Előfizetés hiányában elég komoly biztonsági rések maradhatnak javítás nélkül a VMware infrastruktúrákon. Vincze-Berecz Tibor (IPR-Insights) írása.

Ahogy egy korábbi cikkünkben már kifejtettük, a Broadcom új VMware licencelési metódusa komoly fejtörést okozhat azoknak az ügyfeleknek, akik már meglévő maradandó licencekkel rendelkeznek, és azokra eddig a követést (Support and Subscritpion; SnS) is fenntartották. A gyártó ugyanis megszüntette az SnS meghosszabbításának lehetőségét a meglévő maradandó licencekre.

Ha tehát továbbra is támogatott környezetet szeretnének, át kell állniuk az új előfizetéses modellre. A gyártó az átálláskor eddigi szoftverberuházásukat semmilyen módon nem veszi figyelembe, azaz gyakorlatilag ugyanúgy kell új előfizetéseket kötniük, mint egy teljesen új ügyfélnek.

A követés fenntartása nemcsak az új főverzió használati joga vagy a gyártói támogatás miatt fontos: a VMware a gyártói hiba- és biztonsági javítások telepítési jogát is ehhez köti. Azok az ügyfelek tehát, akik az új, előfizetéses modell miatt inkább a támogatás elengedését választják meglévő maradandó licenceik használata mellett, egyúttal azzal is kell számolniuk, hogy VMware-alapú rendszereik használatának egyre nagyobbak lesznek a biztonsági kockázatai.

Adott is, meg nem is...

Ez érthetően kiváltotta az ügyfelek felháborodást, amire a Broadcom látszólag orvosolta is a problémát. Bejelentette, hogy 2024. április 15-től a kritikus biztonsági hibákat javító csomagokat a támogatással nem rendelkező licencekhez is biztosítja.

De mit is jelent a kritikus biztonsági hiba? A Broadcom azt a hibát minősíti kritikusnak, amely az ún. Common Vulnerability Scoring System (CVSS) skálán eléri 9.0 vagy annál magasabb értéket. Ennek fényében érdemes megvizsgálni az egyik legutóbbi biztonsági riasztást, amely elég jelentős réseket azonosított a VMware rendszerekben. A VMSA-2024-0011 azonosítójú biztonsági felhívásban többek között az alábbi biztonsági hibákat azonosították:

● A VMware ESXi, Workstation és Fusion termékek tárhelyvezérlője korlátlan írási/olvasási sebezhetőséget hordoz magában, amely DoS (Denial of Service) jellegű támadásokra ad lehetőséget, valamint hypervisor szinten engedélyezi kódok futtatását.

● A vCenter olyan távoli kódfuttatási sérülékenységet hordoz magában, melynek segítségével a futtató operációs rendszeren tetszőleges parancs futtatható

● A vCenter egy részleges fájlolvasási sérülékenységet hordoz magában, melynek segítségével érzékeny adatok szerezhetőek meg.

A jogosulatlan kódfuttatás és az adatszivárgás lehetősége is kellően súlyos probléma ahhoz, hogy egyetlen vállalat informatikai rendszerében sem szívesen hagynák javítatlanul. Ebből elsőre arra következtethetnénk, hogy a Broadcom április 15-i bejelentett "engedékenysége" biztosítja az elhárításukhoz szükséges javítócsomagokat az SnS hiányában is. De ez sajnos nem igaz.

A fenti hibák CVSS-besorolása ugyanis sorrendben 8.1, 7.2 és 4.9, vagyis az első kettő magas (7+), míg a harmadik csak közepes (4+) súlyosságú. Azok a VMware-ügyfelek tehát, akik nem térnek át az új, előfizetéses licencelési modellre, nem telepíthetik a a javítócsomagjaikat sem.

Biztosan léteznek megoldások, melyek segítségével a javítások SnS hiányában is lehet telepíteni, de az jogszerűtlen felhasználást eredményez. Azt pedig, hogy ez a jogszerűtlen telepítés végső soron mennyibe kerül, csak a Broadcom által hamarosan várható audithullám során tudjuk meg. Egyelőre ugyanis nem ismert, hogy az auditorok mekkora hangsúlyt fektetnek majd az ilyen jellegű felhasználások felderítésére, és azokat hogyan szankcionálják. A korábbi tapasztalatok alapján az feltételezhető, hogy visszamenőlegesen és büntetési tétellel növelt előfizetési díjat kell fizetni.

A szerző az IPR-Insights licencelési szakértője. Szakterülete a Microsoft, Red Hat, VMware gyártók licencelési háttere.

Cloud & big data

Véletlenül gyilkossággal vádolt meg egy államügyészt a mesterséges intelligencia

Az MI-vel gyártott, alacsony színvonalú híranyagok a jelek szerint még a Google "átfogó és naprakész információi" között is gond nélkül megjelenhetnek.
 
Hirdetés

Így lehet sok önálló kiberbiztonsági eszközéből egy erősebbet csinálni

A kulcsszó a platform. Ha egy cég jó platformot választ, akkor az egyes eszközök előnyei nem kioltják, hanem erősítik egymást, és még az üzemeltetés is olcsóbb lesz.

Ezt már akkor sokan állították, amikor a Watson vagy a DeepMind még legfeljebb érdekes játék volt, mert jó volt kvízben, sakkban vagy góban.

a melléklet támogatója a Clico Hungary

Hirdetés

ITSM a gyakorlatban

Három fájdalompont, amire az IT szolgáltatásmenedzsment gyors válaszokat adhat.

Amióta a VMware a Broadcom tulajdonába került, sebesen követik egymást a szoftvercégnél a stratégiai jelentőségű változások. Mi vár az ügyfelekre? Vincze-Berecz Tibor szoftverlicenc-szakértő (IPR-Insights) írása.

Nyílt forráskód: valóban ingyenes, de használatának szigorú szabályai vannak

Különösen az early adopter vállalatoknak lehet hasznos. De különbözik ez bármiben az amúgy is megkerülhetetlen tervezéstől és pilottól?

Sok hazai cégnek kell szorosra zárni a kiberkaput

Ön sem informatikus, de munkája során az információtechnológia is gyakran befolyásolja döntéseit? Ön is informatikus, de pénzügyi és gazdasági szempontból kell igazolnia a projektek hasznosságát? Mi közérthető módon, üzleti szemmel dolgozzuk fel az infokommunikációs híreket, trendeket, megoldásokat. A Bitport tizennegyedik éve közvetít sikeresen az informatikai piac és a technológiát hasznosító döntéshozók között.
© 2010-2024 Bitport.hu Média Kft. Minden jog fenntartva.