Stockage : Ceph piraté, Red Hat modifie les clés de signature
Publié par Jacques Cheminat le | Mis à jour le
Red Hat a découvert que des sites liès à Ceph, projet Open Source de stockage distribué, ont été piratés. L'éditeur a décidé de modifier les clés pour certaines distributions Linux.
La semaine dernière Red Hat a constaté une intrusion sur les sites de la communauté Ceph (Ceph.com) et Inktank (download.inktank.com). L'éditeur indique que les sites sont hébergés en dehors de ses infrastructures. Ceph est un projet Open Source sur le stockage. Il se propose de remplacer les ressources de stockage existantes par une couche de virtualisation qui peut fonctionner en mode bloc, objet (à travers des API pour S3 d'Amazon ou de Swift d'OpenStack) ou système de fichiers. Une initiative à laquelle croit beaucoup Red Hat qui fait de Ceph, la base de sa solution SDS (Software Defined Storage). Pour cela, il avait acquis Inktank en avril 2014, spécialiste de cette plateforme de stockage distribué.
Dans son rapport de sécurité, Red Hat souligne qu'une enquête est en cours. « Notre objectif initial est de s'assurer de l'intégrité du canal logiciel et distribution sur les deux sites », précise l'éditeur américain. Côté bonnes nouvelles, les premiers éléments de l'enquête montrent qu'aucun code disponible en téléchargement sur les sites n'a été compromis. Mais Red Hat relativise en déclarant « ne pas exclure que du code compromis ait été disponible en téléchargement à un moment donné par le passé ».
Modification des clés de signature
Ce risque concerne aussi bien Ceph pour CentOS, mais également Ceph pour Ubuntu, car les deux sont téléchargeables sur download.inktank.com. C'est surtout du côté des signatures que le bât blesse. Les deux distributions disposent d'une clé de signature Inktank (id 5438C7019DCEEEAD). De plus, Ceph.com fournit des packages pour les versions communautaires du projet avec une clé de signature Ceph (id 7EBFDD5D17ED316D). Or Red Hat a indiqué ne « plus faire confiance à l'intégrité des clés Inktank et a donc choisi de resigner cette version de produits de stockage Ceph avec une clé standard de Red Hat. Et les clients ne pourront dorénavant utiliser que ces versions ». Idem sur Ceph.com où la communauté a créé une nouvelle clé de signature (id E84AC2C0460F3994) pour vérifier les téléchargements.
Red Hat précise que d'autres sites comme download.ceph.com ou git.ceph.com n'ont pas été touchés par le piratage. Pour la communauté Ceph, le choix a été de reconstruire les sites et de changer d'hébergement. Red Hat souligne qu'aucune donnée client n'était sur les serveurs.
A lire aussi :
Avec Ubuntu Advantage Storage, Canonical veut faciliter le SDSAvec Ubuntu Advantage Storage, Canonical veut faciliter le SDS