Chers clients,
Les premiers jours de l'année 2018 ont vu la parution publique de plusieurs failles de sécurité dans les CPUs x86 des différents constructeurs du marché, notamment Intel, dont nous utilisons les composants au sein de nos infrastructures.
Ces failles référencées par les CVE CVE-2017-5753, CVE-2017-5715, et CVE-2017-5754 portent sur la possibilité de compromettre, de récupérer, et d'exploiter, depuis le mode d'exécution "utilisateur" des données normalement exclusivement exposées au mode d'exécution "noyau", en rendant par exemple prédictibles l'emplacement des pages mémoire de ce dernier.
Ces trois failles sont connues respectivement, sous le nom Spectre 1 et 2, et Meltdown.
Les informations fiables quant à leurs exploitations, et leurs corrections parviennent au compte-gouttes, principalement à cause d'accords de confidentialités entre les fondeurs et les constructeurs visant à prévenir au maximum les applications de ces failles.
De nombreuses études laissent à penser que les correctifs à mettre en place peuvent impacter de façon non négligeable les performances des environnements soumis à des charges I/O importantes, les pertes les plus importantes portent particulièrement les serveurs de bases de données. Cela dit, les différents correctifs qui sortiront dans les semaines à venir devraient optimiser, et donc réduire, cet impact.
À l'heure actuelle voici ce qui est en notre possession:
- Les correctifs VMware ESXi et Citrix XenServer, hyperviseurs utilisés pour nos services, sont publiés et d'ors et déjà recettés sur nos environnements internes et concernent la faille Meltdown.
- Les correctifs pour Microsoft Windows sont également disponibles dans les KB (4056897, 4056898, 4056890 et 4056892) en date du 3 janvier et concernent la faille Meltdown. Ces correctifs sont également déployés sur nos environnements internes pour validation.
- Les correctifs pour le noyaux Linux sont publiés en version 4.14.11 toujours relativement à la faille Meltdown et son progressivement portés aux versions des distributions.
La faille Spectre doit faire l'objet d'une mise à jour du microcode du CPU, qui n'est actuellement pas en notre possession. Le délai de leur publication dépend notamment d'Intel qui a annoncé la mise à disposition des microcodes hier, puis des constructeurs et éditeurs.
Notre service hébergement commence dès aujourd'hui l'application des mises à jour sur nos fermes de virtualisation de production, celles-là mêmes qui hébergent vos services. Ces mises à jour peuvent engendrer de légères indisponibilités de l'ordre de quelques minutes, notre support est à votre disposition pour de plus amples informations et pour vous assister dans toutes les demandes.
Cette communication sera actualisée suivant les avancées des déploiements de ces premières mise à jour et les nouveaux éléments portés à notre connaissance concernant ces vulnérabilités qui orienteront nos plans d'actions.
[Mise à jour 06/01/2017] - L'ensemble des mises à jour VMware sont déployées sur la totalité des fermes clients.
[Mise à jour 08/01/2017] - Les correctifs Citrix sont en fin de recette et pourront commencer à être déployé dans la fin de journée.
[Mise à jour 09/01/2017] - Les fermes Xen CV3 et INF7 sont entièrement patchées, les mises à jour continuent.
[Mise à jour 10/01/2017] - Les correctifs pour les microcodes CPU sont disponibles pour une partie du matériel Dell exploités par nos services (14g et 13g), les microcodes à jour pour le matériel 11g et 10g sont attendus pour mi-janvier ~ début février. À l'heure actuelle, et pour ceux à notre disposition, les recettes sont en cours sur des machines internes.
Cordialement,
Commentaires
A la fin du document , les dates de mise à jour ne sont pas bonnes (2017) il me semble .