Le dsormais clbre logiciel Falcon Sensor de CrowdStrike, qui a provoqu la semaine dernire des pannes gnralises d’ordinateurs fonctionnant sous Windows, a galement provoqu des pannes sur des machines Linux.
C’est en tout cas ce que ce sont empresss de rapports les mdias.
L’un d’eux note par exemple :
En juin, Red Hat a averti ses clients d’un problme dcrit comme « Kernel panic observed after booting 5.14.0-427.13.1.el9_4.x86_64 by falcon-sensor process » (panique du noyau observe aprs le dmarrage de 5.14.0-427.13.1.el9_4.x86_64 par le processus falcon-sensor) qui a affect certains utilisateurs de Red Hat Enterprise Linux 9.4 aprs (comme le suggre l’avertissement) avoir dmarr sur la version 5.14.0-427.13.1.el9_4.x86_64 du noyau.
Un second problme intitul « System crashed at cshook_network_ops_inet6_sockraw_release+0x171a9 » conseille aux utilisateurs « d’obtenir de l’aide pour rsoudre les problmes potentiels lis au module noyau falcon_lsm_serviceable fourni par la suite logicielle de scurit CrowdStrike Falcon Sensor/Agent ». Red Hat a galement indiqu que « la dsactivation de la suite logicielle CrowdStrike Falcon Sensor/Agent … attnuera les pannes et apportera une stabilit temporaire au systme en question pendant que le problme est tudi ». Le problme a t « observ mais n’est pas limit aux versions 6 et 7 ».
Nous avons galement repr des rapports selon lesquels CrowdStrike est souponn de causer des problmes sous Debian et Rocky Linux .
Toutefois, des professionnels ce sont empresss de noter que les problmes lis Linux sont trs diffrents des problmes de BSOD de Windows :
Les paniques du noyau redhat ont t causes par un bug dans l’implmentation ebpf du noyau, probablement une rgression introduite par un patch spcifique rhel. Blmer crowdstrike pour cela est stupide (tout comme blmer Microsoft pour le BSOD de Crowdstrike est stupide).
Pour la petite histoire, je travaille galement sur un produit utilisant des eBPF, et j’ai eu des mises jour du noyau qui ont caus des paniques dans mes sondes eBPF.
Dans mon cas, la panique s’est produite parce que le noyau a dcid de modifier une interface de hook LSM, en ajoutant un nouvel argument devant les autres. Lorsque la sonde est charge, le noyau ne vrifie pas le type des arguments, et ne ralise donc pas que la sonde n’est pas compatible avec le nouveau noyau. Lorsque la sonde s’excute, il se passe des choses bizarres et vous vous retrouvez avec une panique du noyau.
Les sondes eBPF qui provoquent des paniques du noyau indiquent presque toujours un bogue du noyau, et non un bogue du fournisseur ebpf. Il y a bien sr des exceptions (comme un ebpf qui refuse l’accs une ressource et fait planter pid1). Mais elles sont trs rares .
Pour mmoire, eBPF est une technologie issue du noyau Linux qui peut excuter des programmes dans un environnement confin, mais avec les privilges du noyau du systme d’exploitation. eBPF est utilis pour tendre de faon sre et efficace les capacits du noyau, sans qu’il soit ncessaire de modifier le code source du noyau ou de charger des modules.
Mais ce genre d’avis ne fait pas l’unanimit. Un professionnel de l’informatique rtorque :
Il n’est pas vident pour moi qu’ils soient si diffrents, mais peut-tre ne suis-je pas « suffisamment intelligent ».
Pour moi, il s’agit d’une question complique – les organisations Linux et Windows sont toutes deux trs performantes en matire d’ingnierie de la fiabilit du noyau, mme si les structures organisationnelles et les approches d’ingnierie sont trs diffrentes.
Oui, « on a fait confiance aux mauvaises personnes », mais je ne vois pas comment l’ingnierie peut rsoudre compltement ce problme .
Un internaute a partag son exprience :
Crowdstrike a fait cela notre flotte Linux de production le 19 avril dernier, et je meurs d’envie d’en parler.
La version courte est la suivante : nous sommes un laboratoire de technologie civique, nous avons donc un tas de sites web de production diffrents crs des moments diffrents sur des infrastructures diffrentes. Nous utilisons Crowdstrike, fourni par notre entreprise. Crowdstrike a publi une mise jour un vendredi soir qui tait incompatible avec la version stable de Debian. Nous avons donc patch Debian comme d’habitude, tout s’est bien pass pendant une semaine, puis tous nos serveurs travers de multiples sites web et htes sur le cloud ont subi simultanment un crash dur et ont refus de dmarrer.
