Oracle a bien inclus des correctifs pour ses produits affectés par les failles Spectre (CVE-2017-5753, CVE-2017-5715) et Meltdown (CVE-2017-5754) dans sa mise à jour de sécurité trimestrielle, livrée hier. Même si son pré-bulletin ne le mentionnait pas spécifiquement, ses serveurs équipés de x86 étaient bien sûr concernés par ces vulnérabilités liées aux processeurs Intel, ARM et AMD. En toute logique, au-delà de ces trois fournisseurs, d'autres fabricants de processeurs sont aussi touchés par ces failles. C’est le cas d’Oracle avec ses processeurs Sparc, mais aussi d’IBM avec ses Power PC et probablement HPE avec ses Alpha.
Oracle mentionne ainsi sur son portail de support, dans un document daté du 16 janvier, que certaines versions de Solaris sur Sparcv9 sont certainement affectées par les vulnérabilités Spectre, ainsi que le rapportent nos confrères du site The Register. Un jour plus tôt, IBM informait lui aussi dans un bulletin daté du 15 janvier que des correctifs allaient être disponibles pour ses systèmes Power à travers ses portails habituels. Il fournit séparément la liste des processeurs de la famille Power impactés et les dates de livraison des patchs. IBM explique également que ses appliances de stockage ne sont pas concernées parce qu'il s'agit de systèmes fermés. Il ajoute que les clients de ses systèmes Z sont par ailleurs informés via leur portail Z habituel.
Limiter le nombre d'utilisateurs à privilèges
Oracle travaille sur des correctifs pour toutes les versions de son OS Solaris qui bénéficient d’un support Premier ou Extended, mais il ne précise pas dans quel délai il les livrera. Toujours selon The Register, le fournisseur de Redwood Shores enquête aussi sur l’impact que ces correctifs pourraient avoir sur les performances des machines. Il conseille aussi à ses clients de limiter le nombre d’utilisateurs à privilèges qui sont autorisés à installer du code et de faire régulièrement des audits sur les connexions.
Quant à HPE, il a rapidement informé les utilisateurs de ses systèmes x86 sur son site community.hpe.com au sujet des failles Spectre/Meltdown, en pointant vers les mises à jour pour les ROM de ses systèmes et sur les correctifs fournis par Microsoft pour son OS. En revanche, on ne sait pas encore s’il a communiqué sur le problème en direction de ses clients utilisant toujours des systèmes équipés de processeurs Alpha.
Oracle enjoint d'appliquer rapidement ses correctifs
Par ailleurs, de façon générale, Oracle enjoint ses clients de bien appliquer les correctifs qu'il fournit régulièrement. Hier, dans le bulletin de sécurité associé à sa mise à jour trimestrielle de janvier 2018, il souligne que « dans certains cas, il a été rapporté que des attaquants ont réussi [leurs attaques] parce que les clients ciblés n’avaient pas appliqué les correctifs Oracle disponibles ». L'éditeur recommande donc fortement de mettre en place sans délai les patchs liés aux versions de ses logiciels « activement supportées ».
Dans les années 80 lorsque vous achetiez de l'Intel X86, vous aviez à côté du socle du processeur un autre socle.
Signaler un abusCelui-ci était destiné à une option appelée X87 et destinée à recevoir un co-processeur mathématique. Celà faisait le beurre
d'Intel et pas peu. Il faut reconnaître que les failles "détectée aujourd'hui" démontrent que le fondeur, y compris ARM, AMD et consors "ne savent toujours pas faire". Pourquoi alors ne pas relancer le même process mais avec traitement du Kernel séparé en quelque sorte. Ce qui permettrait d'interchanger l'objet ou de l'implémenter via des firmwares ad-hoc lorsque des failles y seront à nouveau constatées. Imaginez ce qui se passera lorsque nous aurons des machines quantiques fonctionnelles, capables de décoder à la volée du SSH de 1000 Bytes. C'est un peu comme si nous avions inventé la roue, puis le moteur mais....pas le frein.