Heartbleed : VMware touché, Hyper-V épargné

Reynald Fléchaux,

La faille Heartbleed, touchant la librairie de cryptographie OpenSSL, fait des dégâts parmi les technologies de virtualisation. Microsoft échappe au jeu de massacre.

Après Cisco et Juniper, au tour d’un autre fournisseur majeur de l’IT – en l’occurrence VMware – de confirmer que ses produits sont affectés par la faille Heartbleed, touchant les communications cryptées via le protocole OpenSSL. Le spécialiste de la virtualisation prévoit que l’ensemble de ses produits affectés – et la liste est longue – seront mis à jour d’ici à dimanche, au plus tard. C’est déjà le cas pour Horizon Workspace Server (technologie de desktop virtualisés), pour lequel un patch a été mis à disposition dès lundi. Cette mise à jour permet d’installer la version 1.0.1g de la librairie OpenSSL, version expurgée de la faille Heartbleed.

Mais l’éditeur doit encore mettre à jour les clients Windows et Mac OS de Horizon Workspace, ainsi que ceux pour les plates-formes mobiles Windows, Android et iOS. Sans oublier une très longue liste d’autres produits n’entrant pas dans la gamme Horizon : ESXi 5.5, NSX-MH 4.x, NSX-V 6.0.x, NVP 3.x, vCenter Server 5.5, Fusion 6.0.x, OVF Tool 3.5.0, vCloud Automation Center (vCAC) 6.x, vCloud Networking and Security (vCNS) 5.1.3 et vCloud Networking et Security (vCNS) 5.5.1.

Citrix Netscaler et XenApp sur la liste

L’éditeur a mis en ligne une page répertoriant les produits affectés – ainsi que ceux qui ne sont pas touchés – et les méthodes de remédiation disponibles.

Selon les derniers chiffres d’IDC, au quatrième trimestre 2013, VMware représentait à lui seul 52 % des ventes de licences de technologies de virtualisationen Europe. Signalons que l’autre technologie de virtualisation majeure en Europe, Hyper-V de Microsoft (un tiers de parts de marché), n’est pas touchée par Heartbleed, le premier éditeur mondial n’utilisant pas la librairie open source OpenSSL.

De même, la faille épargne largement les produits Citrix, comme le confirme l’éditeur sur son site. Seules deux versions de XenMobile App Controler semblent concernées ; Citrix fournit un premier patch pour une de ces deux moutures.

En complément :

La faille Heartbleed fait ses premières victimes, dont le fisc canadien