La communauté Gandi

Mitigation de failles de sécurité Xen sans intervention des clients

Il y a quelques mois nous annoncions notre plan de mise à jour de la version du logiciel de virtualisation Xen, utilisé sur notre plate-forme d’hébergement, qui nous permettrait de mitiger des failles de sécurité sans l’intervention de nos clients.

Nous avons entre temps pu migrer l’essentiel de notre plate-forme sur Xen 4.8, profitant des arrêts/démarrages des serveurs pour les placer sur des noeuds mis à jour. Grâce aux fonctionnalités offertes par les versions récentes de Xen nous permettant de déployer les correctifs sans impacter nos clients, la majorité d’entre vous ne seront pas impactés par une faille de sécurité récemment découverte par le projet Xen, qui sera annoncée publiquement dans les prochaines semaines.

Dans les prochains jours, un petit nombre de clients devront néanmoins procéder eux-mêmes à l’arrêt et au démarrage (un simple redémarrage ne suffit pas) de leurs serveurs, afin de prévenir cette faille de sécurité. Ces clients ont été contactés directement par email, et auront l’opportunité d’effectuer cette opération en fonction de leurs contraintes de production, et ce jusqu’à la date d’annonce publique de la vulnérabilité. À la date annoncée, les serveurs toujours impactés seront arrêtés puis démarrés par nos équipes entre 9h CEST à 14h CEST.

Nous sommes heureux de voir que nos efforts portent déjà leurs fruits, et espérons que c’est la dernière fois que nous vous demandons d’intervenir pour ce type d’opération. Nous continuons à travailler pour rendre l’expérience de nos clients toujours plus fluide sur notre plate-forme d’hébergement et nous vous invitons à consulter notre plan pour l’année 2017, publié précédemment.

N’hésitez pas à contacter notre équipe de Support Hébergement en cas de doute ou à partager vos impressions directement par email en écrivant à l’adresse feedback@gandi.net.