Vulnérabilités RIDL, Fallout et ZombieLoad

    Cybersécurité, Sécurité - posté le 15-05-2019 par Edouard CAMOIN

    Des articles récemment publiés font référence à une nouvelle faille de sécurité sur les processeurs Intel.

    Pour ces vulnérabilités du nom de RIDL, Fallout ou ZombieLoad, vous trouverez ci-dessous les CVEs en questions :

    protection données

    • CVE-2018-12127Microarchitectural Load Port Data Sampling (MLPDS)
    • CVE-2018-12126 Microarchitectural Store Buffer Data Sampling (MSBDS)
    • CVE-2018-12130Microarchitectural Fill Buffer Data Sampling (MFBDS)
    • CVE-2018-11091Microarchitectural Data Sampling Uncacheable Memory (MDSUM)

    À la connaissance d’Intel, il n’y a eu aucune utilisation de ces vulnérabilités en dehors du milieu de la recherche. 

    Les anciennes générations de processeurs proposées par 3DS OUTSCALE sont actuellement impactées par ces vulnérabilités. En revanche, les nouvelles générations de processeurs (Skylake) ne sont pas impactées.

    Au vu de la complexité de l’attaque et des prérequis nécessaires, l’exploitation de ces vulnérabilités reste hautement théorique. Cependant, il est possible pour les clients de 3DS OUTSCALE de s’assurer de ne pas partager d’hyperviseurs avec d’autres clients en utilisant l’option Dedicated (https://wiki.outscale.net/pages/viewpage.action?pageId=43061413#id-%C3%80proposdesinstances-Allocationdesinstancesetinstancesd%C3%A9di%C3%A9es). Cela permet de mitiger de manière certaine la vulnérabilité vis-à-vis d’attaquant externe.

    Aussi, une montée de version de nos serveurs est prévue dans les prochains jours afin de mitiger certains aspects de ces vulnérabilités (notamment le ciblage de la donnée).

     

    Nous restons bien évidemment en veille de sécurité continue sur le sujet. 3DS OUTSCALE travaille en étroite collaboration avec les équipes Intel et ses autres fournisseurs afin de mitiger et corriger les vulnérabilités de ce type dès le moment où elles sont découvertes.

     

    À propos de l'auteur : Edouard CAMOIN

    Since 2015, Edouard Camoin has been in charge of information systems security at 3DS OUTSCALE and his mission is to manage information security risk management and the implementation of security solutions necessary to protect data hosted by 3DS OUTSCALE's customers. Edouard Camoin holds a DUT in computer science from Paris Descartes University and a master's degree in information systems security from Rouen University. He obtained ISO/IEC 27001 Lead Implementer certification in February 2018.

    Commentaires