Sécurité

Consulter le centre de compétences

Les bogues de VMWare soulignent les failles de la virtualisation


Edition du 21/09/2007 - par Marie Caizergues

La découverte de nouvelles failles de sécurité dans les logiciels de VMWare met l'accent sur certaines faiblesses propres à la virtualisation.

Alors que la virtualisation se glisse de plus en plus dans les systèmes d'information, une équipe de chercheurs IBM a mis la main sur une série de failles touchant de près ESX Server. Si VMWare, son éditeur, comblait dans la foulée cette série de douze trous dans une mise à jour livrée hier jeudi 20 septembre, cet épisode mettait en avant les quelques faiblesses d'une technologie très à la mode.
Les trois failles, pointées du doigt par IBM et jugées critiques pour les utilisateurs d'ESX Server, frapperait le serveur DHCP (Dynamic Host Configuration Protocol) livré avec l'application. Ce logiciel, qui répartit les adresses IP entre les différentes machines virtuelles, pourrait ainsi servir à prendre la main à distance sur le serveur.
Pour Tom Cross, chercheur à l'Internet Security Group d'IBM : « en prenant le contrôle de la machine, l'attaquant peut accéder à n'importe quelle machine virtuelle présente. » Un point gênant car les chercheurs - et les entreprises - utilisent souvent des machines virtuelles pour isoler certaines applications sensibles.
Un danger confirmé par Dave Aitel, directeur technique d'Immunity, un éditeur spécialisé dans la sécurité. « Les serveurs font souvent tourner une application vulnérable sur une machine virtuelle et ont des informations confidentielles sur une autre, isolées par VMWare. VMWare ESX est devenu très populaire parmi les environnements hôtes, ce type de bogue peut prendre des proportions effarantes si vous trouvez une faille distante sur une machine virtuelle. »
Les machines virtuelles, prochaines bêtes noires des éditeurs
Une autre faille, découverte par les équipes de McAfee, permettrait également de prendre le contrôle de machines virtuelles, mais elle serait plus complexe à mettre en place. Toutefois, pour David Marcus, chercheur chez McAfee, l'existence même de ces exploits va pousser les chercheurs en sécurité informatique à s'intéresser de plus près aux machines virtuelles : « si vous pouvez attaquer une machine virtuelle et de là passer sur le système d'exploitation hôte, alors vous avez la mainmise sur toutes les machines virtuelles présentes. »


Sur le même sujet

Lire notre dossier - VMWorld 2007 : la virtualisation consacrée

Imprimer Envoyer Contact Rss
Facebook Twitter Wikio Google Fuzz Digg-France

Partager


L'ACTUALITÉ DU JOUR
Décisionnel Conférence LMI/CIO : Améliorer la qualité des données au service des métiers

(02/09/2010 18:21) - Les outils décisionnels sont le moteur des décisions prises dans l'entreprise en (...)

Sécurité IBM publie son classement X-Force des vulnérabilités web

(02/09/2010 17:54) - Le rapport établi par IBM, qui classe les éditeurs en fonction de leur assuidité (...)

Architecture logicielle Un accès gratuit à JavaOne pour les étudiants

(02/09/2010 17:22) - Pour inciter la jeune génération de développeurs à s'intéresser au langage Java et (...)

Business HP propose 33 dollars et Dell renonce (MAJ)

(02/09/2010 16:44) - A quelques minutes de la fin de la période pour surenchérir sur l'offre d'HP, (...)

Architecture logicielle WMworld 2010 : Les annonces produits du salon

(02/09/2010 16:27) - VMware vCloud Director (...)

Infrastructure serveur VMworld 2010, le salon des rivalités VMware/Microsoft, a fermé ses portes

(02/09/2010 16:11) - Retour en 10 points sur le VMWorld 2010 qui clôture ses portes ce jeudi. 1. Cette (...)

LE TOP
  1. La téléphonie IP de Google, menace Skype (MAJ)
  2. Cisco corrige le bug qui a crashé 1% du Net
  3. Un brevet d'Apple pourrait sonner le glas du jailbreaking
  4. Avec l'architecture Bulldozer, AMD mise sur les unités de calcul nombres entiers
  5. Les systèmes informatiques du Pentagone attaqués par une clef USB





CONFERENCES
21/09/2010
DECISIONNEL
De 8h30 à 14h00 au Pavillon Dauphine - Paris 16e
conférences
TOUTES LES
CONFERENCES
PARTNER ZONE
Partner zone Intel Info Center
Partner zone Verisign Partner zone EMC Backup Zone
Partner Zone Oracle Partner zone Oracle
LIVRES BLANCS
Accélérer et fiabiliser les décisions 3 septembre 2010 - SAP
Accélérer et fiabiliser les décisions
Ce document explique comment rassembler des informations fiables et facilement accessibles, à partir de systèmes informatiques intégrés et efficaces, et (...)
3 septembre 2010 - SAP
Comment l'informatique peut-elle vous aider à prendre une décision rapide et efficace ?
3 septembre 2010 - SAP
Disposer d'une vue d'ensemble : un guide d'entreprise permettant une meilleure prise de décision grâce aux technologies de l'information