SPARC e Solaris: neanche Oracle si salva da Spectre

In questi giorni anche la californiana Oracle ha -finalmente- rilasciato le patch per fixare i problemi Meltdown/Spectre sulle sue CPU x86.

Insieme a questo, gli utenti delle sue piattaforme SPARC (ricordiamo che un tempo Solaris girava solo su quell’OS) sono stati avvisati che anche questa architettura hardware soffre degli stessi problemi di design che ha causato il problema Spectre su Intel (e le altre x86).

Quanto scovato da The Register, in un documento accessibile solo dal portale clienti, e comunque ben nascosto, indica quanto segue:

Oracle believes that certain versions of Oracle Solaris on SPARCv9 are affected by the Spectre vulnerabilities. […] Oracle is working on producing the patches for all affected versions that are under Premier Support or Extended Support.

Oracle crede che alcune versioni di Oracle Solaris su SPARCv9 sono affette dalle vulnerabilità Spectre. […] Oracle sta lavorando alla produzione delle patch per tutte le versioni affette che siano sotto supporto Premium o Esteso

Il tutto senza la minima indicazione sul quando queste patch saranno rilasciate, se non “una volta che i test sulle patch saranno completati“.

Questi avvisi avvengono qualche giorno dopo il rilascio delle patch per i propri sistemi Oracle Linux ed Oracle Virtualization, avvenuti comunque con estremo ritardo rispetto agli altri OS mainstream disponibili sul mercato (l’uscita ufficiale risale ad un paio di giorni fa).

Le patch contengono inoltre più di altri 200 bug fix per problemi anche grossi dei prodotti Oracle, dalla CVE-2017-10352 legata ad Oracle WebLogic, pubblicata il 19 Ottobre scorso e che permette ad un utente non autenticato tramite una mera chiamata HTTP di mandare in crash il server, alla CVE-2017-5645 che, grazie ad un bug di Log4j, permette di eseguire codice arbitrario da remoto sui sistemi.

Ovviamente Oracle da dei consigli su come affrontare la situazione in attesa dell’arrivo delle patch, che vanno da il “non installare software di cui non si conosce la fonte” sui propri sistemi a “limitare il numero di utenti privilegiati” su di essi; insomma, regole più che altro di buon senso che specifiche per i propri clienti.

La base hardware di installato Oracle è ancora molto forte, essendo sul mercato da parecchio tempo (prima come Sun) e fornendo, in anni in cui non era così facile averli, sistemi parecchio potenti e specializzati, ingegnerizzati molto bene.

Gli ultimi anni hanno portato l’azienda a puntare più sul software e sui servizi che sul “mero ferro”, ma la gestione di queste problematiche è stata comunque non buona.

Che gli irriducibili debbano iniziare a pensare a qualcosa di alternativo?

Utente Linux/Unix da più di 20 anni, cerco sempre di condividere il mio know-how; occasionalmente, litigo con lo sviluppatore di Postfix e risolvo piccoli bug in GNOME. Adoro tutto ciò che può essere automatizzato e reso dinamico, l'HA e l'universo container. Autore dal 2011, provo a condividere quei piccoli tips&tricks che migliorano il lavoro e la giornata.

Tags: , , ,