rvlsoft - Fotolia
Le Bug Intel fait rebooter les clouds publics (mis-à-jour)
Le bug de sécurité affectant l'ensemble des processeurs 64 bit d'Intel va contraindre l'ensemble des fournisseurs de cloud à appliquer des correctifs sur leurs serveurs avant de rebooter massivement leur infrastructure. Un casse tête en perspective pour les clients...
Note : cet article a été mis-à-jour le 4 janvier à 10h00 avec les informations d'Online Scaleway et Google Cloud puis mis à jour avec des précisions d'Amazon, OVH et Online à 18h00.
Le Bug de sécurité touchant les processeurs Intel (désormais connu sous le nom de MeltDown) va contraindre l’intégralité des grands clouds à appliquer des correctifs sur l’ensemble de leurs serveurs avant de les redémarrer. Et il pourrait durablement affecter la performance de leurs opérations.
Son correctif, baptisé KPTI (Kernel page-table isolation), a pour but de combler une faille jusqu’alors non documentée des puces Intel qui permet la lecture de l’espace mémoire du noyau par un processus ne disposant pas du niveau d’autorisation requis. La faille s’appuyer sur une erreur d’implémentation du mécanisme d’exécution spéculatif des processeurs superscalaires d’Intel. Et cette erreur d’implémentation serait présente dans l’intégralité des puces 64 bit du constructeur. A priori, elle n’affecte pas les puces AMD.
L’un des scénarios catastrophiques d’exploitation de cette faille, qui explique l’intérêt des grands du cloud pour un patch rapide, est sans doute la possibilité pour une machine virtuelle malicieuse de prendre le contrôle de son hôte et donc de toutes les VM qu’il héberge (le pire scénario pour un fournisseur de cloud public). Amazon, Google, Microsoft et Oracle ont donc suivi de très près le développement du correctif pour Linux et certains de leurs ingénieurs ont aussi participé à son développement. Microsoft devrait de son côté publier son correctif pour Windows mardi 9 janvier.
Selon nos informations, Amazon devrait être le premier à ouvrir le bal avec un redémarrage programmé de certains des serveurs de son infrastructure entre le vendredi 5 janvier et le samedi 6 janvier. L'opérateur de cloud, dans un mail, nous a indiqué que ses clients devrait aussi mettre à jour leurs AMI avec des noyaux à jour.
IBM a quant à lui prévu une maintenance majeure de sa plate-forme cloud entre le 5 et le 8 janvier, tandis qu'OVH devrait prendre le relais ce Week-End avec la mise à jour de son infrastructure et un redémarrage cadencé de ses serveurs. Octave Klaba a indiqué que ce premier redémarrage pourrait être suivi par un second dans les deux à trois prochaines semaines afin d'appliquer un correctif firmware sur ses serveurs Intel. Ce sera ensuite au tour de Microsoft Azure de procéder à un reboot de ses serveurs le 10 janvier. Scaleway, le cloud public d'Online (filiale d'Iliad) a quant à lui la particularité d'opérer un cloud x86 Intel (basé sur des puces Avoton) et un cloud ARM (basé sur des puces Cavium). L'opérateur va patcher les hyperviseurs de son infrastructure x86 et redémarera ses serveurs de façon étagée entre le 4 janvier et le 6 janvier. Il devra également, comme OVH, procéder à une mise à jour du micro-logiciel de ses serveurs dans les prochaines semaines. Online a précisé que pour l'instant son cloud ARM Cavium n'est a priori pas affecté.
Google Cloud de son côté indique que ses services Google Compute Engine et Kubernetes Engine sont déjà protégés contre les vulnérabilités et que ses clients n'auront pas à subir un redémarrage de leurs instances Cloud Engine. En fait l'opérateur a déjà appliqué des correctifs de façon roulante sur ses serveurs en déplaçant préventivement les VM de ses clients via sa fonction de livemotion. Les entreprises utilisatrices du cloud de Google devront toutefois patcher les systèmes d'exploitation de leurs VM. Enfin, Oracle Cloud n’a pour l'instant pas communiqué sur sa stratégie de maintenance. La prochaine vague mensuelle de correctifs de l'éditeur est attendue le 16 janvier...