Chers Cloud Riders,

Comme vous le savez sans doute, Intel a publié hier de nouvelles vulnérabilités de sécurité susceptibles d’affecter les fournisseurs de services cloud.

Résumé de l’impact sur nos infrastructures :

• Dedibox, impactées

• Instances Bare Metal C2, impactées

• Nouvelles instances cloud Development et General Purpose, non impactées

• Instances Start et C1, non impactées

Connues sous les noms CVE-2018-12127, 12126, 12130, CVE-2019-11091, ces vulnérabilités constituent une famille de failles qui se situe à peu près dans la même catégorie que Spectre et Meltdown.

Pour approfondir les possibles attaques, la série de failles actuelle cible les données stockées dans le cache utilisant une exécution spéculative intégrée au CPU. Ainsi, les attaquants peuvent avoir accès à des données sensibles.

• Pour Online by Scaleway (Dedibox), la plupart des processeurs Intel sont vulnérables. Vous devez savoir que des mises à jour du microcode du processeur ont été publiées par Intel au cours des derniers mois. Si votre système d'exploitation est déjà mis à jour, vous ne serez pas menacé par ces attaques. Suivez la procédure de mise à jour de votre système d’exploitation pour vous assurer que vous êtes bien sur le dernier noyau et que le bon microcode processeur est utilisé. Comment déployer le firmware ?

Les instances Bare Metal C2S, C2M et C2L sont vulnérables et doivent être mises à jour si vous exécutez du code non certifié ou un environnement multi-utilisateur. Nous publierons bientôt une image avec le noyau mis à jour avec la vulnérabilité corrigée. Vous devrez alors redémarrer votre serveur. Vous recevrez une notification dès que nous publierons une image avec le noyau mis à jour.

Les instances Scaleway (Development, General Purpose, Start et C1) ne sont pas vulnérables aux attaques identifiées car elles étaient déjà couvertes dans les CPU utilisés. Veuillez également noter que les processeurs AMD ne sont pas vulnérables.

Résultats des tests sur nos plateformes avec le Spectre and Meltdown checker.

Vous trouverez plus d'informations sur les attaques et leurs implications sur le site d’Intel.

Informations complémentaires :

Déclaration d’Intel

Référence CVE CVE-2018-12126

Référence CVE CVE-2018-12127

Référence CVE CVE-2018-12130

Référence CVE CVE-2019-11091

La sécurité et la confidentialité sont essentielles pour nous. Nous sommes sincèrement désolés des conséquences de ces failles dont nous ne sommes pas directement responsables. Nous espérons vous avoir donné un aperçu global et complet des impacts possibles et nous restons à votre disposition pour toute question.

L’équipe Scaleway