septembre, 2008

Après le rachat, puis le toilettage de VirtualBox, gestionnaire de machines virtuelles pour stations de travail, Sun annonce la sortie de xVM Server. Une contre-attaque très attendue, qui vient se jeter sur les brisées de Microsoft, Citrix et VMWare notamment. Tout comme Xen et ESXi, cet xVM se suffit à lui-même et ne nécessite pas de système h�te.

Là encore cela n´étonnera personne, puisque xVM part d´un socle Xen dont le noyau Linux a été remplacé par un Open Solaris. Ossature Open source, moteur Open Source, xVM sera téléchargeable gratuitement dès le début du mois prochain. Notons au passage que la version de Microsoft HyperV « non intégrée à 2008 server » (les américains disent « bare metal ») devrait être téléchargeable gratuitement dès le début octobre également.

Mais revenons à xVM. Ses systèmes invités officiellement conseillés sont Windows (serveur 2008 y compris), Solaris, Open Solaris et Linux RH, version 64 bits affirment les documents techniques. Un xVM Ops Center V2, console d´administration et ses agents associés, est également mis en vente. Elle permettrait de gérer le fonctionnement, l´équilibrage mais également la migration d´une machine d´une plateforme à une autre, sans interruption (live migration). Est également compris dans les services les plus haut de gamme de xVM Ops Center la haute disponibilité, le provisionnement des VM et des noyaux, les déploiements de mises à jour, la gestion de parc et le contr�le-supervision des bases matérielles. Si l´on excepte la version d´entrée de gamme, très limitée, Ops Center, selon les modules de services fournis, sera vendu 500 dollars par an en édition Premium, 2000 $ sous l´appellation xVM Infrastructure Enterprise et 5000$ pour xVM Infrastructure Datacenter.

Des nouvelles de Terry Childs, l’ingénieur informaticien brimé par sa hiérarchie qui, pour se venger, avait chiffré une grande partie des données de la ville de San Francisco. En oubliant bien entendu de confier la clef à son successeur. Le SF Chronicle, dans un très court papier, nous apprend que les conséquences de cet acte coûteront à la ville près de 1 million de dollars. Un chiffre astronomique, qui mérite une lecture attentive. En fait, les conséquences du hack de Childs se chiffreraient à moins de 15 000 dollars de surcroît de travail et 182 000 dollars pour corriger la situation. Chiffre qui, par le jeu des estimations et du taux de facturation des entreprises de conseil, ne reflète probablement pas exactement le dol réel.

Le million de dollars, quant à lui, représente le montant nécessaire à la refonte du système informatique ( consultants and upgrades to the network). C’est donc là un travail qui de toute manière aurait été nécessaire tôt ou tard, une nécessité que l’acte désespéré de Childs n’a fait que mettre en évidence.

Mais ce n’est pas tout… derrière cette manchette tapageuse se déroule un mini drame moins spectaculaire et certainement plus inquiétant. Quelque part, dans l’écheveau de câbles et de routeurs du réseau de San Francisco, se cache un RAS, un accès distant, probablement un routeur posé par Terry Childs, ou qui s’annonce comme tel. La présence de l’équipement aurait été sniffée fin août, et, l’on s’en doute, personne n’a pu y ouvrir une session faute de crédence d’administration valide. L’emplacement même de l’intrus est inconnu. Il faut préciser que SF est un véritable paradis pour poseur de fibres, et il n’est pas certain que la cartographie physique des raccordements soit parfaitement dressée. Retrouver une adresse MAC à l’échelon d’un MAN n’est pas une mince affaire, surtout si le port en question a été posé par une personne compétente et ne souhaitant pas se faire repérer. La mission n’est pas impossible mais risque d’être fastidieuse.

Pendant ce temps, Terry Childs attend d’être jugé. Sa caution a été fixée à 5 millions de dollars ce qui, au cours moyen du consultant Californien, correspond à peu près au coût du chantier de mise à niveau de Los Angeles.

C’est principalement le ZDI qui est à l’origine de ces découvertes de failles : au total, Apple corrige 9 trous dans Quicktime, versions touchant indifféremment les éditions Windows et OS/X. Certaines exploitations peuvent exceptionnellement conduire à une exécution de code à distance, la plupart ne pourrait, estime l’éditeur, que conduire à un déni de service.

Signalons au passage que la précédente fournée de correctifs Quicktime fait l’objet d’un commentaire composé sur GNU Citizen, sous la plume de PdP. Ce papier constitue à priori le premier volet d’une série, une suite abordant les conséquences de l’attaque décrite devant être publiée avant la fin de cette semaine.

Il ne fera probablement pas date, ce Patch Tuesday de septembre 2008. 4 bulletins, pas un de plus, et exceptionnellement pas le moindre « I.E. cumulative ». Une vulnérabilité dans la gestion des URI sous OneNote, hautement critique mais peu encline à inspirer les auteurs de malware, compte tenu de l’importance très relative du logiciel affecté. Un patch attendu du Media Encoder 9, un autre destiné à Media Player 11, bref, jusqu’à présent, pas de quoi inquiéter tout ce qui touche à l’informatique d’entreprise.

La dernière faille, MS08-052, pose en revanche plusieurs problèmes (http://www.microsoft.com/technet/security/bulletin/ms08-052.mspx). Elle est du bois dont on peut faire de belles flèches empoisonnées. Tout d’abord parce qu’elle fait partie de la famille des correctifs cumulatifs complexes et qu’elle touche un composant vital du noyau –il s’agit d’une série de failles GDI- et que la liste des programmes affectés est longue comme un jour sans pain. A l’heure où nous rédigeons ces lignes, il n’existe pas d’exploit « officiellement » répertorié s’attaquant à l’un de ces défauts. Ni sur Milw0rm, ni sur l’un de ses proches cousins white hat. Les seuls bulletins publiés à ce sujet en dehors du monde Microsoft relèvent de la sphère iDefense ou ZDI, et ne laissent par conséquent filtrer aucun renseignement supplémentaire. Les tests de non-régression peuvent donc être envisagés avec une certaine sérénité.

Et ce ne sera pas du luxe. Cette rustine n’est pas, dans le cadre d’un déploiement d’envergure, particulièrement simple à appliquer. Car elle peut tout aussi bien colmater une faille système ou un trou situé dans une application. L’on risque donc de devoir prévoir des mises à jour multiples, en plusieurs « passes ». Bill Sisk, dans son désormais traditionnel billet « post-patch », insiste particulièrement sur l’éventuelle complexité du déploiement. « I encourage you to review the bulletin carefully, since there are other considerations to keep in mind when planning your deployment strategy » insiste-t-il. Ce genre d’insistance est assez rare pour que l’on en tienne doublement compte.

Plusieurs blogs et témoignages relatent une déclaration de Bob Muglia, déclaration qui concernent les retards de certaines parties de l’hyperviseur intégré dans 2008 Server. Selon le VP de la division Serveurs, le Live Migration d’HyperV ne verra pas le jour avant la sortie, prévue en 2010, de Windows Server 2008 « R2 ». Live Migration est le concurrent potentiel du VMotion de VMWare, programme qui permet de déplacer une VM en cours d’exécution d’un serveur physique à un autre. C’est donc un élément stratégique pour toute DSI cherchant à assurer soit une continuité de service reposant sur une architecture virtualisée, soit un équilibrage de charge dynamique dans le cadre d’un centre de traitement.

D’ici là, on peut être certain que VMWare saura mettre à profit cette période de flottement pour conforter ou accroître son avance technique.