Canonical vient de publier de nouvelles mises à jour de sécurité pour son systèmes d’exploitation Linux Ubuntu. Elles colmatent de récentes vulnérabilités découvertes dans les processeurs Intel.

Au nombre de quatre, elles sont connues depuis un petit moment.  Intel a déjà publié un nouveau microcode afin de les atténuer. Dans le cas d’un système d’exploitation basé sur Linux, le colmatage est un peu plus compliqué.  Ces failles ne peuvent pas être corrigées uniquement en mettant à jour le microcode. Il est nécessaire de corriger le noyau et d’installer les derniers correctifs QEMU.

Ces vulnérabilités (CVE-2018-12126, CVE-2018-12127, CVE-2018-12130 et CVE-2019-11091) affectent certains processeurs Intel. Leur exploitation est susceptible de permettre à un pirate de récupérer des informations considérées comme sensibles. Toutes les versions de la distribution Ubuntu prises en charge sont concernées. Nous avons Ubuntu 19.04 (Disco Dingo), Ubuntu 18.10 (Cosmic Cuttlefish), Ubuntu 18.04 LTS (Bionic Beaver), Ubuntu 16.04 LTS (Xenial Xerus) et Ubuntu 14.04 ESM (Trusty Tahr). .

Alex Murray, responsable technique de la sécurité Ubuntu chez Canonical explique

« Étant donné que ces vulnérabilités affectent un si grand nombre de processeurs Intel (ordinateurs portables, ordinateurs de bureau et serveurs), un grand pourcentage d’utilisateurs Ubuntu devraient être touchés. Les utilisateurs sont invités à installer ces packages mis à jour dès qu’ils sont disponible. »

Canonical recommande d’installer le nouveau noyau Linux, le dernier microcode d’Intel et les dernières versions « QEMU » publiées aujourd’hui au travers de ses canaux officiels. A cela s’ajoute également un conseil. Il est recommandé de désactiver le Symmetric Multi-Threading (SMT) alias l’hyper-Threading chez Intel.

Vulnérabilités MDS, Canonical conseille de désactiver l’Hyper-threading

Ce dernier point fait parler de lui car d’autres géants comme Microsoft, Apple, Redhat ou encore Google ont la même position. Il faut savoir que l’impact sur les performances peut être catastrophique. Apple parle d’une chute pouvant atteindre les 40% dans certaines situations.

Pour Intel, nous ne sommes pas en situation critique. Le géant parle de risque modéré en raison de la difficulté à exploiter ses failles MDS. En effet, si elles permettent des accès à différents buffers du processeur stockant des fragments de données il faut une certaine chance pour tomber sur des données exploitables.

Du coté de chez Canonical plusieurs correctifs logiciels du noyau voient le jour. Ils visent Ubuntu 18.04 LTS, Ubuntu 16.04 LTS et Ubuntu 14.04 ESM. Leur contenu apporte des atténuations contre ces vulnérabilités MDS (Microarchitect Data Sampling).

La nouvelle version du microcode Intel que vous devez installé est la 3.20190514.0.  Les nouvelles versions du noyau sont

  • linux-image 5.0.0.15.16 pour Ubuntu 19.04,
  • linux-image 4.18.0.20.21 pour Ubuntu 18.10,
  • linux-image 4.15.0-50.54 pour Ubuntu 18.04 LTS
  • et linux-image 4.4. 0-148.174 pour Ubuntu 16.04 LTS et 14.04 ESM.