Infrastructure

Inscrivez-vous

Les bogues de VMWare soulignent les failles de la virtualisation

Edition du 21/09/2007 - par Marie Caizergues

La découverte de nouvelles failles de sécurité dans les logiciels de VMWare met l'accent sur certaines faiblesses propres à la virtualisation.

Alors que la virtualisation se glisse de plus en plus dans les systèmes d'information, une équipe de chercheurs IBM a mis la main sur une série de failles touchant de près ESX Server. Si VMWare, son éditeur, comblait dans la foulée cette série de douze trous dans une mise à jour livrée hier jeudi 20 septembre, cet épisode mettait en avant les quelques faiblesses d'une technologie très à la mode.

Les trois failles, pointées du doigt par IBM et jugées critiques pour les utilisateurs d'ESX Server, frapperait le serveur DHCP (Dynamic Host Configuration Protocol) livré avec l'application. Ce logiciel, qui répartit les adresses IP entre les différentes machines virtuelles, pourrait ainsi servir à prendre la main à distance sur le serveur.

Pour Tom Cross, chercheur à l'Internet Security Group d'IBM : « en prenant le contrôle de la machine, l'attaquant peut accéder à n'importe quelle machine virtuelle présente. » Un point gênant car les chercheurs - et les entreprises - utilisent souvent des machines virtuelles pour isoler certaines applications sensibles.

Un danger confirmé par Dave Aitel, directeur technique d'Immunity, un éditeur spécialisé dans la sécurité. « Les serveurs font souvent tourner une application vulnérable sur une machine virtuelle et ont des informations confidentielles sur une autre, isolées par VMWare. VMWare ESX est devenu très populaire parmi les environnements hôtes, ce type de bogue peut prendre des proportions effarantes si vous trouvez une faille distante sur une machine virtuelle. »

Les machines virtuelles, prochaines bêtes noires des éditeurs
Une autre faille, découverte par les équipes de McAfee, permettrait également de prendre le contrôle de machines virtuelles, mais elle serait plus complexe à mettre en place. Toutefois, pour David Marcus, chercheur chez McAfee, l'existence même de ces exploits va pousser les chercheurs en sécurité informatique à s'intéresser de plus près aux machines virtuelles : « si vous pouvez attaquer une machine virtuelle et de là passer sur le système d'exploitation hôte, alors vous avez la mainmise sur toutes les machines virtuelles présentes. »

Sur le même sujet

Lire notre dossier - VMWorld 2007 : la virtualisation consacrée .

Rejoignez reseaux-telecoms.net, commentez cet article
Nombre de commentaires postés (0) - Lire tous les commentaires

L'ACTUALITÉ DU JOUR

SFR teste le livre électronique

Afin de préparer la commercialisation d'une offre eBook en fin d'année, SFR propose (...)

Le bachelor reprend du service en alternance dans la sécurité et les réseaux

L'Ectei, l'une des écoles d'ingénieurs du groupe Ece (Ecole centrale d'électricité) (...)

Jean-François Copé : « Si les opérateurs mobiles touchent à leurs tarifs, on ouvrira une quatrième licence, ça va les calmer »

Selon notre confrère 20minutes.fr, Jean-François Copé vient d'en rajouter une couche (...)

Le rapprochement SFR-Neuf Cegetel se solde par 450 suppressions de postes

Quelques jours après avoir mis la main sur la totalité de Neuf Cegetel, SFR a annoncé (...)

Contenus exclusifs : Canal+ vitupère contre Orange qui joue les anguilles

La conférence « Economie Telecoms 2008 », organisée par Les Echos à La Défense le (...)

Numericable propose la vidéo HD à la demande

Numericable se lance dans la HD. Pour ce faire, le câblo opérateur a signé des partenariats (...)

Opac de Paris : son réseau FTTH sera bâti par Alcatel-Lucent

Neuf Cegetel vise 100 000 foyers parisiens pour des services à très haut débit dans (...)

Articles récents

Infrastructure

Le bachelor reprend du service en alternance dans la sécurité et les réseaux

(03/07/2) - L'Ectei, l'une des écoles d'ingénieurs du groupe Ece (Ecole centrale d'électricité) (...)

Le choix du tout Open Source, pour l'informatique et la téléphonie, chez Landes Mutualité

(30/06/2) - Landes Mutualité est une mutuelle en forte croissance. En 5 ans, elle est passée (...)

13 pôles de compétitivité sur 71 n'ont pas atteint leurs objectifs

(26/06/2) - « On en remet pour trois ans et on remet un milliard et demi d'euros, a déclaré Nicolas (...)

Le top 5 de la frustration sur les sites Web

(26/06/2) - SDL Tridion, un fournisseur de solution de gestion de contenu sur le web, a listé (...)

Derniers dossiers

Tous les dossiers

(22/05/2008)

Les premiers pas du poste de travail virtuel

Fonctionnant sur le principe des serveurs virtuels, le poste de travail virtuel additionne la plupart des avantages du client léger traditionnel et du PC classique, sans trop remettre en cause l'existant. On gagne même en souplesse.

LIVRES BLANCS

	> 23 juin 2008 - Les appliances Steelhead et Steelhead Mobile : une collaboration en temps réel pour Golder Golder Associates voulait une bonne performance WAN pour son intranet. Le boitier Steelhead de Riverbed était rapide et s'est facilement intégré au réseau Cisco. Steelhead Mobile a amélioré la performance des utilisateurs nomades.

	> 20 juin 2008 - Forrester Consulting : Optimizing Users And Applications In A Mobile World Cette étude réalisée par Forrester Research Inc pour la société Riverbed Technology porte sur le thème "Optimizing Users And Applications In A Mobile World". Pour en savoir plus ....

	> 5 juin 2008 - Comment garantir la sécurité de l'entreprise étendue? Comment garantir la sécurité de l'entreprise étendue ? Ce Cahier Thématique propose un panorama des services de sécurité qui entrent en oeuvre dans le cadre de l'entreprise étendue, fondé sur les analyses des experts de Verizon Business, RSA, Fortinet ou AlgoSec.

	> 30 avril 2008 - Importance de la BI : Evaluation des avantages de la Business Intelligence Dans toute société, grande ou petite, les collaborateurs sont amenés à prendre des dizaines de décisions par jour : accorder une remise à un client, réassortir le stock, etc. ces décisions reposent parfois sur des faits concrets, mais plus souvent sur les connaissances, sur l'expérience ou sur des règles élémentaires.

Tous les Livres Blancs | Par Date | Par Thèmes | Par Sponsors

PARTENAIRES

. Web-profils.com, la place de marché du conseil et de l'ingénierie

Copyright © Réseaux et Télécoms 2003-2008
Toute reproduction ou représentation intégrale ou partielle, par quelque procédé que ce soit, des pages publiées sur ce site, faite sans l'autorisation de l'éditeur ou du webmaster de Réseaux et Télécoms est illicite et constitue une contrefaçon. IT News Info s'est engagé à respecter la confidentialité des données personnelles régies par la loi 78-17 du 6 janvier 1978.

	A propos	Contacts

Les sites d'IT News Info : Actualité du monde IT -Sécurité des systèmes d'information - Management des systèmes d'information - Actualité des grossistes informatiques - Actualité high tech et usage du numérique