Le 3 janvier 2017, les failles Meltdown (CVE-2017-5754) et Spectre (CVE-2017-5753 & CVE-2017-5715) ont été dévoilées.

Pourquoi ces failles sont-elles importantes ?

Une faille est principalement une backdoor permettant l’accès malicieux à des informations auparavant inaccessibles. Ces deux failles impactes particulièrement les offres VPS. Meltdown permet à une VM d’avoir accès à la mémoire du kernel du cluster hôte et Spectre au contenu de la mémoire des autres VPS.

Ces failles impactes les processeurs “récents” de marque Intel (https://newsroom.intel.com/news/intel-responds-to-security-research-findings/) et ARM (https://developer.arm.com/support/security-update). Il est fort probable que les CPU AMD soit également concernés.

 

Quelles solutions pour patcher ces failles ?

Dans la nuit du 03/01/2018 au 04/01/2018, l’ensemble des clusters VPS ont été mis à jour. Une seconde intervention sera nécessaire afin de réaliser les update des BIOS CPU. Nous vous tiendrons informé afin de limiter l’impacte sur vos infrastructures.

Si vous avez un serveur dédié, pensez à mettre à jour vos kernels.

 

Pour plus d’informations sur ces failles de sécurité : https://spectreattack.com/

 

Mise à jour 1 (05/01/2018)

Ces failles sont particulières médiatisées. Notamment car elles touchent l’ensemble des CPU sur toutes les machines (du serveur au smartphone). Corriger ces failles demande beaucoup de travail et de nombreuses phases de test sont nécessaires avant de valider un patch.

Meltdown : Seule la distribution Debian 9 permet de patcher la faille pour le moment (https://security-tracker.debian.org/tracker/CVE-2017-5754). Une mise à jour Ubuntu sera disponible dans les prochains jours. Nous n’avons pas de nouvelles pour les autres distributions. Clients VPS ou dédié, surveillez les maj disponibles et effectuez vos updates.

Spectre : Nous sommes dans l’attente des constructeurs Intel, AMD et Supermicro pour les mises à jour des microcodes. Les clients dédiés n’auront pas à mettre à jour le microcode du CPU de leur serveur, simplement à effectuer un redémarrage.

 

Mise à jour 2 (06/01/2018)

Meltdown : Les kernels patchés commencent à faire leurs apparitions. Nous avons débuté la mise à jour des clusters VPS. Cette opération nécessitant un redémarrage des hôtes, une indisponibilité de quelques secondes/minutes pourra être constatée.

Voici un récapitulatif des kernels disponibles :

Debian : version Stretch uniquement (4.9.65-3+deb9u2)

RedHat : EL 7 (RHSA-2018:0007), EL 6 (RHSA-2018:0008)

Fedora : 26 (4.14.11), 27 (4.14.11)

Archlinux : (4.14.11-1)

 

Mise à jour 3 (08/01/2018)

L’outil Spectre & Meltdown Checker est disponible afin de savoir si votre système est impacté par les failles. Uniquement pour les installations Linux.

$ sudo ./spectre-meltdown-checker.sh
Spectre and Meltdown mitigation detection tool v0.07

CVE-2017-5753 [bounds check bypass] aka 'Spectre Variant 1'
* Kernel compiled with LFENCE opcode inserted at the proper places: NO (only 38 opcodes found, should be >= 60)
> STATUS: VULNERABLE

CVE-2017-5715 [branch target injection] aka 'Spectre Variant 2'
* Mitigation 1
* Hardware (CPU microcode) support for mitigation: NO
* Kernel support for IBRS: NO
* IBRS enabled for Kernel space: NO
* IBRS enabled for User space: NO
* Mitigation 2
* Kernel compiled with retpolines: NO
> STATUS: VULNERABLE (IBRS hardware + kernel support OR kernel with retpolines are needed to mitigate the vulnerability)

CVE-2017-5754 [rogue data cache load] aka 'Meltdown' aka 'Variant 3'
* Kernel supports Page Table Isolation (PTI): YES
* PTI enabled and active: YES
> STATUS: NOT VULNERABLE (PTI mitigates the vulnerability)

 

Une mise à jour est disponible pour les systèmes Windows suivants : Windows Server 2016 (KB 4056890), Windows Server 2012 R2 (KB 4056898), Windows Server 2008 R2 (KB 4056897).

VMware à également publié une mise à jour vSphere pour les versions 6.0 et 6.5 (https://www.vmware.com/us/security/advisories/VMSA-2018-0002.html).

 

Mise à jour 4 (10/01/2018)

Update publiées depuis la mise à jour 3 de notre article : CentOS 7, Proxmox 4, Proxmox 5.

Mise à jour 5 (29/01/2018)

Les mises à jour Ubuntu (https://wiki.ubuntu.com/SecurityTeam/KnowledgeBase/SpectreAndMeltdown) sont disponibles pour les différentes failles.