Patch pour contrer les failles Meltdown et Spectre.

Mise à jour à venir pour contrer les failles Meltdown et Spectre

L’information ne vous a peut-être pas échappé mais deux failles de sécurité portant les noms de Spectre et Meltdown ont été découvertes ce 03 Janvier 2018.

Meltdown a été découverte par Jann Horn de chez Google (dans le cadre du projet Google Project Zero), d’un cabinet de consulting en sécurité informatique (Cyberus-technology.de) et de chercheurs de l’Université de Technologie située à Graz.

Quant à Spectre, c’est à nouveau Jann Horn de chez Google ; Paul Kocher en collaboration de Daniel Genkin (Université de Pennsylvanie et Université du Maryland), Mike Hamburg (Rambus), Moritz Lipp (Université de Technologie située à Graz) et Yuval Yarom (Université d’Adélaïde et du site web Data61).

Meltdown et Spectre peuvent mener à une fuite d’informations non souhaitée. Ces failles sont particulières : elles ne reposent aucunement sur un bug logiciel mais plutôt sur une faiblesse du micro-processeur (CPU) de votre ordinateur, serveur et téléphone. Autant dire que les impacts sont importants.

D’après les informations disponibles : les processeurs de marque Intel, ARM & AMD sont impactés par Spectre, quant à Meltdown, il semblerait que les processeurs Intel uniquement soient sensibles à ce vecteur.

 

Comment s’en prémunir ?

Canonical, société éditrice d’Ubuntu, (l’OS sur lequel repose elementary) a prévu de déployer à partir de ce Mardi 09 Janvier 2018, un nouveau noyau comportant des contre-mesures à ces deux failles.

Il faut comprendre que ces défauts liés aux CPU (un problème matériel) seront corrigés à travers une mise à jour logicielle, à l’issue de ce patch une perte de performance est envisageable.

 

Où trouver des informations complémentaires ?

Vous trouverez plus d’informations sur Meltdown & Spectre sur le billet officiel de l’équipe Ubuntu (en anglais): https://insights.ubuntu.com/2018/01/04/ubuntu-updates-for-the-meltdown-spectre-vulnerabilities/

 

Informations CVE

Meltdown a pour identifiant : CVE-2017-5754
Spectre a pour identifiant CVE-2017-5753 et CVE-2017-5715.

 

Le rapport officiel de Canonical est disponible à cette adresse (en anglais): https://wiki.ubuntu.com/SecurityTeam/KnowledgeBase/SpectreAndMeltdown

 

Nous devrions recevoir prochainement les mises à jour adéquates à travers l’AppCenter.

 

Pensez à faire vos mises à jour OS

Posté dans : Apps, sécurité | 0

Si vous avez suivi vos flux twitter, rss ou certains sites d’actualités informatiques, il ne vous a pas échappé que le protocole WPA2 (ndlr : utilisé pour les réseaux Wifi) était sensible à plusieurs vulnérabilités permettant dans certains cas à un utilisateur malveillant d’intercepter les communications entre un client et un point d’accès Wi-fi, pouvant amener le client à réutiliser des paramètres entrant en compte dans le chiffrement des données échangées.


Elementary s’appuyant sur les dépôts Ubuntu, Canonical a déjà mis à disposition un correctif pour ces 2 packages : il est disponible comme une simple mise à jour de votre OS, les packages suivant seront mis à jour :


PackageVersion cible
hostapd2.4-0ubuntu6.2
wpa_supplicant2.4-0ubuntu6.2

Informations CVE

Cette mise à jour corrige les CVE suivantes : CVE-2016-4476, CVE-2016-4477, CVE-2017-13077, CVE-2017-13078, CVE-2017-13079, CVE-2017-13080, CVE-2017-13081, CVE-2017-13082, CVE-2017-13086, CVE-2017-13087, CVE-2017-13088.

Voici l’alerte du CERT ainsi que la publication sur l’espace dédié à la sécurité d’Ubuntu

elementary Luna 0.2 – Fin de support

Posté dans : Actualités, sécurité | 0

Il a été annoncé sur le fil twitter officiel de la team elementary que Luna, la version 0.2 d’elementary, n’était plus supportée et de ce fait ne recevra plus de mise à jour :

Pour les possesseurs de Luna, il devient impératif de passer à une version plus récente d’elementary, pour cela, plusieurs versions sont disponibles :

  • Freya (disponible pour processeur 32 et 64 bits) sera maintenue jusqu’en avril 2019.
  • Loki, la toute dernière release (uniquement disponible pour processeur 64 bits) sera maintenue jusqu’en avril 2021.

Il n’existe pas de solution logicielle permettant une upgrade de Luna vers Freya ou Loki, en l’état une réinstallation de l’OS est obligatoire.