Vous avez peut-être entendu parler d'une vulnérabilité récemment identifiée à l'échelle de l'industrie qui implique des architectures de microprocesseurs modernes. Sur la base de nouvelles recherches sur la sécurité, il existe des méthodes d'analyse de logiciels qui, lorsqu'elles sont utilisées à des fins malveillantes, peuvent potentiellement recueillir des données sensibles à partir de dispositifs informatiques fonctionnant comme prévu.
Souvent appelée méthode d'analyse Side-Channel, Spectre ou Meltdown, cette vulnérabilité affecte les architectures de microprocesseurs provenant de plusieurs fournisseurs de processeurs, notamment Intel, AMD et ARM. Pour remédier à cette vulnérabilité, les fournisseurs de matériel et de logiciels de toute l'industrie, y compris HPE et Microsoft, ont travaillé ensemble pour publier les résolutions appropriées.
Chez HPE, la sécurité de nos produits est notre priorité absolue et nous continuons à travailler de manière proactive avec les fournisseurs de systèmes d'exploitation et de microprocesseurs pour développer des mises à jour de logiciels et de microprogrammes afin d'atténuer la vulnérabilité du microprocesseur.
En janvier, nous avons publié un blog sur l'atténuation et la résolution de cette vulnérabilité au travers des mises à jour du système d'exploitation du serveur (SE) ainsi que du système ROM du serveur HPE ProLiant.
Voyez Ressources pour atténuer la vulnérabilité d'exécution spéculative dans Intel et d'autres processeurs pour savoir ou obtenir ces mises à jour pour votre SE serveur (Microsoft) et votre système ROM (HPE)
Comme nous avons reçu de nombreuses questions sur cette vulnérabilité, nous souhaitons prendre un moment pour répondre à certaines des questions les plus fréquemment posées.
- La vulnérabilité du microprocesseur affecte-t-elle tous les fournisseurs de technologie ou seulement HPE?
La vulnérabilité du microprocesseur affecte tous les fournisseurs de technologie utilisant des microprocesseurs modernes et n'est pas spécifique à HPE. Tous les produits et solutions concernés par cette vulnérabilité nécessitent des mises à jour du système d'exploitation et du système ROM. Intel a déclaré que les processeurs Itanium ne sont pas affectés par la vulnérabilité de l’analyse Side-Channel.
- Quels produits et solutions HPE sont impactés?
Tous les produits HPE incluant les microprocesseurs concernés sont potentiellement vulnérables. Pour déterminer si vos produits et solutions HPE sont affectés, veuillez-vous rendre sur le site Web HPE Vulnerability. HPE mettra à jour la liste de tous les systèmes quand nécessaire. Veuillez aussi consulter ce bulletin d’alerte.
- La vulnérabilité du microprocesseur est-elle due à une attaque ou une violation active?
Non, il n'y a eu aucune attaque connue. Cette vulnérabilité de microprocesseur est due à une faille de conception qui, lorsqu'elle est analysée via la méthode Side-Channel, peut permettre à quelqu'un de déduire des données. L'application des mises à jour appropriées du système d'exploitation et du microprocesseur pour vos systèmes HPE réduit le risque associé à cette vulnérabilité.
- Quelle est l'ampleur de la vulnérabilité de sécurité?
Une nouvelle étude sur la sécurité a identifié des méthodes d'analyse de logiciels qui, lorsqu'elles sont utilisées de manière malveillante, ont le potentiel de recueillir de manière inappropriée des données sensibles à partir de dispositifs informatiques fonctionnant comme prévu. Pour plus d'informations, reportez-vous aux expositions de vulnérabilité courantes suivantes: CVE-2017-5715, CVE-2017-5753, CVE-2017-5754.
- Comment résoudre cette vulnérabilité?
La résolution de cette vulnérabilité nécessite à la fois une mise à jour du système d'exploitation fournie par le fournisseur du système d'exploitation et une mise à jour du système ROM de HPE. En fonction des systèmes HPE que vous utilisez, vous pouvez trouver des instructions sur les actions appropriées à entreprendre sur le site Web de Vulnérabilité HPE.
