La semaine dernière Red Hat a constaté une intrusion sur les sites de la communauté Ceph (Ceph.com) et Inktank (download.inktank.com). L’éditeur indique que les sites sont hébergés en dehors de ses infrastructures. Ceph est un projet Open Source sur le stockage. Il se propose de remplacer les ressources de stockage existantes par une couche de virtualisation qui peut fonctionner en mode bloc, objet (à travers des API pour S3 d’Amazon ou de Swift d’OpenStack) ou système de fichiers. Une initiative à laquelle croit beaucoup Red Hat qui fait de Ceph, la base de sa solution SDS (Software Defined Storage). Pour cela, il avait acquis Inktank en avril 2014, spécialiste de cette plateforme de stockage distribué.
Dans son rapport de sécurité, Red Hat souligne qu’une enquête est en cours. « Notre objectif initial est de s’assurer de l’intégrité du canal logiciel et distribution sur les deux sites », précise l’éditeur américain. Côté bonnes nouvelles, les premiers éléments de l’enquête montrent qu’aucun code disponible en téléchargement sur les sites n’a été compromis. Mais Red Hat relativise en déclarant « ne pas exclure que du code compromis ait été disponible en téléchargement à un moment donné par le passé ».
Ce risque concerne aussi bien Ceph pour CentOS, mais également Ceph pour Ubuntu, car les deux sont téléchargeables sur download.inktank.com. C’est surtout du côté des signatures que le bât blesse. Les deux distributions disposent d’une clé de signature Inktank (id 5438C7019DCEEEAD). De plus, Ceph.com fournit des packages pour les versions communautaires du projet avec une clé de signature Ceph (id 7EBFDD5D17ED316D). Or Red Hat a indiqué ne « plus faire confiance à l’intégrité des clés Inktank et a donc choisi de resigner cette version de produits de stockage Ceph avec une clé standard de Red Hat. Et les clients ne pourront dorénavant utiliser que ces versions ». Idem sur Ceph.com où la communauté a créé une nouvelle clé de signature (id E84AC2C0460F3994) pour vérifier les téléchargements.
Red Hat précise que d’autres sites comme download.ceph.com ou git.ceph.com n’ont pas été touchés par le piratage. Pour la communauté Ceph, le choix a été de reconstruire les sites et de changer d’hébergement. Red Hat souligne qu’aucune donnée client n’était sur les serveurs.
A lire aussi :
Stockage : Suse lance son offre de SDS en bêta basée sur Ceph
Avec Ubuntu Advantage Storage, Canonical veut faciliter le SDS
Comment gérer les données numériques après la mort de son détenteur ? La jeune pousse…
Ivès, expert en accessibilité de la surdité, s’est associé à Sopra Steria et à IBM…
L'Autorité de la concurrence et des marchés (CMA) a lancé la phase de recherche de…
Broadcom remplace pas moins de 168 logiciels VMware par deux grandes licences de location correspondant…
La banque d’investissement utilise l'IA pour proposer des stratégies individualisées, en termes de rendement et…
OVHCloud partage ses efforts environnementaux au sommet de l’Open Compute Project qui se tient à…