Lorsque nous avons connect l’un des disques une nouvelle machine et vrifi les journaux, Crowdstrike semblait tre le coupable, nous l’avons donc supprim manuellement, la machine a dmarr, nous avons essay de le rinstaller et la machine s’est immdiatement effondre nouveau. OK, dposons un ticket d’assistance et cherchons entrer en contact avec un ingnieur en ligne.
Crowdstrike a pris un jour pour rpondre, et a ensuite demand un tas de preuves supplmentaires (en plus de ce qui prcde) qui indiqueraient que c’tait leur faute. Ils ont reconnu le bogue un jour plus tard, et quelques semaines plus tard, ils ont effectu une analyse des causes profondes pour expliquer qu’ils n’avaient pas pris en compte notre scnario (Debian stable fonctionnant avec la version n-1, je crois, qui est une configuration prise en charge) dans leur matrice de test. Dans notre propre post mortem, il n’y avait pas de relle capacit empcher la mme chose de se reproduire – « nous poussons un logiciel sur vos machines quand nous le voulons, que ce soit urgent ou non, sans le tester » semble tre au cur du modle, en particulier si vous tes un petit service informatique d’une grande entreprise .
En attendant le consensus, les utilisateurs sur Linux jubilent…
Si Falcon Sensor de CrowdStrike est galement disponible sur Linux, les utilisateurs n’ont pas t impacts. Aussi, ils en ont profit pour prendre leur revanche sur les rseaux sociaux et se moquer, leur tour, des utilisateurs sur Windows.
Waking up as a Linux user today #Crowdstrike pic.twitter.com/rkC4hGQhLY
— It’s FOSS (@itsfoss2) July 19, 2024
Linux users 😎💪💪#Microsoft #Windows #crowdstrike #Infosys pic.twitter.com/l1Elt8DO1z
— Secular Chad (@SachabhartiyaRW) July 19, 2024
Elon Musk na pas manqu de ragir la panne. Il a ainsi partag un montage photo dune foule hagarde avec des visages remplacs par des crans bleus Windows. Un peu plus tard dans la soire, il a galement assur avoir supprim CrowdStrike de ses systmes. Nous venons de supprimer CrowdStrike de tous nos systmes , a-t-il indiqu. Et de poursuivre : Malheureusement, beaucoup de nos fournisseurs et de nos socits de logistique lutilisent , en rponse des utilisateurs qui linterpellaient sur le sujet.
We just deleted Crowdstrike from all our systems, so no rollouts at all
— Elon Musk (@elonmusk) July 19, 2024
Les utilisateurs sur mac ont fait pareil
Heres a FIX for the Blue Screen of Death for both Windows and Mac users! #BSOD $CRWD
Windows:
1. Boot into safe mode
2. Go to C:\Windows\System32\drivers\Crowdstrike directory
3. Delete C-00000291*.sys
4. Restart (credit @MacPaw)Mac:
1. Dont worry. Youre not impacted 😂💯🖥️ pic.twitter.com/8arDIViLUi— Vadim Yuryev (@VadimYuryev) July 19, 2024
Permettez-moi dtre le premier dire quen tant quutilisateur Apple, je ne suis presque jamais affect par des pannes nationales ou mondiales. Les trucs de Bill Gates sont vraiment nuls , avance un internaute.
Belle matine vous, ami utilisateurs de Mac et non affects , lance un autre, comme sil sagissait de la srie post-apocalyptique The last of US et que les utilisateurs de Windows taient devenus les zombies affects par le champignon parasite.
GOOD MORNING, FELLOW UNAFFECTED MAC USERS! #Crowdstrike pic.twitter.com/e1348lkVYA
— ᴺᴼᵀ Jony Ive (@JonyIveParody) July 19, 2024
Diffrents montages photo circulent galement. Lun des plus populaire reprsente deux manchots, flanqus du logo la pomme et de celui de Linux, qui mettent au pas trois autres de leurs congnres, tous utilisateurs de Microsoft. Un autre montre une maison dvore par les flammes tandis qu’un enfant s’amuse sur une balanoire.
Mac and Linux users today#CrowdStrike pic.twitter.com/fstUZUdVSm
— Henrique Alves (@hnqso) July 19, 2024
Pour une fois que a sert quelque chose davoir un Mac , ironise mme le compte officiel de la chane de restauration Burger King, envoyant, du mme coup, une pique son concurrent McDonalds et son clbre Big Mac.
Pour une fois que c’est mieux d’avoir un Mac. https://t.co/6JMDnIXRgM
— Burger King France (@BurgerKingFR) July 19, 2024
Sources : RedHat (1, 2), RockyLinux, Debian
Et vous ?
Pensez-vous que les pannes sur les machines Linux provoques par Falcon Sensor fin juin sont comparables celles sur Windows ? Dans quelle mesure ?
Quelles boutades trouvez vous plus originales ?