Oracle a bien inclus des correctifs pour ses produits affectés par les failles Spectre (CVE-2017-5753, CVE-2017-5715) et Meltdown (CVE-2017-5754) dans sa mise à jour de sécurité trimestrielle, livrée hier. Même si son pré-bulletin ne le mentionnait pas spécifiquement, ses serveurs équipés de x86 étaient bien sûr concernés par ces vulnérabilités liées aux processeurs Intel, ARM et AMD. En toute logique, au-delà de ces trois fournisseurs, d'autres fabricants de processeurs sont aussi touchés par ces failles. C’est le cas d’Oracle avec ses processeurs Sparc, mais aussi d’IBM avec ses Power PC et probablement HPE avec ses Alpha.

Oracle mentionne ainsi sur son portail de support, dans un document daté du 16 janvier, que certaines versions de Solaris sur Sparcv9 sont certainement affectées par les vulnérabilités Spectre, ainsi que le rapportent nos confrères du site The Register. Un jour plus tôt, IBM informait lui aussi dans un bulletin daté du 15 janvier que des correctifs allaient être disponibles pour ses systèmes Power à travers ses portails habituels. Il fournit séparément la liste des processeurs de la famille Power impactés et les dates de livraison des patchs. IBM explique également que ses appliances de stockage ne sont pas concernées parce qu'il s'agit de systèmes fermés. Il ajoute que les clients de ses systèmes Z sont par ailleurs informés via leur portail Z habituel.

Limiter le nombre d'utilisateurs à privilèges

Oracle travaille sur des correctifs pour toutes les versions de son OS Solaris qui bénéficient d’un support Premier ou Extended, mais il ne précise pas dans quel délai il les livrera. Toujours selon The Register, le fournisseur de Redwood Shores enquête aussi sur l’impact que ces correctifs pourraient avoir sur les performances des machines. Il conseille aussi à ses clients de limiter le nombre d’utilisateurs à privilèges qui sont autorisés à installer du code et de faire régulièrement des audits sur les connexions.

Quant à HPE, il a rapidement informé les utilisateurs de ses systèmes x86 sur son site community.hpe.com au sujet des failles Spectre/Meltdown, en pointant vers les mises à jour pour les ROM de ses systèmes et sur les correctifs fournis par Microsoft pour son OS. En revanche, on ne sait pas encore s’il a communiqué sur le problème en direction de ses clients utilisant toujours des systèmes équipés de processeurs Alpha.

Oracle enjoint d'appliquer rapidement ses correctifs

Par ailleurs, de façon générale, Oracle enjoint ses clients de bien appliquer les correctifs qu'il fournit régulièrement. Hier, dans le bulletin de sécurité associé à sa mise à jour trimestrielle de janvier 2018, il souligne que « dans certains cas, il a été rapporté que des attaquants ont réussi [leurs attaques] parce que les clients ciblés n’avaient pas appliqué les correctifs Oracle disponibles ». L'éditeur recommande donc fortement de mettre en place sans délai les patchs liés aux versions de ses logiciels « activement supportées ».