Deux noms s’ajoutent à la liste des fournisseurs IT impactés par les failles Spectre et Meltdown : IBM et Oracle.
Lundi, Big Blue a fait savoir via son blog PSIRT (Product Security Incident Response) que ses systèmes Power étaient concernés par CVE-2017-5753 et CVE-2017- 5715 (Spectre) ainsi que par CVE-2017-5754 (Meltdown). Le constructeur indique que des correctifs pour Power7+, Power8 et Power9 ainsi que pour le système d’exploitation IBM i sont disponibles via Fix Central et qu’un correctif destiné à Power 7 le sera début février par le même canal. De même, des patches destinés à AIX seront proposés à partir du 26 janvier et jusqu’au 12 février. La firme d’Armonk renvoie par ailleurs les clients vers Red Hat, Suse et Canonical pour tout ce qui touche à Linux. Elle précise que ses appliances étant des systèmes fermés, ne sont pas concernées. Elle indique également que les utilisateurs de systèmes Z seront, si nécessaire, informés via le portail d’information dédié.
Oracle a quant à lui averti mardi les possesseurs de machines SPARCv9 sous Solaris que certaines versions étaient probablement concernées par la vulnérabilité Spectre. L’avis de sécurité, consulté par The Register, indique que la société développe des correctifs pour toutes les versions couvertes par Premier Support ou Extended Support. Aucune date de livraison n’est toutefois indiquée. Le document précise qu’Oracle va vérifier l’impact de ces correctifs sur les performances de ses machines. Il demande aux clients de ne pas installer de programmes non fiables sur les systèmes concernés, ces applications pouvant exploiter Spectre et Meltdown pour extraire des informations sensibles. « Oracle recommande aux clients de limiter le nombre d’utilisateurs privilégiés (qui ont la possibilité d’installer et d’exécuter du code) et de prévoir des audits périodiques (afin de détecter les activités anormales) », conclut le document.