Communiqué de LINAGORA concernant les failles de sécurité Meltdown et Spectre

Bonjour à tous,

Comme vous le savez probablement, deux failles de sécurité critiques des processeurs ont été récemment découvertes et ont été rendues publiques par Google. Ces vulnérabilités, connues respectivement sous les noms de Meltdown et Spectre, regroupent 3 vecteurs d’attaque distincts :

  • CVE-2017-5715 (branch target injection – Spectre)
  • CVE-2017-5753 (bounds check bypass – Spectre)
  • CVE-2017-5754 (rogue data cache load – Meltdown)

Le site de l’ANSII énumère également toutes les annonces et précise en outre les impacts de ces failles : « Les vulnérabilités décrites dans cette alerte peuvent impacter tous les systèmes utilisant un processeur vulnérable et donc de façon indépendante du système d’exploitation. Selon les chercheurs à l’origine de la découverte de ces failles, il est ainsi possible d’accéder à l’intégralité de la mémoire physique sur des systèmes Linux et OSX et à une part importante de la mémoire sur un système Windows« . Source : https://www.cert.ssi.gouv.fr/alerte/CERTFR-2018-ALE-001/

Il est par conséquent important, pour la protection des données de chacun, de corriger ces vulnérabilités dans les meilleurs délais. Nous sommes mobilisés et suivons de très près le déploiement des correctifs et la mise en oeuvre de ceux-ci tant pour nos propres matériels et infrastructures que pour nos clients.

Dans le cadre de notre démarche constante de veille proactive, nous souhaitons, par le présent article, vous présenter un état des lieux pour les systèmes d’exploitations et navigateurs que vous êtes susceptible d’utiliser, afin le cas échéant que vous preniez les mesures requises afin de corriger ces vulnérabilités :

Systèmes de type GNU/Linux
Les principales distributions diffusent des mises à jour du noyau Linux (kernel) afin de corriger les failles de sécurité de bas niveau lorsqu’elles sont détectées. L’application de cette mise à jour nécessitera, une fois celle-ci déployée, un redémarrage des machines.
CentOS / RedHat : Des correctifs pour les vulnérabilités Spectre et Meltdown ont été distribués par Red Hat  https://access.redhat.com/security/vulnerabilities/speculativeexecution et https://www.cert.ssi.gouv.fr/avis/CERTFR-2018-AVI-004/
Debian : Un premier patch a été appliqué, d’autres sont en cours. https://security-tracker.debian.org/tracker/source-package/linux
Ubuntu : Des correctifs sont prévus pour systèmes 64 bits pour le mardi 9 janvier 2018 https://wiki.ubuntu.com/SecurityTeam/KnowledgeBase/SpectreAndMeltdown

Systèmes Microsoft Windows
Microsoft publie des patch de sécurité pour les systèmes suivants :
Serveur : Windows Server 2008 R2, Windows Server 2012 R2, Windows Server 2016
Desktop : Windows 7, Windows 8.1, Windows 10

Systèmes Apple
Apple a publié des patchs de limitation des risques (« mitigations ») pour la faille Meltdown dans les versions de ses systèmes d’exploitation iOS 11.2, macOS 10.13.2, et tvOS 11.2. WatchOS n’est pas affecté.
Pour le moment, aucun patch n’a été publié pour la vulnérabilité Spectre, mais Apple a annoncé la sortie d’une mise à jour pour son navigateur Safari. https://support.apple.com/en-us/HT208394

Mozilla Firefox
Mozilla de son côté a publié un patch de sécurité pour la dernière version stable de son navigateur afin de prévenir tout attaque exploitant ces failles depuis un script qui serait délivré par un site malveillant : https://blog.mozilla.org/security/2018/01/03/mitigations-landing-new-class-timing-attack/ La mise à jour vers cette dernière version est fortement conseillé.
La version ESR (Extended Support Release) n’a pour l’instant pas reçu de mise à jour.

Google

Navigateur Chrome : une mise à jour sera publié le 23 janvier 2018.  https://security.googleblog.com/2018/01/todays-cpu-vulnerability-what-you-need.html et propose dès à présent un système d’isolation qu’il est possible de mettre en place http://www.chromium.org/Home/chromium-security/site-isolation

Concernant les téléphones Android, un patch de sécurité sera fourni dans le Security Update de Janvier 2018.

OVH
Notre infrastructure reposant sur OVH, nous suivons également les mises en oeuvres et impacts que les correctifs liés à ces failles pourraient avoir : https://www.ovh.com/fr/blog/vulnerabilites-meltdown-spectre-cpu-x86-64-ovh-pleinement-mobilise

Nous vous informerons au cas par cas pour l’application des patchs de sécurité et la planification de l’arrêt des services nécessaires pour le rédémarrage des serveurs.

Bien entendu, nous restons disponibles pour toute information complémentaire que vous pourriez souhaiter.