IMG_1311

Runecast : vous ne pourrez plus dire que vous ne saviez pas !

EDIT: quelques compléments d’info sur le mode de licensing, comme prévu.

La virtualisation a envahi l’ensemble des segments de nos productions, y compris les plus sensible comme les DMZ d’une solution de pare-feu périmétrique, jusqu’à la publication de machines virtuelles directement exposées aux réseaux publics, Internet en tête.

Mais, comme vous le savez certainement, tout cela repose sur le principe qu’un hyperviseur tel qu’ESXi assure les fonctions d’isolation sans faille et, par extension, que toute la chaîne de virtualisation reste le plus sécurisé et à jour possible. Autant dire que le travail quotidien d’entretenir et maintenir ces environnements est extrèmement chronophage et impose une rigueur à toute épreuve dans le suivi des KB et des best-practices VMware.

Dans ce contexte, la société Runecast a développé un outil assez génial pour automatiser au moins tout le travail d’audit de cette conformité, autant en matière de sécurité qu’en matière de correctifs plus généraux.

Voyons cela de plus près !

Lire la suite …

java-evil-edition

Démarrer le client XtremIO sur Java 1.7/1.8

Je vais rester calme, posé et ne pas me lancer dans une diatribe sur Java (même si cela me démange furieusement), il faut rester fort face à l’adversité ! Et même mieux, je vais être constructif et vous proposer une petite bidouille pour vous permettre de démarrer un client XtremIO avec les JVM 1.7/1.8 si d’aventure celui-ci refuse obstinément de se lancer.

Lire la suite …

IMG_5742

Shellshock : bash dans la tourmante

English sum-up :
A little post concerning the “ShellShock” bash vulnerability. A real potentially “explosive” threat for the IT administrators.

Une fois n’est pas coutume, je ne vais pas parler de stockage ou de virtualisation aujourd’hui ! En fait, le sujet est relativement grave et potentiellement explosif, il s’agit de la fameuse faille du shell “bash”, récemment révélée par un administrateur français travaillant chez Akamaï, le fournisseur de CDN bien connu.

Pour résumer, il s’agit d’un problème assez profond lié à l’interprétation des définitions de variable de bash. Ce défaut dans l’analyse des variables d’environnement permet d’injecter du code et le faire exécuter par l’interpréteur. Techniquement, c’est assez simple à comprendre et vous trouverez des explications précises dans les billet référants en fin d’article. Le danger ici c’est que bash est utilisé par énormément de serveurs (des dizaines de million) mais également par certains services web de type CGI, ce qui ouvre la porte à l’exécution potentielle de code à distance, via une requête spécifique, un peu à la manière des failles plus classiques d’injection de code SQL.

L’ampleur de la tâche qui attend les administrateurs Unix du monde entier tient en fait à la nécessité, d’une part, de patcher les systèmes exécutant l’ensemble des services web exposés, mais aussi, sans doute, de revoir profondément la plupart du code de ces service ! En effet, d’après une discussion récente sur les forums Open Source GNU, il semble que malgré les corrections récentes du code de bash pour contrer les premiers PoC, certaines commandes comme ‘cat’ provoquent toujours cette injection de code. Certains vont même jusqu’à évoquer qu’un virus de type vers pourrait sans doute être particulièrement virulent s’il exploitait cette faille majeure.

Dans la pratique, pour nous, administrateurs, il est nécessaire de rester particulièrement vigilants, notamment sur nos services web exposés à la jungle d’Internet. En outre, et je pense que c’est le plus important, il faut absolument casser le mythe très répandu dans la communauté Unix/Linux qui consiste à imaginer que ce type de système est intrinsèquement protégé des virus et malware en tout genre. Comme toujours, connaitre son ennemi et surtout ne pas le sous-estimer, c’est la première pière d’une politique de sécurité efficace.

Pour terminer, coté VMWare et EMC, sachez que les deux sociétés sont actuellement en pleine investigation pour vérifier le niveau d’exposition des logiciels utilisés dans leurs solution. VMWare dispose d’un KB dédié ICI. EMC a également un KB ICI.

Sources : présentation du Shellshock sur silicon.fr, une explication technique de la faille, Le thread de discussion sur GNU.