Bonjour,

il existe déjà un topic sur ce sujet mais dans la cat. hardware : https://forum.hardware.fr/forum2.ph [...] st=1026912
Il n'est pas tourné vers les problématiques de ces vulnérabilités pour les PCs/serveurs d'entreprise.

Des liens utiles vers ce tremblement de terre niveau sécu :

https://meltdownattack.com/
https://www.computerworld.com/artic [...] ry-on.html
https://www.bleepingcomputer.com/ne [...] cpu-flaws/
https://support.microsoft.com/en-us [...] -execution
https://www.cert.ssi.gouv.fr/alerte [...] 8-ALE-001/

Problème : les correctifs, au delà d'être imparfaits, semblent générer des baisses de performances significatives pour les applications serveurs.

Avez-vous déjà des plans d'action face à ces vulnérabilités ?
Pour ma part, les correctifs ont ou vont être poussés automatiquement sur les postes clients. L'antivirus utilisé (Kaspersky Endpoint) ne pose pas problème et a poussé les clés de BDR nécessaires à l'application des MAJ.
Mais concernant les serveurs, je ne pense pas installer les MAJ pour l'instant. je préfère attendre plus d'infos et mener des tests.

Avez-vous déjà des retours sur les problèmes de compatibilités mais surtout de performances suite aux correctifs ?

A titre personnel, ce qui m'importe, pour le moment, c'est l'impact sur les serveurs qui est absolument occulte et en particuliers sur les environnements orientés PE ET PME :
-sur windows server 2008 à 2016
-sur la virtualisation (hyper-v et vmware)
-sur SQL server
-sur Exchange
 

Pour moi les correctifs vont être installés c'est certain, maintenant quid de la baisse des performances? car j'ai deux serveurs (PME) et ils sont bien occupés sans être en surcharge.
 
Je ne voudrai pas qu'ils passent en surcharge après l'application des correctifs

C'est clair qu'il y a eu très peu de communication dans le monde pro.
Par exemple sur Vmware si on installe les correctifs sur les hyperviseurs, est-il nécessaire aussi d'appliquer les correctifs au niveau des OS des VM?

Oui, il faut une mise à jour des firmware, une mise à jour des hôtes et une mise à jour des VM clientes

 
Toute la chaîne quoi...
Merci.

Les dernières news VMware :
 
https://kb.vmware.com/s/article/52264
 
Affected Virtual Appliances:
 
•VMware Identity Manager (Workaround KB 52284)
•VMware vCenter Server 6.5
•VMware vCenter Server 6.0
•VMware vSphere Integrated Containers
•VMware vRealize Automation
 
Unaffected Virtual Appliances:
 
•VMware Integrated OpenStack
•VMware NSX for vSphere
•VMware Unified Access Gateway
•VMware vCenter Server 5.5
•VMware vRealize Log Insight
•VMware vRealize Operations
•VMware vRealize Orchestrator
 
 
Le 1er bulletin :
https://www.vmware.com/us/security/ [...] -0002.html
 
Sinon vous avez des infos constructeurs pour de nouveaux firmwares ? je n'ai pas envie de contacter chaque constructeur via leur support...
HPE, Dell, Cisco UCS

perso, ce qui m'inquiète c'est plus la disponibilité des MAJ des firmware sur du materiel un peu vieillot.... a mon avis, ça ne sera jamais bouché sur grand nombre de machines encore en circulation/utilisation aujourd'hui

Moi ce qui m'inquiète le plus ce sont les chutes de perfs.
Sans compter qu'au final les serveurs resteront vulnérables puisque seul le remplacement des CPU garantira la totale innocuité face à ces attaques.
 
Pour info, voici de ce qu'en dit M$ pour SQL Server par exemple :

 
https://support.microsoft.com/en-us [...] sql-server

A priori aucune attaque exploitant ces failles n'a été recensée pour le moment, ça semble assez costaud quand même à mettre en oeuvre.
 
Ce qui ne veut pas dire qu'il ne faut rien faire bien sûr.

uh uh.
Sauf que l'utilisation de ces vulnérabilités ne laisse aucune traces.
Au final, personne ne peut affirmer que depuis qu'elles existent, c'est à dire des décennies, elles n'ont pas été exploitées.

Et maintenant qu'elles sont publiques, je n'imagine pas le risque encouru pour les hébergeurs, le "cloud" en général.
D'ailleurs s'ils ont réagit aussi vite, c'est pas pour rien ...

Bien sûr puisque hardware... Mais complexe à mettre en oeuvre, pas trouvé de preuve de concept après 1 semaine de divulgation...
 
