Vulnérabilités Meltdown et Spectre

1. Résumé

Les failles Meltdown et Spectre sont dues à la façon dont les processeurs traitent les instructions qui leur sont soumises par les systèmes d’exploitation ou les applications. Cela explique pourquoi ces vulnérabilités concernent virtuellement toutes les architectures processeur (Intel, AMD, ARM) et sont indépendantes du système d’exploitation utilisé (Windows, Mac, Linux). La problématique est donc sérieuse car elle concerne l’ensemble de l’écosystème informatique de l’EPFL.

Meltdown (CVE-2017-5754)

Cette vulnérabilité affecte l’architecture Intel dans son ensemble, exception faite des processeurs Itanium et Atom (avant 2013).

Spectre (CVE-2017-5715 / CVE-2017-5753)

Ces vulnérabilités concernent les architectures Intel, AMD et ARM.

2. Problématique

Les premiers correctifs logiciels et matériels publiés en janvier et février 2018, notamment ceux destinés à Windows (Intel et AMD), ont provoqué des pannes du fait de leur instabilité. La situation s’étant considérablement améliorée, nous vous recommandons d’appliquer tous les correctifs qui sont disponibles à ce jour.

La faille Spectre variante 2  est partiellement corrigée de manière logicielle, mais doit être complétée par l’installation de mises à jour matérielles (firmware). Ces opérations pouvant porter atteinte à l’intégrité du matériel, nous recommandons de respecter scrupuleusement les indications fournies par les fabricants et éditeurs.

3. Disponibilité des correctifs logiciels

Vous pouvez consulter le tableau ci-dessous pour une vue synoptique :

4. Audit post-installation

4.1 Microsoft Windows

Un outil de vérification de l’état du système contre Meltdown et Spectre est disponible ici. Un script Powershell, plus complexe à utiliser, est disponible ici (explications détaillées pour la configuration et l’analyse du résultat ici).

4.2 Apple MacOS

Pas d’outil connu à ce jour. Article complet d’Apple concernant Meltdown/Spectre ici.

4.3 UNIX/Linux

Un script de vérification de l’immunité contre Meltdown et Spectre est disponible ici.

5. Disponibilité des correctifs matériels

Devant la grande diversité des constructeurs, la complexité des procédures ainsi que les risques inhérents à ce genre d’opérations, nous ne pouvons détailler ici les étapes de mise à jour des microcodes. Nous fournissons les liens directs vers les principaux fabricants dont les machines sont présentes en nombre sur le campus.

Documentation Intel pour l’ensemble des constructeurs ici.