Si vous êtes un client HPE Pointnext et que vous pensez que vous utilisez un système affecté, contactez votre représentant du support technique.
Si vous êtes un client HPE Storage, vous pouvez trouver sur le site Web de Vulnérabilité HPE des instructions sur les actions appropriées à entreprendre. Les procédures de résolution pour les produits HPE Storage peuvent différer des solutions pour les produits HPE Server. Veuillez consulter le site Web HPE Vulnerability pour plus de détails sur les produits Storage.
Pour les produits logiciels tels que StoreVirtual VSA, StoreOnce VSA, RMC, et d’autres logiciels exécutés sur des serveurs basés sur des processeurs x86, il est conseillé de se référer aux communications de votre vendeur de serveur x86.
- Doit-on disposer d'un contrat ou d'une garantie active pour pouvoir télécharger et installer des mises à jour du système ROM HPE?
Non. Nous renonçons au contrôle des droits pour les mises à jour HPE System ROM pour les produits et solutions affectés par cette vulnérabilité, lorsqu'elles sont disponibles.
- Quels systèmes d'exploitation sont impactés?
Windows®, Linux® et VMware® sont impactés. Les fournisseurs de systèmes d'exploitation fournissent des mises à jour de correctifs du système d'exploitation. Sur la base des communications actuelles d'Intel, Itanium n'est pas affecté et par conséquent, HP-UX, OpenVMS et le système d'exploitation NonStop sur les systèmes NonStop J-series et H-series ne sont pas affectés.
Les systèmes d'exploitation NonStop sur les systèmes NonStop de la série L fonctionnent sur des processeurs x86 et sont affectés. En outre, les systèmes CLIM et NSC des systèmes NonStop fonctionnant sur des processeurs x86, et les systèmes d'exploitation Linux et Windows de ces composants système NonStop sont affectés.
Pour plus d'informations, HPE recommande de contacter les fournisseurs de systèmes d'exploitation: Microsoft®, VMware, SUSE et Red Hat®.
- Quels microprocesseurs sont impactés?
La plupart des microprocesseurs dotés d'architectures modernes peuvent être affectés par la méthode d'analyse Side-Channel. Intel et AMD ont contacté HPE et travaillent activement avec HPE pour fournir des solutions. Intel a déclaré que les processeurs Itanium ne sont pas affectés par la vulnérabilité Side-Channel Analysis. Pour tous les autres fournisseurs de microprocesseurs, contactez le fournisseur du processeur pour plus d'informations.
- Les autres fabricants de matériel sont-ils touchés?
Tous les fabricants de matériel ainsi que les fournisseurs de services de cloud public, qui utilisent les architectures de microprocesseur modernes affectées, sont potentiellement touchés. Les téléphones mobiles et les ordinateurs clients peuvent également être touchés - référez-vous aux fournisseurs de ces produits pour plus de détails.
- Après avoir patché mes systèmes, va-t-il y avoir un impact sur la performance?
Dans la plupart des cas, nous nous attendons à ce que l'impact sur les performances soit minime mais cela peut varier en fonction du système d'exploitation et de la charge de travail. HPE et ses partenaires SE et microprocesseurs continueront à surveiller et à caractériser les impacts potentiels sur les performances au fil du temps et fourniront des conseils supplémentaires à mesure que les données seront disponibles.
- Que signifie cette vulnérabilité de microprocesseur pour les serveurs HPE ProLiant et HPE Synergy Gen10, les serveurs standard les plus sûrs au monde? 1
La vulnérabilité du microprocesseur est une faille dans les microprocesseurs modernes: cependant, aucune attaque connue n'est associée à cette vulnérabilité.
Les serveurs HPE Gen10 sont seuls dotés de la technologie Silicon Root of Trust; ce silicium conçu sur mesure par HPE offre une protection sans précédent contre les attaques sur les microprogrammes. En dépit de nos fonctionnalités de sécurité améliorées, en ce qui concerne cette vulnérabilité particulière, les clients doivent toujours appliquer toutes les mises à jour recommandées et suivre les meilleures pratiques de sécurité.
