Pour gérer vos consentements :

La semaine dernière Red Hat a constaté une intrusion sur les sites de la communauté Ceph (Ceph.com) et Inktank (download.inktank.com). L’éditeur indique que les sites sont hébergés en dehors de ses infrastructures. Ceph est un projet Open Source sur le stockage. Il se propose de remplacer les ressources de stockage existantes par une couche de virtualisation qui peut fonctionner en mode bloc, objet (à travers des API pour S3 d’Amazon ou de Swift d’OpenStack) ou système de fichiers. Une initiative à laquelle croit beaucoup Red Hat qui fait de Ceph, la base de sa solution SDS (Software Defined Storage). Pour cela, il avait acquis Inktank en avril 2014, spécialiste de cette plateforme de stockage distribué.

Dans son rapport de sécurité, Red Hat souligne qu’une enquête est en cours. « Notre objectif initial est de s’assurer de l’intégrité du canal logiciel et distribution sur les deux sites », précise l’éditeur américain. Côté bonnes nouvelles, les premiers éléments de l’enquête montrent qu’aucun code disponible en téléchargement sur les sites n’a été compromis. Mais Red Hat relativise en déclarant « ne pas exclure que du code compromis ait été disponible en téléchargement à un moment donné par le passé ».

Modification des clés de signature

Ce risque concerne aussi bien Ceph pour CentOS, mais également Ceph pour Ubuntu, car les deux sont téléchargeables sur download.inktank.com. C’est surtout du côté des signatures que le bât blesse. Les deux distributions disposent d’une clé de signature Inktank (id 5438C7019DCEEEAD). De plus, Ceph.com fournit des packages pour les versions communautaires du projet avec une clé de signature Ceph (id 7EBFDD5D17ED316D). Or Red Hat a indiqué ne « plus faire confiance à l’intégrité des clés Inktank et a donc choisi de resigner cette version de produits de stockage Ceph avec une clé standard de Red Hat. Et les clients ne pourront dorénavant utiliser que ces versions ». Idem sur Ceph.com où la communauté a créé une nouvelle clé de signature (id E84AC2C0460F3994) pour vérifier les téléchargements.

Red Hat précise que d’autres sites comme download.ceph.com ou git.ceph.com n’ont pas été touchés par le piratage. Pour la communauté Ceph, le choix a été de reconstruire les sites et de changer d’hébergement. Red Hat souligne qu’aucune donnée client n’était sur les serveurs.

A lire aussi :

Stockage : Suse lance son offre de SDS en bêta basée sur Ceph
Avec Ubuntu Advantage Storage, Canonical veut faciliter le SDS

Crédit Photo : Andrey VP-Shutterstock

Recent Posts

Après la NAND, Intel dit stop à la gamme Optane

Après avoir vendu son activité NAND, Intel tire un trait sur la technologie 3D XPoint,…

2 semaines ago

Google Analytics : la Cnil a posé les règles du jeu

Près de six mois ont passé depuis de que la Cnil a déclaré l'usage de…

2 semaines ago

Truffle 100 France : le top 20 des éditeurs de logiciels

Truffle 100 France : qui sont les 21 entreprises qui ont dépassé, en 2021, les…

2 semaines ago

Cloud : AWS brocarde les politiques de licences Microsoft

Un dirigeant d'Amazon Web Services dénonce des "changements cosmétiques" apportés par Microsoft à ses politiques…

2 semaines ago

Sécurité du code au cloud : Snyk Cloud, un joker pour développeurs

Snyk officialise le lancement de sa solution de sécurité cloud pour développeurs, Snyk Cloud, fruit…

2 semaines ago

Cegid accroche Grupo Primavera à son tableau d’acquisitions

Cegid va absorber Grupo Primavera, plate-forme de logiciels de gestion d'entreprise née dans la péninsule…

2 semaines ago