18-01-14 19-51-32 1795

Spectre et Meltdown, suite : Intel Sightings, patchs VMware, Restons calme …

Bon, alors, c’est compliqué !

Vous l’avez sans doute vu passer très récemment, après l’annonce des vulnérabilités Spectre et Meltdown, Intel a sorti “en catastrophe” (même si visiblement, pas mal de mon était au courant depuis la fin 2017) de nouveaux microcodes pour les générations de processeurs les plus récents. Ce deuxième ascenseur émotionnel a conduit notamment VMware à revenir sur les correctifs initialement produits en début de semaine dernière pour y inclure les microcodes en question, histoire de filer un coup de main supplémentaire à ses clients (bonne idée a priori).

SAUF QUE, Intel a averti plus récemment encore que lesdits microcodes étaient susceptibles de provoquer des instabilités sur certains processeurs (notamment Haswell et Broadwell) qui conduisaient à des reboots intempestifs. Joie. Du coup, troiiiisième ascenseur chez VMware qui fait machine arrière et recommande désormais de ne PLUS UTILISER les dernières versions des patchs fournis en fin de semaine dernière mais revenir au patchs initiaux produit le 9 Janvier. Vous suivez ? Non ? C’est normal, mais je résume, au 15 Janvier 2018, 16h26 :

Si vous n’avez pas encore passé les patchs, la bonne version se trouve ici :
https://www.vmware.com/us/security/advisories/VMSA-2018-0002.html
Si vous avez déjà passé les patchs en question, il faut “bidouiller” vos serveurs (pas de mis en maintenance nécessaire) pour ne plus exposer aux VMs les nouveaux registres qui participent à la mitigation des failles Meltdown et Spectre (ne m’en demandez pas plus, c’est à la limite de mes compétences).

L’explication technique de VMware qui présente le contexte, les solutions de contournement et les recommandations actuelles :
https://kb.vmware.com/s/article/52345

Enfin, jetez vous sur le dernier billet de William Lam (Virtually Ghetto guy) qui vous a concocté un outil en PowerShell pour vérifier l’exposition de vos ESXi et d’appliquer la solution de contournement, si vous êtes allez “trop vite” en besogne :) . Au passage, un grand merci à lui pour ce genre d’outils qui fait gagner un temps fou dans des situation comme celles-là ou il ne faut jamais confondre vitesse et précipitation !
https://www.virtuallyghetto.com/2018/01/automating-intel-sighting-remediation-using-powercli-ssh-not-required.html

EDIT du 17/01 :
VMware centralise l’ensemble des infos sur Spectre et Meltdown dans le KB52245.
Le KB centralisant l’ensemble des informations sur les impact performance des mitigations opérées par les patchs : KB52337.

PS : Mmh ? Pardon ? Ah, oui ! La photo de chaton, c’est cadeau, pour rester zen et parce que vous le valez bien ^^

IMG_1766

Meltdown et Spectre fixées par microcode et patch ? edit: confirmé !

A l’heure où j’écris ces lignes, il semblerait qu’Intel ait trouvé un moyen de produire une mise à jour du microcode qui permette de rendre les serveurs et PC immunisés contre les deux vulnérabilités #Meltdown et #Spectre. Cela reste à confirmer évidement, d’autant que la mise à jour du microcode en question ne sera pas disponible avant la semaine prochaine, visiblement. Il faudra aussi vérifier quelles générations de processeurs auront droit à cette mise à jour…

Il n’en reste pas moins une inconnue : quel impact sur les performances de nos hyperviseurs au quotidien ? Devra-t-on revoir en profondeur nos capacity plannings concernant l’axe CPU et augmenter nos investissements en conséquence ? Pour l’instant, mystère…

Quoi qu’il en soit, une bonne nouvelle en perspective après une journée anxiogène à souhait ;)

Enfin, histoire de clôturer la journée avec exhaustivité, je ne saurais que trop vous recommander l’article de MacGénération qui me semble résumer parfaitement la situation sur le problème, les conséquences connues et l’état des publications/patchs des principales entreprises de l’IT à ce sujet, à lire ici.

Source 1 : Le blog de Online/Scaleway à lire ici (update 1)
Source 2 : Article de PCworld à lire ici.
Source 3 : Article complémentaire chez MacGénération, ici.
Source 4 : confirmé par Intel, himself, ici.