Vous êtes un utilisateur de la distribution Linux Debian ? Vous avez besoin des correctifs pour les vulnérabilités L1TF qui affectent les processeurs du fondeur ? Il va falloir attendre que le vent de la controverse s’estompe.
Depuis le mois de janvier, Intel lutte pour maintenir ses processeurs à flot en publiant des correctifs en réponse à diverses vulnérabilités dont les plus célèbres sont Meltdown et Spectre. Jusqu’ici, le fondeur a principalement procédé par la publication de mises à jour de microcode. Pour ôter la tache L1TF de son blouson, la firme a, début août, fait pareil avec une release destinée aux processeurs des utilisateurs des distributions Linux.
« L’on ne peut malheureusement distribuer cette dernière », commente Henrique Holschuh – mainteneur Linux Debian. Le développeur souligne que les paquetages à acheminer aux utilisateurs de la distribution sont prêts depuis le 8 août. Toutefois, pour des raisons liées au contenu du contrat de licence, il décide d’ajourner leur diffusion. Le texte du contrat final d’utilisateur est assez touffu (comme d’habitude), mais si on prend la peine de le parcourir on décèle au sein de la section relative aux restrictions que « l’utilisateur ne pourra (et ne permettra pas à des tiers) de publier ou fournir des résultats de tests de comparaison ou de benchmark logiciel. » En d’autres termes, Intel dit aux utilisateurs qu’ils ne peuvent faire usage du logiciel mis à leur disposition pour jauger les performances de leurs systèmes et informer le public.
Les correctifs de sécurité émis par le fondeur sont connus pour ralentir les processeurs. De précédentes publications parues sur cette plateforme dans le cadre de la couverture relative à la famille de vulnérabilités Meltdown et Spectre font état de pertes de performances de l’ordre de 5 à 10 %. Il y a là un énorme problème pour les gestionnaires de parc de serveurs et les fournisseurs de services dans le nuage. Avec les vulnérabilités L1TF – qui tirent également parti de la fonctionnalité processeur appelée exécution spéculative – ce souci demeure très probablement d’actualité, mais Intel vient sûrement de trouver la parade avec son contrat d’utilisateur final.
À date, les utilisateurs de Linux Debian sont les seuls dans cette situation d’attente. Chez Gentoo, on anticipe sur une parade. Les mainteneurs prévoient de diffuser la mise à jour aux utilisateurs qui accepteront les termes du contrat final d’utilisateur. Les utilisateurs de RedHat et SuSE disposent de mises à jour. D’après ce que rapporte Henrique Holschuh, les mainteneurs de cette distribution sont en accord avec le nouveau contrat de licence d’Intel.
Source : liste de diffusion de bogues Debian, Contrat de licence
Et vous ?
Intel qui publie une mise à jour de microcode avec un contrat final d’utilisateur qui empêche la publication de résultats de tests de performance … Que pensez-vous de cette manœuvre ?
Que pensez-vous de la décision du mainteneur de Debian ?
Quel commentaire faites-vous de la proposition des mainteneurs de la distribution Gentoo ?
Que pensez-vous du positionnement de SuSE et RedHat ?
Voir aussi :
Encore une autre vulnérabilité découverte dans les CPU d'Intel, le fournisseur de microprocesseurs fait des recommandations pour l'atténuer
Spectre/Meltdown : de nouvelles failles dans les processeurs, elles permettent de lire les registres internes, la mémoire kernel et celle de l'hôte
Meltdown et Spectre : Intel abandonne le développement des mises à jour de microcodes pour certains processeurs, une décision qui ne surprend pas
Meltdown et Spectre : Intel recommande l'arrêt du déploiement des correctifs, des soucis avec la microarchitecture Ivy Bridge et suivantes
Vulnérabilités Meltdown et Spectre : Intel devrait livrer ses premiers processeurs dotés de protections intégrées plus tard cette année
Intel publie une mise à jour de microcode en prohibant benchmarking et profilage
Ce qui n'est pas du goût des mainteneurs de Linux Debian
Intel publie une mise à jour de microcode en prohibant benchmarking et profilage
Ce qui n'est pas du goût des mainteneurs de Linux Debian
Le , par Patrick Ruiz
Une erreur dans cette actualité ? Signalez-nous-la !