Avis sur l'exploitation de Meltdown et Spectre

Mise à jour d'Inuvika concernant CVE-2017-5754, CVE-2017-5715 et CVE-2017-5753 (failles de sécurité Spectre et Meltdown).

Vue d'ensemble

Récemment, de nouveaux problèmes de sécurité ont été identifiés concernant les architectures de CPU basées sur Intel, AMD et ARM.

Bien que la nature de ces problèmes soit liée au matériel, Inuvika continue d'examiner l'impact potentiel sur OVD Enterprise. Cette mise à jour a pour but de conseiller nos clients et partenaires sur les mesures actuellement connues qui peuvent être prises pour atténuer les risques éventuels. Inuvika fournira des mises à jour supplémentaires si des impacts directs sur OVD sont identifiés.

Impact sur l'entreprise OVD

Inuvika estime que actuellement pris en charge versions d'OVD Enterprise ne sont pas directement touchés par les problèmes de sécurité connus.

Cependant, les problèmes de sécurité peuvent être exploités à la fois localement (c'est-à-dire au sein du même système d'exploitation) et à travers la frontière de l'invité de la virtualisation.   Par conséquent, le micrologiciel de l'unité centrale sous-jacente, l'hyperviseur, les systèmes d'exploitation invités, les plateformes en nuage et d'autres composants tiers qui font partie d'un environnement OVD Enterprise peuvent nécessiter des mises à jour. 

État connu des composants tiers

• Microsoft a publié des correctifs pour les versions 2008 R2, 2012 R2 et 2016 du système d'exploitation Windows Server. (Réf : https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution )
• Des mises à jour du noyau et du microcode du processeur ont été mises à disposition pour les systèmes d'exploitation Ubuntu 16.04 LTS et Ubuntu 14.04 LTS. (Réf : https://wiki.ubuntu.com/SecurityTeam/KnowledgeBase/SpectreAndMeltdown )
• Des mises à jour du noyau et du microcode du processeur ont été mises à disposition pour les systèmes d'exploitation Red Hat Enterprise Linux 6 et 7. (Réf : https://access.redhat.com/security/vulnerabilities/speculativeexecution )
• VMware a publié des correctifs pour vSphere ESXi. (Réf : https://www.vmware.com/us/security/advisories/VMSA-2018-0004.html )
• Les nuages de Google, Microsoft et Amazon ont été pris en compte. Pour plus d'informations, consultez les sites web des fournisseurs.
• Navigateur Mozilla Firefox. (Réf : https://blog.mozilla.org/security/2018/01/03/mitigations-landing-new-class-timing-attack/ )
• Apple iOS, macOS et Safari. (Réf : https://support.apple.com/en-us/HT208394 )
• Infrastructure de convergence Nutanix Hyper. (Se référer à l'avis de sécurité #0007 dans le portail de support : https://portal.nutanix.com/#/page/static/securityAdvisories )
• Avis de sécurité d'Intel. (Ref : https://security-center.intel.com/advisory.aspx?intelid=INTEL-SA-00088&languageid=en-fr )

Recommandations actuelles pour les clients d'OVD Enterprise

1. Avant de commencer la mise à jour, faites une pause et élaborez un plan d'ensemble. Évaluez chaque élément de votre environnement OVD et identifiez les mesures à prendre. Inuvika vous recommande de donner la priorité aux éléments suivants :
   1. Appareils d'hypervision et matériel serveur hébergeant des OVD
   2. Systèmes d'exploitation invités
   3. Systèmes dorsaux (matériel des serveurs d'annuaire, de stockage et d'application, et leurs systèmes d'exploitation)
   4. Applications résidant sur vos serveurs d'application

2. Contactez les fournisseurs OEM de votre matériel ou de vos logiciels pour obtenir les informations les plus récentes et les correctifs disponibles.

3. Appliquez les correctifs recommandés. Après l'application d'un correctif, vérifiez que le composant fonctionne comme prévu.

4. En outre, les appareils clients, leurs systèmes d'exploitation et les applications qui accèdent à votre environnement OVD peuvent nécessiter des mises à jour. Nous vous recommandons de contacter l'équipementier de votre appareil pour plus d'informations.