Cependant si des mots de passe sont dérobés c'est pour être utilisé, donc si tout l'arsenal de sécurité soft ne bronche pas et que des comptes sont compromis, on saurait, à priori, d'où ça vient. Sauf si ce n'est "que" pour récupérer des informations sans éveiller de soupçon, et là on peut fantasmer sur tout et n'importe quoi... Failles connues depuis des lustres par la CIA/NSA, "obsolescence programmée" par les fondeurs, etc...

Tu en veux un autre Maurice ?    
On m'a dit que la terre est plate, tu en penses quoi ?

 
t'as mal cherché
https://gist.github.com/ErikAugust/ [...] 2a9e3d4bb6

Le bulletin d'alerte du CERT-FR : https://www.cert.ssi.gouv.fr/alerte [...] 8-ALE-001/

@HPIR40: ouais, ça fait peur quand on voit la simplicité de la mise en œuvre !

faut relativiser quand même, sur ce POC, il sait quoi  chercher, donc de la à récupérer un mot de passe ou une clef de sécurité qui est stockée on ne sait ou et dont on ne connaît aucune info, ça va être plus dur

quelque chose me dit que la liste est loin d'être complète
https://security-center.intel.com/a [...] geid=en-fr

Pour info : problème dans l'utilisation du shadowing RDS après KB4056890 :
https://social.technet.microsoft.co [...] inserverTS

Ca va être un de ces bordel ce truc...
 
https://docs.ovh.com/fr/dedicated/m [...] ng-system/
 
Tous les editeurs ne sont pas prêts.
Et pire encore, tous les patchs actuels ne suffisent pas.
 
Exemple Redhat :
https://access.redhat.com/security/ [...] eexecution
 
 
Variant 2 can be exploited both locally (within the same OS) and through the virtualization guest boundary. Fixes require CPU microcode/firmware to activate.  Subscribers are advised to contact their hardware OEM to receive the appropriate microcode/firmware for their processor.  
 
En gros, on peut patcher la couche OS, mais la faille étant Hardware, ça va être coton. On upgrade pas vraiment les BIOS/firmware en général.

Ya pt'etre une solution pour les cas ou les constructeurs ne fourniraient pas de bios a jour:
https://blogs.vmware.com/vsphere/20 [...] ature.html
 
Par contre, a tester très soigneusement avant !!!!

Idem a partir de windows
https://www.win-raid.com/t2649f47-G [...] -BIOS.html

Du coup, j'ai pas cherché mais c'est sur que ça doit aussi etre possible sous linux

Quid des routeurs et commutateurs ?

cisco dit pour le moment on s'en fou notre système est fermé mais bon ils feront comme les autres ils sortirons les patchs, côté stockage bulletin d'info netapp idem que cisco (en cours d'analyse d'impact mais système fermé), emc² pareil, sur la partie san brocade en cours d'analyse
 
En gros quasi tout le monde est en cours d'analyse ... pour un problème soit disant connu depuis juin 2017...
côté os microsoft par contre c'est très clair , on a des gros impacts en lab sur les versions serveurs donc on attends les prochaines fournées de patchs crosoft
côté linux c'est pas prêt également
 
Côté matos encore chez cisco avec ucs patch dispo logiquement le 18 février 2018 ...  
 
côté juniper idem en cours de qualif
côté f5 (big ip) idem en cours de qualif
 
Sans compter le nombre d'applications comme checkpoint, securemote, les db etc ..... et j'en passes qui sortent également en mode patché
 
bref une année complète de patch party en prévision

 
Tu as des sources la-dessus ? Autre que la com de M$ sur des dégradations concernant SQL Server (lien posté plus haut) ?

 
T'as des sources ?
 
EDT : je ne vois pas la date du 18/02 pour les patchs.
 
Quelques infos pour les matériels Cisco UCS.
 
Bulletin Officiel :
https://tools.cisco.com/security/ce [...] idechannel
 
Précisions sur le forum Cisco :
https://communities.cisco.com/commu [...] rabilities
 
Of course, as patches are tested and planned, people want to know the impact of them. Spectre variant 1 and Meltdown operating system patches reportedly have little to no performance impact. Spectre variant 2 - CVE-2017-5715, which requires both operating system as well as processor microcode updates, may have performance impacts. The Cisco UCS team’s testing indicates that CPU and memory constrained workloads don’t have any significant performance impacts. However, IO constrained workloads show a measurable and sometimes significant performance impact. In particular, we are seeing the biggest impact on IO tests to local and SAN-based storage with sequential reads or sequential writes and especially with 4k block size. I’ve heard similar findings from customers and partners this week as well.

sur la partie cisco tu a la date de fix prévu dans la bonne colonne , comme tu peux le voir la comm officiel est clair , côté switch c'est monde fermé donc pas affecté et ils font les tests, côté maj des blades ils communiquent une date du 18/02 effectivement
 
pour le pb de dégradation de perf ce sont des tests internes chez ocd (orange cyber defense) et pour le moment toutes nos comm internes nous indiquent de ne pas patcher les os , mais bien de faire toutes les maj hyperviseur.
 
