Vulnérabilités Meltdown et Spectre
Deux vulnérabilités impactant les micro-processeurs modernes ont été publiquement annoncées hier par une équipe de chercheurs. Ces annonces s’accompagnent de deux techniques permettant de compromettre la sécurité de nombreux systèmes exploitation, baptisées Meltdown et Spectre.
Les équipes de Gandi surveillent de près l’évolution de cette situation. À ce titre, nous vous recommandons de rester attentifs aux annonces faites par les éditeurs des logiciels et services que vous utilisez afin d’agir en conséquence, notamment en mettant à jour vos systèmes d’exploitation.
Plus spécifiquement, nous invitons fortement nos clients Gandi Hébergement à prendre connaissance des détails suivants :
Simple Hosting (PaaS)
Les correctifs nécessaires sont en cours d’application sur la plate-forme Simple Hosting, entraînant le redémarrage des instances concernées au fur et à mesure de notre avancement.
Les instances pourront être indisponibles durant de courts instants pendant ce processus. Cette action est nécessaire pour assurer leur sécurité.
Sachez qu’aucune action supplémentaire nécessite l’intervention de nos clients pour sécuriser la plate-forme Simple Hosting. Néanmoins, nous vous recommandons fortement de vous renseigner sur ces failles de sécurité pouvant impacter vos applicatifs, mis en place par vos équipes de développement. En effet, Gandi ne peut se porter garant de vos installations tiers.
Cloud (IaaS)
Notre offre de serveurs virtuels se basant sur l’hyperviseur Xen, nos équipes suivent de près les avancées de la communauté Xen autour de ces vulnérabilités (cf. Xen Security Advisory 254). Nous prendrons les mesures nécessaires en fonction des recommandations et/ou des correctifs publiés dans les prochains jours.
En attendant, nous invitons nos clients à prendre connaissance de l’information disponible ci-dessous et agir en conséquence si nécessaire :
1. Nous recommandons aux utilisateurs des moyens de démarrage GRUB et raw (noyaux « grub-i386 (xen) », « grub-x86_64 (xen) » et « raw (xen) ») de mettre à jour le noyau de leur système, et d’arrêter puis démarrer leur serveur, aussitôt que des mises à jour seront appliquées. Attention, un simple redémarrage du ou des serveurs concerné(s) n’est pas suffisant. Nous vous invitons à consulter le site web officiel de votre distribution pour en savoir plus (cf. liens ci-dessous).
2. Les noyaux hébergés (« 3.2-x86_64 », « 3.10-x86_64 », « 3.10-xfs-x86_64 » et « 3.18-x86_64 ») ne seront pas mis-à-jour. Nous vous recommandons de nouveau fortement d’utiliser plutôt l’option de démarrage GRUB vous permettant d’utiliser le noyau fourni par votre système. Nous vous invitons à consulter notre documentation pour en savoir plus sur le remplacement de votre noyau et l’utilisation de GRUB.
3. Un correctif est en cours de déploiement sur l’hyperviseur lié aux les serveurs utilisant les noyaux dépréciés du type « hvm ». La minorité de serveurs concernés devront être arrêtés puis démarrés par nos équipes. À nouveau, nous vous recommandons de migrer au plus tôt vers un noyau GRUB Xen (cf. points 1 et 2).
Liens supplémentaires pour les distributions supportées officiellement :
Etat des correctifs pour CentOS
- Meltdown: https://access.redhat.com/security/cve/CVE-2017-5754
- Spectre 1: https://access.redhat.com/security/cve/CVE-2017-5753
- Spectre 2: https://access.redhat.com/security/cve/CVE-2017-5715
Etat des correctifs pour Debian
- Meltdown: https://security-tracker.debian.org/tracker/CVE-2017-5754
- Spectre 1: https://security-tracker.debian.org/tracker/CVE-2017-5753
- Spectre 2: https://security-tracker.debian.org/tracker/CVE-2017-5715
Etat des correctifs pour Ubuntu
- Accédez à https://people.canonical.com/~ubuntu-security/cve/main-released.html et recherchez les mots-clés suivants : « CVE-2017-5715 », « CVE-2017-5753 » et « CVE-2017-5754 ».
Etat des correctifs pour FreeBSD
- Les informations sur les correctifs seront disponibles à cette adresse : https://www.freebsd.org/security/advisories.html