- Que signifie cette vulnérabilité de microprocesseur pour les clients qui envisagent d'acheter des produits HPE?
Vous pouvez être sûr que les solutions de calcul HPE sont de classe mondiale en matière de sécurité et de qualité. La découverte de cette vulnérabilité de microprocesseur à l'échelle de l'industrie ne devrait avoir aucun impact sur votre décision d'acheter des solutions HPE. HPE continuera à travailler avec Intel, AMD et ARM pour s'assurer que les résolutions nécessaires pour les microprocesseurs utilisés dans nos produits sont une priorité absolue. De plus, lorsque les mises à jour du microprocesseur sont appliquées et combinées à la technologie Silicon Root of Trust de HPE, disponible uniquement sur les serveurs HPE Gen10, nos clients peuvent être assurés que leur plate-forme de calcul répond aux normes de sécurité les plus strictes de l’industrie.
- HPE fournira-t-il plus de mises à jour concernant cette vulnérabilité?
Oui, HPE continuera de publier des mises à jour à mesure que davantage d'informations et de détails seront disponibles. Vous pouvez vous référer au site web HPE Vulnerability.
- HPE a récemment mis à disposition les mises à jour du système ROM pour les produits serveur HPE ProLiant, HPE Synergy, HPE Superdome Flex et HPE Superdome X. Pourquoi ne puis-je pas les trouver maintenant?
Les mises à jour HPE ProLiant DL385 Gen10 sont toujours disponibles. Cependant, nous informons nos clients sur une déclaration d'Intel publiée le 22 janvier 2018 concernant des problèmes associés au correctif de microcode d'Intel conçu pour résoudre la vulnérabilité Side-Channel Analysis. Intel recommande aux clients d'arrêter le déploiement des systèmes ROM qui incluent ce correctif de microcode, et de revenir à leur version précédente du système ROM pour éviter le risque d'un comportement imprévisible du système.
Par conséquent, HPE a supprimé les mises à jour du système ROM pour les produits serveur HPE ProLiant, HPE Synergy, HPE Superdome Flex et HPE Superdome X disponibles à partir de notre site de support HPE. De nouvelles mises à jour pour les systèmes ROM de ces plates-formes seront mises à disposition par HPE après qu'Intel aura mis à jour les microcodes.
- Quelles générations de serveurs HPE recevront des mises à jour du système ROM qui incluent des microcodes pour permettre l'atténuation de la vulnérabilité Side Channel Analysis Method?
HPE s'engage à travailler en étroite collaboration avec les fournisseurs de microprocesseurs pour fournir des mises à jour du système ROM pour les générations de serveurs HPE Gen10, Gen9, Gen8, G7 et les générations antérieures, lorsque les mises à jour de microcode seront mises à disposition par les fournisseurs de processeurs.
Avez-vous d'autres questions? Consultez le pack d'assistance aux clients HPE - microprocesseur vulnérabilité 2018. Ce document HPE vient en aide aux clients. Il a été conçu pour simplifier la tâche qui consiste à atténuer les risques de cette vulnérabilité. Il comprend des instructions pas à pas et une compilation de liens importants vers les mises à jour les plus courantes du système d'exploitation (SE) et du microcode utilisés avec les générations de serveurs HPE actuelles. HPE recommande également à nos clients d'examiner les déclarations publiées par les fournisseurs de microprocesseurs: Intel, AMD et ARM.
Des questions au sujet des produits/solutions HPE OEM Microsoft, sur Windows Server, ou sur les serveurs HPE? Rejoignez la communauté Coffee Coaching
Suivez nous sur Twitter | Rejoignez notre groupe LinkedIn | Likez nous sur Facebook | Regardez nous sur YouTube
1 Basé sur une entreprise externe effectuant des tests de pénétration de la sécurité informatique sur une gamme de produits serveur provenant de divers fabricants, mai 2017.
