spectre et meltdown

Note de sécurité : Spectre et Meltdown

Vous en avez peut-être entendu parler, deux nouvelles vulnérabilités nommées Spectre et Meltdown ont été révélées la semaine dernière. Ces deux vulnérabilités découvertes par Google project zero, l’université de Graz et d’autres, sont indépendantes l’une de l’autre.

Ci-dessous les CVE (Common Vulnerabilities and Exposures) relatifs aux attaques exploitant ces deux vulnérabilités :

  • Variante 1: bounds check bypass (CVE-2017-5753)
  • Variante 2: branch target injection (CVE-2017-5715)
  • Variante 3: rogue data cache load (CVE-2017-5754)

 

Il s’agit de failles bas niveau qui touchent les microprocesseurs. Comme quasiment tous les processeurs INTEL, AMD et ARM sont touchés, toutes les infrastructures sont vulnérables à ces failles. Celles fournies par Via numérica commes les autres.

Nos équipes travaillent depuis plusieurs jours afin de tester les différents patchs de mitigation (contournement / blocage) sur nos systèmes et services. Nous tenons également à valider que ces patchs sont sans impact pour vos services. Nous vous tiendrons informés de toute maintenance sur vos services. Si vous souhaitez davantage d’informations, n’hésitez pas à poser vos questions sur le support.

 

Que devez-vous faire ?

En tant que client, vous êtes responsable de la mise à jour de vos systèmes dont vous êtes l’administrateur.
Suivant le système d’exploitation, des mises à jour sont déjà disponibles.
Voici quelques liens faisant référence aux problèmes et aux solutions :

 

Windows

 

Ubuntu

 

Redhat et CentOS

 

Nos Recommandations

Vous pouvez également limiter les risques en suivant les bonnes pratiques en matière de sécurité, afin d’éviter à un attaquant de lancer un script localement sur vos systèmes.

Par exemple, en vous équipant d’un antivirus à jour, en limitant l’accès uniquement aux personnes connues et autorisées, en installant uniquement des applications sûres, en visitant seulement des sites web fiables avec peu de publicité, et si possible en désactivant le Javascript de vos navigateurs web.



nous contacter