Pour gérer vos consentements :

La semaine dernière Red Hat a constaté une intrusion sur les sites de la communauté Ceph (Ceph.com) et Inktank (download.inktank.com). L’éditeur indique que les sites sont hébergés en dehors de ses infrastructures. Ceph est un projet Open Source sur le stockage. Il se propose de remplacer les ressources de stockage existantes par une couche de virtualisation qui peut fonctionner en mode bloc, objet (à travers des API pour S3 d’Amazon ou de Swift d’OpenStack) ou système de fichiers. Une initiative à laquelle croit beaucoup Red Hat qui fait de Ceph, la base de sa solution SDS (Software Defined Storage). Pour cela, il avait acquis Inktank en avril 2014, spécialiste de cette plateforme de stockage distribué.

Dans son rapport de sécurité, Red Hat souligne qu’une enquête est en cours. « Notre objectif initial est de s’assurer de l’intégrité du canal logiciel et distribution sur les deux sites », précise l’éditeur américain. Côté bonnes nouvelles, les premiers éléments de l’enquête montrent qu’aucun code disponible en téléchargement sur les sites n’a été compromis. Mais Red Hat relativise en déclarant « ne pas exclure que du code compromis ait été disponible en téléchargement à un moment donné par le passé ».

Modification des clés de signature

Ce risque concerne aussi bien Ceph pour CentOS, mais également Ceph pour Ubuntu, car les deux sont téléchargeables sur download.inktank.com. C’est surtout du côté des signatures que le bât blesse. Les deux distributions disposent d’une clé de signature Inktank (id 5438C7019DCEEEAD). De plus, Ceph.com fournit des packages pour les versions communautaires du projet avec une clé de signature Ceph (id 7EBFDD5D17ED316D). Or Red Hat a indiqué ne « plus faire confiance à l’intégrité des clés Inktank et a donc choisi de resigner cette version de produits de stockage Ceph avec une clé standard de Red Hat. Et les clients ne pourront dorénavant utiliser que ces versions ». Idem sur Ceph.com où la communauté a créé une nouvelle clé de signature (id E84AC2C0460F3994) pour vérifier les téléchargements.

Red Hat précise que d’autres sites comme download.ceph.com ou git.ceph.com n’ont pas été touchés par le piratage. Pour la communauté Ceph, le choix a été de reconstruire les sites et de changer d’hébergement. Red Hat souligne qu’aucune donnée client n’était sur les serveurs.

A lire aussi :

Stockage : Suse lance son offre de SDS en bêta basée sur Ceph
Avec Ubuntu Advantage Storage, Canonical veut faciliter le SDS

Crédit Photo : Andrey VP-Shutterstock

Recent Posts

Pour son premier LLM codeur ouvert, Mistral AI choisit une architecture alternative

Pour développer une version 7B de son modèle Codestral, Mistral AI n'a pas utilisé de…

8 heures ago

Microsoft x Inflection AI : l’autorité de la concurrence britannique lance son enquête

L’Autorité de la concurrence et des marchés (CMA) britannique ouvre une enquête sur les conditions…

11 heures ago

Thomas Gourand, nouveau Directeur Général de Snowflake en France

Thomas Gourand est nommé Directeur Général pour la France. Il est chargé du développement de…

13 heures ago

Accord Microsoft-CISPE : comment Google a tenté la dissuasion

Pour dissuader le CISPE d'un accord avec Microsoft, Google aurait mis près de 500 M€…

13 heures ago

Vers des mises à jour cumulatives intermédiaires pour Windows

Pour réduire la taille des mises à jour de Windows, Microsoft va mettre en place…

14 heures ago

RH, finances, stratégie… Les complexités de la Dinum

De l'organisation administrative à la construction budgétaire, la Cour des comptes pointe le fonctionnement complexe…

1 jour ago