Bon, alors, c’est compliqué !
Vous l’avez sans doute vu passer très récemment, après l’annonce des vulnérabilités Spectre et Meltdown, Intel a sorti “en catastrophe” (même si visiblement, pas mal de mon était au courant depuis la fin 2017) de nouveaux microcodes pour les générations de processeurs les plus récents. Ce deuxième ascenseur émotionnel a conduit notamment VMware à revenir sur les correctifs initialement produits en début de semaine dernière pour y inclure les microcodes en question, histoire de filer un coup de main supplémentaire à ses clients (bonne idée a priori).
SAUF QUE, Intel a averti plus récemment encore que lesdits microcodes étaient susceptibles de provoquer des instabilités sur certains processeurs (notamment Haswell et Broadwell) qui conduisaient à des reboots intempestifs. Joie. Du coup, troiiiisième ascenseur chez VMware qui fait machine arrière et recommande désormais de ne PLUS UTILISER les dernières versions des patchs fournis en fin de semaine dernière mais revenir au patchs initiaux produit le 9 Janvier. Vous suivez ? Non ?
C’est normal, mais je résume, au 15 Janvier 2018, 16h26 …
Si vous n’avez pas encore passé les patchs, la bonne version se trouve ici :
https://www.vmware.com/us/security/advisories/VMSA-2018-0002.html
Si vous avez déjà passé les patchs en question, il faut “bidouiller” vos serveurs (pas de mis en maintenance nécessaire) pour ne plus exposer aux VMs les nouveaux registres qui participent à la mitigation des failles Meltdown et Spectre (ne m’en demandez pas plus, c’est à la limite de mes compétences).
L’explication technique de VMware qui présente le contexte, les solutions de contournement et les recommandations actuelles :
https://kb.vmware.com/s/article/52345
Enfin, jetez vous sur le dernier billet de William Lam (Virtually Ghetto guy) qui vous a concocté un outil en PowerShell pour vérifier l’exposition de vos ESXi et d’appliquer la solution de contournement, si vous êtes allez “trop vite” en besogne :) . Au passage, un grand merci à lui pour ce genre d’outils qui fait gagner un temps fou dans des situation comme celles-là ou il ne faut jamais confondre vitesse et précipitation !
https://www.virtuallyghetto.com/2018/01/automating-intel-sighting-remediation-using-powercli-ssh-not-required.html
EDIT du 17/01 :
VMware centralise l’ensemble des infos sur Spectre et Meltdown dans le KB52245.
Le KB centralisant l’ensemble des informations sur les impact performance des mitigations opérées par les patchs : KB52337.
EDIT du 23/01 :
Intel, ce grand déconneur, a annoncé dans sa newsroom que désormais, il ne recommandait plus le passage des patchs publiés dans le courant du mois de Janvier. Ok, donc retour à la case départ. Messieurs les RSSI, il va falloir apprendre à vivre avec ces failles … je vais acheter une bouteille d’oxygène pour le nôtre, on sait jamais ^^
PS : Mmh ? Pardon ? Ah, oui ! La photo de chaton, c’est cadeau, pour rester zen et parce que vous le valez bien ^^