Pourquoi Amazon redémarre 10% de ses serveurs cloud
Amazon affirme qu'un patch est nécessaire pour l'hyperviseur Xen. C'et la raison pour laquelle l'entreprise a besoin de redémarrer jusqu'à 10% de ses serveurs cloud dans les prochains jours.
Amazon Web Services a publié un billet de blog, jeudi dernier, fournissant quelques détails sur les raisons pour lesquelles il doit redémarrer 10% de ses serveurs cloud. La vulnérabilité dite Shellshock n'y est pour rien. Amazon affirme que ses serveurs Elastic Compute Cloud (EC2) seront dans le monde entier touchés par ce qu'il définit comme une «sécurité en temps opportun et une mise à jour opérationnelle" liées à son hyperviseur open source Xen.
"Comme nous l'avons expliqué dans des emails et sur nos forums, un petit pourcentage de nos clients est touché, de manière limitée puisque les instances qui ont besoin de la mise à jour nécessitent un redémarrage du système du matériel sous-jacent et ne seront pas disponibles pendant quelques minutes, le temps que les correctifs soient appliqués et que l'hôte soit en cours de redémarrage. "
Aucun lien avec Shellshock
Il semble que ce soit juste une coïncidence si une mise à jour de cet hyperviseur se passe au moment même où les experts en sécurité ont identifié une vulnérabilité majeure dans le code Linux, connue sous le nom Bug Bash, qui est un double de Shellshock. Les responsables d'AWS assurent que les deux événements ne sont pas liés. Amazon traite probablement de nombreuses vulnérabilités chaque jour et chaque semaine, explique Jesse Proudman, fondateur et CTO du cloud provider Blue Box mais ce bug sur Xen est différent parce qu'il affecte l'hyperviseur qui crée des machines virtuelles et que la seule façon de patcher correctement le système est de le redémarrer.
"Alors que la plupart des mises à jour logicielles sont appliquées sans un redémarrage, certains types limités de mises à jour en nécessitent un. Les cas nécessitant un redémarrage seront décalés, de sorte que deux régions ou zones de disponibilité sont touchées en même temps, ils vont repartir avec toutes les données enregistrées et toute la configuration automatique intacte. La plupart des clients ne devraient pas rencontrer de problèmes importants avec les redémarrages. Nous comprenons que pour un petit nombre de clients le redémarrage sera plus incommode, nous ne provoquerions pas d'inconvénients pour nos clients si cette mise à jour n'était aussi importante".
Shellshock ne nécessite pas de redémarrage
AWS affirme que les mises à jour doivent être faites avant le 1er octobre, lorsque les détails de la faille Xen sont rendues publiques dans le cadre de la mise à jour Xen versionCSX-108. « Attendez-vous à ce moment d'avoir de la part d'AWS et de la communauté Xen plus de détails sur la faille de sécurité spécifique qui est patchée », note Jesse Proudman. Il soupçonne que le problème est probablement lié au défaut CVE-2014-7155 dans le code Xen, qui a été annoncé mercredi. Il a été constaté que le bug peut être exploité par un pirate pour augmenter ses accès privilèges, ce qui lui permet de glaner potentiellement des accès à d'autres machines virtuelles. En revanche, une question comme Shellshock est quelque chose qui peut être corrigée dans le code Linux et ne nécessite pas un redémarrage de la machine.
Jesse Proudman explique encore que le CVE 7155 a été dans le code Xen depuis la version 3.2, qui existait encore en 2008, il dit que les clients ne devraient pas être trop inquiets au sujet de la situation qui s'est installée depuis. Amazon va mettre à jour l'ensemble de ses machines touchées, en livrant plus de détails sur les vulnérabilités de sécurité, rendues publiques le 1er Octobre. Jesse Proudman dit qu'AWS a fait la meilleure chose possible en mettant à jour ses systèmes et en redémarrer les machines des clients, même si cela peut causer un certain stress dans les prochains jours.
