Microsoft corrige un bug de sécurité affectant Windows Azure

Microsoft a actualisé le SDK de Windows Azure afin de corriger une vulnérabilité pouvant exposer les informations contenues dans les cookies développées pour fonctionner sur la plate-forme cloud. 

Le bug concerne les sites web et les services Internet qui utilisent des cookies pour conserver certaines informations de statut entre deux sessions de navigation, et fournir aux clients de Microsoft qui gèrent des sites web sur Azure certaines informations générées par les visiteurs pendant leur connexion. Quand le processus fonctionne correctement, le cryptage des cookies fait que « les clients peuvent constater que des informations de statut sont effectivement transmises, mais sans qu'ils soient en mesure ni de les voir, ni de les modifier » a indiqué Microsoft. La faille identifiée rend visible ces informations contenues dans le cookie. « Ce problème affecte les applications développées avec ASP.NET et utilisant la nouvelle fonctionnalité « Full IIS» du SDK v1.3 qui implémente le Web Role (en charge de traiter les requêtes HTTP/HTTPS) » a indiqué la firme de Redmond. « Dans le cas où ces Web Roles sont vulnérables, le client peut voir le contenu des informations de statut (sans pouvoir les changer). La confidentialité du contenu n'étant plus assurée, la sécurité du site web se trouve compromise. » Les clients Azure concernés par ce problème doivent télécharger la mise à jour du SDK, redéployer leurs applications et vérifier que le correctif assure son rôle. Des instructions pour la mise en oeuvre du correctif sont disponibles sur le blog de Windows Azure. En plus de ce correctif spécifique, l'éditeur doit corriger cette semaine 22 bogues, conformément à son calendrier Tuesday Patch mensuel. Toutes les versions de Windows doivent recevoir plusieurs correctifs critiques. Pus Internet Explorer, qui n'échappe pas à cette campagne de correctifs.

L'annonce de configurations Extra Small

Indépendamment de ces annonces de sécurité, Microsoft a annoncé qu'il offrirait des instances de calcul  « de très petite taille » dans Windows Azure. Avec la nouvelle version bêta publique, l'entreprise veut apporter aux développeurs un moyen peu onéreux de démarrer avec le Cloud computing. En effet, Microsoft a fixé le prix de ces mini instances de calcul dans Windows Azure à 5 centimes de l'heure, contre 12 à 96 centimes actuellement pour les quatre offres d'instances de calcul de plus grandes tailles. La nouvelle instance se compose d'un CPU à 1GHz, de 768 Mo de mémoire vive, 20 Go de capacité de stockage, et des performances I/O inférieures aux configurations plus conséquentes. Des instances de deuxième niveau avec un CPU de 1.6GHz, 1.75GB de mémoire vive et 225 Go de stockage, plus une meilleure performance I/O sont également proposées. L'éditeur indique que ces instantes de petite taille, disponibles en version bêta privée depuis octobre dernier, ont reçu un très bon accueil.

« Cette configuration de petite taille permet aux développeurs d'accéder à un environnement de développement et de test à un prix très avantageux, » a indiqué Microsoft. « Les développeurs peuvent également utiliser la configuration Extra Small pour tester des solutions cloud à un moindre coût.» La version bêta publique est accessible à tous. Les petites instances Windows Azure proposées par Microsoft sont semblables aux configurations « micro » proposées par son concurrent Elastic Compute Cloud (ECC) d'Amazon. Aujourd'hui, un an après son lancement commercial,  Windows Azure compte 31 000 abonnés actifs et héberge 5 000 applications.