Vulnérabilités RIDL, Fallout et ZombieLoad

    Cybersécurité, Sécurité - posté le 15-05-2019 par Edouard CAMOIN (3DS OUTSCALE)

    Des articles récemment publiés font référence à une nouvelle faille de sécurité sur les processeurs Intel.

    Pour ces vulnérabilités du nom de RIDL, Fallout ou ZombieLoad, vous trouverez ci-dessous les CVEs en questions :

    protection données

    • CVE-2018-12127Microarchitectural Load Port Data Sampling (MLPDS)
    • CVE-2018-12126 Microarchitectural Store Buffer Data Sampling (MSBDS)
    • CVE-2018-12130Microarchitectural Fill Buffer Data Sampling (MFBDS)
    • CVE-2018-11091Microarchitectural Data Sampling Uncacheable Memory (MDSUM)

    À la connaissance d’Intel, il n’y a eu aucune utilisation de ces vulnérabilités en dehors du milieu de la recherche. 

    Les anciennes générations de processeurs proposées par 3DS OUTSCALE sont actuellement impactées par ces vulnérabilités. En revanche, les nouvelles générations de processeurs (Skylake) ne sont pas impactées.

    Au vu de la complexité de l’attaque et des prérequis nécessaires, l’exploitation de ces vulnérabilités reste hautement théorique. Cependant, il est possible pour les clients de 3DS OUTSCALE de s’assurer de ne pas partager d’hyperviseurs avec d’autres clients en utilisant l’option Dedicated (https://wiki.outscale.net/pages/viewpage.action?pageId=43061413#id-%C3%80proposdesinstances-Allocationdesinstancesetinstancesd%C3%A9di%C3%A9es). Cela permet de mitiger de manière certaine la vulnérabilité vis-à-vis d’attaquant externe.

    Aussi, une montée de version de nos serveurs est prévue dans les prochains jours afin de mitiger certains aspects de ces vulnérabilités (notamment le ciblage de la donnée).

     

    Nous restons bien évidemment en veille de sécurité continue sur le sujet. 3DS OUTSCALE travaille en étroite collaboration avec les équipes Intel et ses autres fournisseurs afin de mitiger et corriger les vulnérabilités de ce type dès le moment où elles sont découvertes.

     

    À propos de l'auteur : Edouard CAMOIN (3DS OUTSCALE)

    Depuis 2015, Edouard Camoin assure le rôle de Responsable de la Sécurité des Systèmes d’Information chez 3DS OUTSCALE. Sa mission s’articule autour de la gestion des risques liés à la sécurité de l’information et de l’implémentation des solutions de sécurité nécessaires à la protection des données hébergées par les clients de 3DS OUTSCALE. Edouard Camoin est titulaire d’un DUT Informatique de l’Université Paris Descartes et d’un Master en Sécurité des Systèmes d’Information de l’Université de Rouen. Il est également titulaire d’une certification ISO/CEI 27001 Lead Implementor depuis février 2018.

    Commentaires