Deux vulnérabilités matérielles concernant les microprocesseurs ont été rendue publiques par les équipes du Google Project Zero le 2 janvier 2018. Ces deux vulnérabilités sont :

  • Meltdown : elle concerne exclusivement les processeurs Intel x86 et permet à un processus non autorisé d’accéder à toute la mémoire du système.
  • Spectre : elle concerne cette fois-ci des processeurs Intel, AMD, ARM et IBM utilisant l’exécution spéculative. Elle permet à un processus d’accéder à la mémoire des processus d’autres utilisateurs du système.

Ces vulnérabilités impactent particulièrement les systèmes virtualisés, dans lesquels un processus d’une machine virtuelle ou d’un container peut accéder à la mémoire des autres machines virtuelles ou containers, voire de l’hyperviseur lui-même.

Nos partenaires travaillent avec les fabricants de microprocesseurs afin de mettre à disposition le plus rapidement possible des patches. Toutefois, ces vulnérabilités touchant l’architecture logicielle même des microprocesseurs, les premières versions de ces patches ont pu causer des problèmes de performance, voire de stabilité des systèmes.

La diffusion des patches de sécurité publiés en avance de phase par Microsoft a été suspendue car ils entraînaient des redémarrages intempestifs. HPE a également retiré de ses sites de téléchargement les patches de BIOS, qui provoquaient des redémarrages intempestifs sur les machines équipées de processeurs de génération Haswell et Broadwell. VMware recommande à ses utilisateurs d’ESXi de rester dans une version de BIOS stable.

AntemetA recommande de patienter un peu afin qu’une solution fiable et pérenne soit validée entre tous les acteurs, et de toujours tester les patches recommandés sur des machines de test avant de les déployer en production.

Vous trouverez ci-dessous la liste des équipements qu’AntemetA maintient et les recommandations de nos partenaires. AntemetA recommande :

HPE

HPE a mis à disposition de ses clients une page web récapitulant leurs équipements concernés et les actions à mettre en place : consultable ici.

Stockage

Les solutions de stockage 3PAR, EVA, MSA, StoreVirtual et StoreOnce ne sont pas impactées.
Les solutions de stockage StoreEasy, 3PAR StoreServ File Controller v3 et StoreVirtual File Controller sont concernées. HPE recommande de mettre à jour les ROM des serveurs vendus par HPE, ainsi que les Systèmes d’Exploitation.

Pour plus d’informations, rendez-vous sur la page support HPE.

Serveurs

La plupart des serveurs HPE Proliant, Moonshot, Apollo et Synergy sont impactés, mais HPE a pour le moment mis en suspens les mises à jour suite à des problèmes de performance. Nous vous invitons à consulter la page sécurité HPE pour plus de détails.

Réseau

Les switches Aruba ne sont pas concernés par les vulnérabilités, à l’exception des appliances virtuelles qui peuvent être impactées si l’hyperviseur l’est. Pour plus d’informations consultez la page Aruba Networks.

Autres produits

Pour les autres produits, merci de vous rendre sur la page d’alerte sécurité HPE.

 

Dell EMC

Dell a mis en place une page sur son site web indiquant les précautions à prendre sur leurs équipements, consultable ici.

Stockage

Les baies de stockage Compellent et Equallogic ne sont pas impactées.

Les appliances Storage Manager pour Compellent et Virtual Storage Manager pour Equallogic ne sont pas non plus impactées.

Serveurs

Dell a retiré de son site les mises à jour de BIOS de serveurs PowerEdge suite à des problèmes d’instabilité. Leur recommandation actuelle est de revenir en dernière version de BIOS stables.

La liste complète est disponible sur leur site ici.

 

Pure Storage

À l’exception de Purity Run, les baies Pure Storage ne sont pas impactées. Pure Storage a contacté tous les clients utilisant Purity Run pour vérifier avec eux qu’ils appliquent bien toutes les mesures de sécurité (courrier ci-joint).

 

VMware

VMware a mis à disposition de ses clients des patches pour ESXi 5.5, 6.0 et 6.5, Workstation 12.x et 14.x, Fusion 8.x et 10.x et vCenter 5.5, 6.0 et 6.5.

Ces patches sont disponibles sur leur site, consultable ici.

 

Veritas

Les appliances de sauvegarde Veritas sont concernées par les deux failles. Veritas prévoit de mettre à disposition un patch dans le courant du mois de mars 2018. Veritas conseille à ses clients de restreindre les accès à leurs appliances.

Pour plus d’informations, rendez-vous sur la page support VERITAS.

 

Brocade

Les switches SAN Brocade ne sont pas concernés par les deux vulnérabilités.

Pour plus d’informations, consultez la page suivante.