Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

Spectre, Meltdown et LiveUSB

LienRag

Bonjour Ubuntu.
Les liveUSB ne pouvant pas être mises à jour pour les non-persistantes et ne devant pas être mises à jour pour les persistantes, il faut donc refaire toutes les clés LiveUSB créées avant la découverte des failles Spectre et Meltdown.
Cependant si Meltdown est corrigé dans le noyau, Spectre n'est pas patchable logiciellement et est seulement mitigé. Si j'ai bien compris il est notamment mitigé dans le navigateur pour éviter la récupération du cache par chronométrage depuis le javascript.

Comment savoir si l'image ISO (là je pense à une Lubuntu 16.04 32 bits mais la question est valable en général) que l'on veut installer sur la clé est bien patchée partout comme il faut?

LukePerp

Bonjour,
On peux suivre l'avancement du sujet pour les patch ubuntu ici, régulièrement mise à jour :
https://wiki.ubuntu.com/SecurityTeam/KnowledgeBase/SpectreAndMeltdown
Pour répondre à ta question, la version ISO dispo est toujours la 16.04.3, antérieur aux patchs. La version ISO LTS qui aura les patchs inclus, sera la 16.04.4 qui sortira vers le 15 février :
https://wiki.ubuntu.com/XenialXerus/ReleaseSchedule

LienRag

OK merci.
Et on fait quoi en attendant le 15 février?
Je veux dire, c'est pas un petit problème...

moko138

Ôte- moi d'un doute : tu mets, pour sortir, des bottes de sécurité, une cotte de maille et un casque ? Non ?
Et pourtant, tous les jours tu pourrais te prendre une charge lourde sur le pied, un coup de couteau ou de matraque.
Ben là, c'est pareil : en live, on fait l'impasse.

Et pour les systèmes installés,
si tu as lu les communiqués officiels et les contorsions des articles qui tentaient de les éclairer, tu as vu que les patches tiennent du cautère sur une jambe de bois.

Ubuntu1988

LienRag a écritOK merci.
Et on fait quoi en attendant le 15 février?
Je veux dire, c'est pas un petit problème...

Le problème n'est pas anodin mais inutile de virer sans la parano non plus, d'autant plus que l'attaque doit être faite a un instant T et que dans le cas des navigateurs, principale source des attaques probables pour les particuliers (par exemple via des scripts malicieux), ils ont été patchés

Babdu89

Bonjour.

Oui, mais rien ne dit que le navigateur de l'iso utilisée en live est patché ?.

Normalement en session live on doit pouvoir faire uniquement la mise à jour du navigateur, non?.
Dès l'instant que l'on ne cherche pas à faire la maj du noyau utilisé, et que l'on ne cherche qu'a faire la maj du navigateur...

@+. Babdu89 .

Ubuntu1988

De toute façon, la faille est propre au matériel et les patchs ne font que rendre plus difficile l'exploitation de cette faille, qui restera toujours là, jusqu'à un changement de processeur non impacté.