King of Hearts/Wikimedia Commons
Oracle publie des correctifs pour Spectre et confirme la vulnérabilité de Sparc
Très discret lors de la divulgation de Spectre et Meltdown, Oracle n'a pas modifié son calendrier pour combler les deux failles. Les correctifs pour Spectre ont ainsi été dévoilé hier à l'occasion de la publication mensuelle de ses correctifs de sécurité. Sparc est officiellement vulnérable est des correctifs sont aussi en préparation.
Oracle a profité de la publication de son train de correctif mensuel, rendu public hier, pour en dire un peu plus sur la vulnérabilité de ses différentes solutions aux attaques Spectre. L’éditeur de Redwood Shores, qui a fait jusqu’alors preuve d’une grande discrétion, avait déjà publié des correctifs pour sa distribution Linux et pour son hyperviseur Oracle VM (voir à ce propos notre article sur les travaux à réaliser pour se protéger des failles Spectre et Meltdown).
Mais il était jusqu'alors resté silencieux sur l'impact des deux failles sur son système d'exploitation Solaris, sur ses serveurs Sparc et n'avait pas donné d'indication sur sa stratégie de mise à jour firmware pour ses serveurs x86..
Hier, il a apporté des réponses à plusieurs de ces questions en confirmant la vulnérabilité de plusieurs de ses solutions aux failles Spectre. Comme tous ses concurrents, Oracle met désormais à la disposition de ses clients un correctif firmware pour ses serveurs x86. Il inclut les derniers microcodes Intel conçus pour protéger ses machines de la variante 2 de Spectre (CVE-2017-5715).
Oracle n’a pas précisé si ces mises à jour de microcode s’appuient sur la première vague de correctifs produits par Intel — des correctifs soupçonnés fortement de causer des plantages et redémarrages intempestifs des serveurs à base de puces Xeon E5 v3 et v4 — ou sur des correctifs ultérieurs. L’éditeur a aussi reconnu que son hyperviseur open source VirtualBox était vulnérable et a produit les correctifs appropriés. Il n'a en revanche pas indiqué si son OS Solaris pour plates-formes x86 était vulnérable ou non aux attaques.
Les plates-formes Sparc vulnérables à Spectre
Oracle a aussi été très discret sur ces systèmes Sparc, pour lesquels les informations ne sont accessibles qu’aux utilisateurs sous contrat de support disposant des accès appropriés à Oracle Technology Network. Plusieurs utilisateurs nous ont toutefois confirmé qu’Oracle leur avait indiqué que les systèmes Sparc sont vulnérables à Spectre et qu’Oracle travaille toujours sur les correctifs appropriés pour ces machines. Il est vraisemblable que comme sur les plates-formes x86, la solution passera à la fois par une mise à jour de microcode et par un correctif logiciel à Solaris pour Sparc.
Visiblement, Spectre et Meltdown n’étaient toutefois pas les seules préoccupations des équipes de sécurité d’Oracle ce mois-ci. L’éditeur a ainsi corrigé plus d’une centaine de failles critiques dans ses systèmes et applications permettant l’exécution de code à distance sans disposer des autorisations appropriées. Côté systèmes, les pires vulnérabilités (CVE-2018-2611, CVE-2018-2623, CVE-2018-2624 et CVE-2018-2664) affectent les appliances de stockage ZFS. 12 failles affectent aussi Oracle VM virtualbox et deux touchent Oracle Secure Global Desktop (la solution de VDI maison issue du mariage entre les solutions de Tarantella et celles de Sun).
Au total, les correctifs critiques apportés ce mois-ci par Oracle viennent combler 237 failles affectant la quasi-totalité de son portefeuille (la plupart portent sur le large catalogue de middleware et d’applications de l’éditeur).
Oracle recommande fermement l'application de ses correctifs...
Notons pour terminer que l’éditeur indique continuer à recevoir périodiquement des informations montrant que des attaquants tentent d’exploiter des failles déjà corrigées et qu’il est au courant d’attaques réussies, car les entreprises n’ont pas appliqué ses patchs. L’éditeur recommande donc à ses clients d’utiliser des versions supportées de ses solutions et d’appliquer les correctifs lorsqu’ils sortent.
Un conseil pas forcément désintéressé puisque le support implique souvent un contrat de maintenance payant chez Oracle (y compris pour des solutions open-source comme VirtualBox). Le prix catalogue d’un contrat de maintenance est d’environ 20 à 22 % du coût d’origine de la solution (prix incluant le support matériel et logiciel pour les appliances).