Publié par Guillaume Champeau, le Lundi 05 Novembre 2012

Le code source du noyau de VMware ESX divulgué par Anonymous

Sans en expliquer l'origine, un Anonymous a publié le code source du noyau de la solution professionnelle de virtualisation VMware ESX. Les conséquences de la fuite sont pour le moment difficiles à mesurer.

Stun, un hacker utilisant la bannière Anonymous, a publié sur un site de liens BitTorrent et via Twitter le code source d'un noyau du logiciel VMware ESX, un hyperviseur destiné à être installé sur des serveurs, qui permet de lancer plusieurs machines virtuelles en parallèle sur un même système. Dans un message accompagnant le code source, le hacker explique qu'il a choisi de divulguer le code source du noyau, daté de 1998 à 2004, pour obliger VMware a modifié profondément le noyau des nouvelles versions.

En divulguant le code source, Stun permet aux hackers de l'étudier et de découvrir les failles du noyau, qui peuvent être exploitées pour toutes sortes d'attaques. De nombreux services étant hébergés sur des solutions basées sur VMware ESX, les conséquences pourraient être importantes ; même si le noyau a évolué depuis 2004, ses fondamentaux n'ont sans doute pas beaucoup évolué. "Il s'agit du VMKernel entre 1998 et 2004, mais comme nous le savons tous, les noyaux ne changent pas tant que ça dans les programmes, ils sont étendus ou adaptés, mais certaines fonctionnalités au coeur restent les mêmes", s'amuse l'Anonymous.

Sur son blog, VMware a reconnu l'authenticité du code source, en expliquant que sa divulgation est liée à une précédente fuite reconnue en avril 2012. A l'époque, la société de Palo Alto avait expliqué qu'un seul fichier du code source avait été diffusé, mais qu'il était "possible que d'autres fichiers soient publiés à l'avenir". Elle ajoutait que la fuite "ne veulent pas nécessairement dire qu'il y a un risque accru pour les clients de VWware". Quelques jours plus tard, la firme encourageait ses clients à appliquer des patchs de sécurité.

Cette fois encore, VMware dit vouloir enquêter sur les conséquences éventuelles de la fuite, avant de fournir ses recommandations aux clients. A aucun moment la société n'a nié que le code source de 2004 était toujours utilisé, au moins partiellement, dans ses produits vendus aujourd'hui, huit ans plus tard.

Publié par Guillaume Champeau, le 5 Novembre 2012 à 13h56
 
11
Commentaires à propos de «Le code source du noyau de VMware ESX divulgué par Anonymous»
Inscrit le 11/03/2009
1693 messages publiés
Pour moi le danger est plus dans le risque d'exploitation du code source par un concurrent ou par les chinois que le risque de failles.
Inscrit le 16/06/2007
192 messages publiés
Avec un code source qui a plus de huit ans, et qui est incomplet... ce n'est pas demain que cela arrivera ! Si des chinois veulent vraiment créer une solution de virtualisation, ils suffit de se baser sur des solutions existantes open-source, comme VirtualBox (mais si ils modifient directement VirtualBox, tout le monde en profitera, cela s'appelle une contribution .
[message édité par BoucherieSanzot le 05/11/2012 à 14:16 ]
Inscrit le 20/11/2004
2126 messages publiés
En même temps, Sanzot, choper un code source libre, changer ce qui nous arrange, et vendre le tout sous licence non-libre, avec le code source non-fourni, ça se fait aussi, hélas.

De là à traiter les chinois de gros plagiaires salopant le boulot, rhooo, on va encore m'accuser de viser Apple.
Inscrit le 16/06/2007
192 messages publiés
Cela c'est déjà fait, et c'est légal avec des licences de type BSD, mais pas avec des licences de type GPL (Microsoft par ex. incorpore dans ses produits du code de logiciel open-source sous licence BSD) .

PS: Je t'en prie, appelle moi par mon prénom, Boucherie
[message édité par BoucherieSanzot le 05/11/2012 à 18:02 ]
Inscrit le 16/07/2004
913 messages publiés
Je dirais que Xen est plus approprié dans ce contexte,ESX et Xen ont pas mal de point commun sur leurs rôle et leurs fonctionnement en tant qu'hyperviseur,de plus Xen est GNU GPL
[message édité par DarKCaLLiSTo le 05/11/2012 à 14:38 ]
Inscrit le 16/06/2007
192 messages publiés
C'est vrai que VirtualBox est plus un concurrent de VMware workstation que d'ESX, mais il est sous licence GPL aussi !
[message édité par BoucherieSanzot le 05/11/2012 à 15:25 ]
Inscrit le 25/08/2009
1172 messages publiés
Inscrit le 12/03/2009
279 messages publiés
Les chinois n'ont pas besoin de vmware il suffit de partir des sources de xen ou de KVM pour avoir quelque chose de fiable et performant.

Pas besoin de réinventer la roue et si en plus ils contribuent en Open Source tout le monde sera gagnant...
Inscrit le 26/04/2007
11 messages publiés
"pour obliger VMware a modifié" => "pour obliger VMware à modifier"
Inscrit le 12/08/2011
1165 messages publiés
Inscrit le 10/01/2008
466 messages publiés
Ca permet de savoir si VMWare aurait violé un programme sous GPL.
Répondre

Tous les champs doivent être remplis.

OU

Tous les champs doivent être remplis.

FORUMS DE NUMERAMA
Poser une question / Créer un sujet
vous pouvez aussi répondre ;-)
Numerama sur les réseaux sociaux
Novembre 2012
 
Lu Ma Me Je Ve Sa Di
29 30 31 1 2 3 4
5 6 7 8 9 10 11
12 13 14 15 16 17 18
19 20 21 22 23 24 25
26 27 28 29 30 1 2
3 4 5 6 7 8 9