Le 24 juillet 2023 à 14h28 UTC, une vulnérabilité connue sous le nom de Zenbleed a été rendue publique sur la liste de diffusion de sécurité Openwall. Cette vulnérabilité affecte un certain nombre de processeurs AMD présents dans certaines, mais pas toutes, de nos offres DEV1, GP1 et VC Instance. Si elle est exploitée au bon moment, cette vulnérabilité pourrait permettre une fuite de données entre les instances, exposant potentiellement des données sensibles.
Scaleway a activé son processus de réponse à incident et à 17h20 UTC, toutes les machines affectées ont été patchés afin de contrecarrer la vulnérabilité.
Vous pouvez vérifier si votre instance a été patché en vérifiant la sortie de lscpu à partir de la ligne de commande. Si le nom du modèle est "AMD EPYC 7282" ou "AMD EPYC 7402P", vous pouvez vous attendre à un léger impact sur les performances en conséquence de la mise en place des mesures correctives. De plus, AMD a publié une mise à jour officielle du microcode pour les processeurs affectés et nous avons appliqué cette mise à jour dans le courant de la journée (25 juillet 2023).
⚠️ Notez qu'il n'est pas possible de savoir si la vulnérabilité a été exploitée sur une instance donnée. Si votre instance a été patchée, nous vous conseillons d'activer votre processus de réponse à incident - au minimum, faites une rotation de vos secrets et gardez un œil sur vos logs et autres outils d'observabilité.
Si vous avez d'autres questions ou préoccupations, n'hésitez pas à ouvrir un ticket de support ou à nous contacter sur notre communauté Slack publique.
Suite aux événements récents, vous êtes très nombreux à nous interroger sur nos pratiques et nos moyens de protection dans nos datacenters. Nous allons vous répondre avec un maximum de transparence.