Côté io c'est bien ce qu'on constate également (seq read en 4k fortement impacté environ 30% de baisse, write moins en moyenne 6-7%)

Plop tous
 
Je bosse dans une grande boite, avec pas mal de VM, postes clients, tel mobiles, ordi portables, etc. Je participe aux réunions de crise sur ce bordel ...
 
Je vais passer un peu de temps ici, histoire d'avoir un peu d'actu et de prendre un peu d'infos sur ce que font les autres et l'industrie (et les éditeurs).
 
 

vous faites encore des réunions de crises ?
Ici c'est déjà tout patché, pas la peine de se masturber en réunion

 
Tout je ne pense pas
 
Même les microcodes CPU ?
 
Et niveau perfs ?

Tout ce qu'il à patcher et sinon le reste est dans Azure

 
On commence à avoir des plans d'action, et une bonne vue de ce qu'il faut faire, mais le chantier est énorme ... c'est vraiment un sale coup pour le SI de ma boite ...
 
En jours/homme j'imagine même pas à combien ça va monter ...
 
Heureusement pour ma partie on ne gère que quelques boites IBM (virtuelles et physiques - en attente de réponse de l’éditeur) et une centaine de VM ... (dont quelques vieux trucs genre sles10, j'espère que l’éditeur finira par sortir - et si oui, vite - des patchs)

Jours/homme ?  

 
Bon soit. Et niveau perf ? Pas d'inquiétudes ? Des premiers retours ?

Les vm se touchent un peu moins mais rien d'affolant, pas de plaintes

 
jours/hommes pardon
 
Pourquoi le smiley agressif ?

Bonjour à tous. Je ne sais pas si quelqu'un en a parlé dans un autre topic mais le microcode fourni par Intel pour la CVE-2017-5715 est semble-t-il bugué avec certains de leur processeurs...
 
VMware a retiré ses mises à jour contenant ledit µcode et Dell a retiré aussi, sans raison apparente au départ, les BIOS pour sa génération 13G de serveurs... Nous avions trouvé cela louche au début mais comme nous n'avions aucune info de Dell et que nous avions déjà installé les BIOS nous n'y avons pas prêté plus attention que ça.
 
Grand mal nous a pris, on se retrouve donc avec des ESXi à jour alors qu'ils ne devraient pas l'être et certains de nos serveurs sont dans la même situation.
 
On a pas voulu se masturber en réunion mais vraisemblablement on est allé un peu vite en besogne.
 
Voici le KB de VMware avec le contournement qui va bien : https://kb.vmware.com/s/article/52345
La petite info de chez Intel : https://newsroom.intel.com/news/int [...] ot-issues/
Dell pour les BIOS : http://www.dell.com/support/articl [...] g-?lang=en
 
En gros ce bug provoque des reboots intempestifs avec les machines équipées de Broadwell et Haswell.
 
Voilà je préfère prévenir ceux qui seraient potentiellement concernés par le soucis avant qu'ils fassent la même erreur nous...
Par contre je ne sais pas si cela concerne aussi les processeurs desktop ni si cela impacte les Linux qui utilisent aussi ce microcode, je suppose que oui mais je n'ai pas trouvé d'info pertinente.

Merci !
On vient de tomber sur la KB en question chez VMware...mais nous n'avons pas eu le temps de patcher vu les différents process client.
https://kb.vmware.com/s/article/52345  

De notre côté on applique le contournement proposé par VMware sur les ESXi trop à jour en attendant un vrai patch..

 
Merci, j'étais justement en train de regarder les patchs VMware pour nos HPs (CPU Haswell)    
Et y'avait celui qu'ils ne recommendent pas d'appliquer.
 
Pour le moment, ca a pas trop bougé chez nous. En gros, on va avoir 30 jours pour appliquer sur du test et voir en fonction.
Pour la prod dans Azure c'est fait, y'a 1 appliance qui a complétement crashé, support MS etc... 4h de downtime
 
Et on va avoir un paquet de trucs pas supportés... et des archis très hétérogènes. Ca va être fun