admin / 20 juin 2018

RHEL et CentOS de Linux 7 reçoivent des mitigations pour la vulnérabilité de la variante 4 de Spectre

Comme promis plus tôt cette semaine, Red Hat a sorti des mitigations logicielles pour tous ses produits affectés, contre la vulnérabilité récemment découverte de la 4ème variante de Spectre, qui affecte aussi ses dérivés, incluant le CentOS de Linux.

Le 21 mai 2018, les chercheurs en sécurité du Project Zero de Google et du Security Response Center de Microsoft ont publiquement dévoilé deux nouvelles variantes, 3a et 4, du problème qui secoue actuellement cette industrie et qu’on connait sous le nom de Spectre. La variante 4 de Spectre est identifiée comme CVE-2018-3639 et semble avoir un impact important sur la sécurité de tous les systèmes d’exploitation basés sur Linux, incluant tous les produits de Red Hat et ses dérivés, tels que CentOS de Linux.

Bien que sa mise en œuvre soit complexe, la variante 4 de Spectre peut permettre à un attaquant sans privilèges de lire de la mémoire avec privilèges et exposer des informations sensibles en effectuant des attaques ciblées sur le cache du canal latéral. Red Hat a sorti aujourd’hui une mise à jour du kernel pour les systèmes Red Hat Enterprise Linux 7 avec architecture matérielle x86_64 (64-bit) pour limiter le problème, mais il faut noter qu’il ne peut être entièrement corrigé avec les mises à jour logicielles.

« Ce problème est présent dans le matériel et ne peut être entièrement réparé avec une mise à jour logicielle. Les packages du kernel mis à jour fournissent la partie logicielle de la mitigation pour ce problème matériel. Pour être pleinement fonctionnel, un microcode pour processeur à jour appliqué sur le système est nécessaire. Nous vous prions de vous référer à  la section Références pour plus d’informations à propos de ce problème, pour les impératifs pour le microcode du processeur et le potentiel impact sur la performance » a déclaré le consultant en sécurité de Red Hat.

Le CentOS de Linux 8 a aussi un patch contre la variante 4 de Spectre.

Parmi les produits affectés de chez Red Hat on trouve Red Hat Enterprise Linux Server 7, Red Hat Enterprise Linux Server – Extended Update Support 7.5, Red Hat Enterprise Linux Workstation 7, Red Hat Enterprise Linux Desktop 7, Red Hat Enterprise Linux for IBM z Systems 7, Red Hat Enterprise Linux for IBM z Systems – Extended Update Support 7.5, and Red Hat Enterprise Linux for Power, big endian 7.

Red Hat Enterprise Linux for Power, big endian – Extended Update Support 7.5, Red Hat Enterprise Linux for Scientific Computing 7, Red Hat Enterprise Linux EUS Compute Node 7.5, Red Hat Enterprise Linux for Power, little endian 7, Red Hat Enterprise Linux for Power, little endian – Extended Update Support 7.5, Red Hat Virtualization Host 4, Red Hat Enterprise Linux for ARM 64 7, Red Hat Enterprise Linux for Power 9 7, and Red Hat Enterprise Linux for IBM System z (Structure A) 7 sont aussi affectés.

Etant basé sur les séries d’OS de Red Hat Enterprise Linux 7, le clone open-source CentOS Linux 7 a récemment reçu des mitigations pour la vulnérabilité de sécurité de la variante 4 de Spectre basés sur le kernel en amont. Tous les utilisateurs du CentOS Linux 7 sont priés de mettre à niveau leur installation pour un kernel  -3.10.0-862.3.2.el7.x86_64.rpm aussi rapidement que possible, et aussi d’installer les dernières mises à jour du firmware du microcode de leur fournisseur respectif de processeur (Intel ou AMD).

FILED UNDER : Non classé

Submit a Comment

Must be required * marked fields.

:*
:*