2024 à 15:33
N’importe quel OS qui permet des extensions en mode noyau s’expose à ce risque. Les différents OS type UNIX n’y échappent pas. (D’ailleurs une mise à jour de Crowdstrike a provoqué des kernel panic sur Linux).

L’architecture de Windows depuis NT n’a rien à voir avec DOS, contrairement à ce que tu sembles dire.

L’approche qui changera vraiment quelque chose est le micronoyau (Mach, QNX, SeL4…) et encore, si un module est un SPOF (typiquement un système de fichier), un défaut dans ce module compromet le fonctionnement du système. Cette approche pourrait rogner un peu les performances… mais pour des applications critiques, pourquoi pas. (Cela me rappelle l’arrivée d’OS/2 où la presse s’indignait oh là là, on perd 2% de performances par rapport à un OS non sécurisé)

Et le principe de mise à jour automatique est vraiment le cœur du problème. Imaginons Oracle « pousser » une nouvelle pile Java à l’insu des développeur et exploitant… même si elle ne tourne qu’en mode utilisateur, cela peut bloquer beaucoup d’applications potentiellement critiques.
5  0 
Avatar de Anselme45
Membre extrêmement actif https://www.developpez.com
Le 24/07/2024 à 15:17
Citation Envoyé par weed Voir le message
Il faudrait intérroger longuement les DSI des grands groupes, des institutions publics qui font les choix des OS. Connaitre la vrai raison de l'usage de tel OS plutot qu'un autre. Je reste persuadé qu'il y a du lobby, et donc on ne peut pas partler de lobby.

Après il ne faut pas allé dans l'exagération de dire qu'il est le buggé. Aller dans les extrèmes n'est jamais bon. Il faut avant tout de la diversité, et ne pas avoir de dés pipés sur le marché des OS..
Parler de "lobby"? Mais c'est proprement scandaleux comme affirmation

Par contre les petits week-end prolongés pour Monsieur et madame, tout frais payé, débutant le jeudi jusqu'au lundi suivant, dans un hôtel de luxe, dans un pays chaud pour présenter une nouvelle solution à quelques DSI bien choisis, présentation qui dure 1 heure sur toute la durée du week-end, sans qu'une présence soit exigée... ça oui! Mais franchement parler de "lobby"
4  0 
Avatar de Zefling
Expert confirmé https://www.developpez.com
Le 22/07/2024 à 23:26
Quand je vois comment ça se passe, j'ai l'impression que les clients sont les beta-testeurs maintenant.
Nous, pour réduire au maximum les coûts, on va de plus en plus vers les zéro QA.
Il faut tout faire avec des tests, sauf qu'un développeur ne teste pas la même chose qu'un QA. Et je me rends bien compte avec les temps que c'est 2 domaines biens différents.
4  1 
Avatar de phil995511
Membre éprouvé https://www.developpez.com
Le 23/07/2024 à 14:25
Citation Envoyé par denisys Voir le message
Avec une bonne paire de lunette.
En relisant le titre de l’article.
L’article parle de Linux !!
On ne vous a semble-t-il ni appris la courtoisie, ni le respect des autres ;-(

Part ailleurs il n'y a aucune allusion à Linux dans l'article du 23 juillet 2024 "Les coûts de la panne mondiale provoquée par CrowdStrike pourraient dépasser le milliard de dollars".
3  0 
Avatar de weed
Membre chevronné https://www.developpez.com
Le 24/07/2024 à 0:22
Citation Envoyé par Eric80 Voir le message
ce qui est bien plus pertinent que des solutions tjs connectées.

Le gars ds l interview parle bien des systèmes Microsoft imposés dans les différents ministères, dont la défense. Comme il dit, pour des raisons évidentes de souveraineté, l armée se méfie énormément de Windows et fait tout pour éviter que les infos transitent trop vers MS et la NSA...
Sauf que l'amrée utilisent beaucoup de Microsoft, ils ont eu un gros contrat Microsoft en open bar, cela a fait pas mal scandale.
L'insitution qui a su mettre un stop est la gendarmerie mais en aucun cas l'armée.
3  0 
Avatar de weed
Membre chevronné https://www.developpez.com
Le 24/07/2024 à 0:27
Citation Envoyé par phil995511 Voir le message
En plus de Windows ou Linux il y a aussi Unix et Mac OS me semble-t-il... mettre tous ses oeufs dans le même panier peut en effet être potentiellement risqué mais faire confiance à l'OS le plus buggé et le plus piraté de l'histoire est à mes yeux encore plus risqué...
Il faudrait intérroger longuement les DSI des grands groupes, des institutions publics qui font les choix des OS. Connaitre la vrai raison de l'usage de tel OS plutot qu'un autre. Je reste persuadé qu'il y a du lobby, et donc on ne peut pas partler de lobby.

Après il ne faut pas allé dans l'exagération de dire qu'il est le buggé. Aller dans les extrèmes n'est jamais bon. Il faut avant tout de la diversité, et ne pas avoir de dés pipés sur le marché des OS..
3  0 
Avatar de AaâÂäÄàAaâÂäÄàAaâÂäÄ
Membre expérimenté https://www.developpez.com
Le 24/07/2024 à 19:34
Les procédures de test ne sont pas testées...
Ce qui est assez drôle mais que ne m'aurait pas fait rire vendredi !
3  0 
Avatar de Fagus
Membre expert https://www.developpez.com
Le 29/07/2024 à 13:22
Mais le changement le plus important consisterait à verrouiller l'accès au noyau de Windows afin d'empêcher les pilotes tiers de faire planter un PC entier. Ironiquement, Microsoft a essayé de faire exactement cela avec Windows Vista, mais s'est heurté à la résistance des fournisseurs de cybersécurité et des régulateurs de l'UE.
ça ressemble à de la com' de mauvaise foi de microsoft.

J'ai vite fait balayé du regard cet accord. Je ne sais pas ce qu'en diraient les juristes, mais le législateur peut imposer des objectifs mais (en principe) pas des solutions techniques.
En gros l'accord dit que microsoft doit documenter ses API et les ouvrir aux concurrents comme à ses propres produits. Il n'est pas dit que microsoft doit donner les privilèges kernel à quiconque le demande, ni que le noyaux doit planter s'il n'arrive pas à charger un pilote.
3  0