Vulnérabilités Meltdown et Spectre

(English version here)

De quoi s'agit-il ?

Les failles Meltdown et Spectre, contrairement à d'autres vulnérabilités largement médiatisées comme Wannacry ou Heartbleed, sont dues à la façon dont les processeurs traitent les instructions qui leur sont soumises par les systèmes d'exploitation ou les applications. Cela explique pourquoi ces vulnérabilités concernent virtuellement toutes les architectures processeur (Intel, AMD, ARM) et sont indépendantes du système d'exploitation utilisé (Windows, Mac, Linux). La problématique est donc sérieuse car elle concerne l'ensemble de l'écosystème informatique de l'EPFL.

Meltdown (CVE-2017-5754)

Spectre (CVE-2017-5715 / CVE-2017-5753)

Problématique

Ces révélations, bien que rendues publiques en même temps et touchant les deux, d'une manière spécifique, le coeur du fonctionnement des ordinateurs, ne se corrigent pas  indistinctement par les mêmes correctifs. Cependant, les éditeurs et fabriquants y répondent souvent conjointement dans leurs articles ou Knowledge Base, ce qui complexifie la réponse à apporter à ces vulnérabilités.

Les correctifs pour Spectre impliquent non seulement une correction logicielle via des patchs, mais également des corrections matérielles (microcode à 'flasher'). Les correctifs pour Meltdown sont uniquement logiciels pour l'instant. Les opérations de mise à jour de microcode pouvant porter atteinte à l'intégrité du matériel, nous recommandons de ne pas les effectuer pour l'instant.

Référence rapide

 NB : les infrastructures AMD ne doivent pas être patchées.

Microsoft Windows - dans AD              
7/8.1/10 Go Fix fichier .reg via GPO -> Windows Update OK          
Server Go Fix fichier .reg via GPO -> Windows Update OK          
Microsoft Windows - hors AD              
7/8.1/10 No Go En attente de la solution Mcafee pour .reg          
Server No Go En attente de la solution Mcafee pour .reg          
Apple MacOS              
High Sierra (10.13.2) Go Version immunisée          
Sierra (10.12.6) Go Migrer à High Sierra si OK hardware et 'métier'          
El Capitan (10.11.6) Go Migrer à High Sierra si OK hardware et 'métier'          
UNIX/Linux              
Red Hat Go Vérifier si OS est déjà protégé (script ici)          
Debian Go Vérifier si OS est déjà protégé (script ici)          
Ubuntu Go Vérifier si OS est déjà protégé (script ici)          
SUSE Go Vérifier si OS est déjà protégé (script ici)          

Situation actuelle

Microsoft Windows

 

 

Apple MacOS

NB : les informations ci-dessous ne sont valables que si vous avez installé les dernières mises à jour. Plus de détails dans la KB : https://support.apple.com/en-us/HT208394

UNIX/Linux

Virtualisation

Smartphones et tablettes

Navigateurs