Ahogy egy korábbi cikkünkben már kifejtettük, a Broadcom új VMware licencelési metódusa komoly fejtörést okozhat azoknak az ügyfeleknek, akik már meglévő maradandó licencekkel rendelkeznek, és azokra eddig a követést (Support and Subscritpion; SnS) is fenntartották. A gyártó ugyanis megszüntette az SnS meghosszabbításának lehetőségét a meglévő maradandó licencekre.

Ha tehát továbbra is támogatott környezetet szeretnének, át kell állniuk az új előfizetéses modellre. A gyártó az átálláskor eddigi szoftverberuházásukat semmilyen módon nem veszi figyelembe, azaz gyakorlatilag ugyanúgy kell új előfizetéseket kötniük, mint egy teljesen új ügyfélnek.

A követés fenntartása nemcsak az új főverzió használati joga vagy a gyártói támogatás miatt fontos: a VMware a gyártói hiba- és biztonsági javítások telepítési jogát is ehhez köti. Azok az ügyfelek tehát, akik az új, előfizetéses modell miatt inkább a támogatás elengedését választják meglévő maradandó licenceik használata mellett, egyúttal azzal is kell számolniuk, hogy VMware-alapú rendszereik használatának egyre nagyobbak lesznek a biztonsági kockázatai.

Adott is, meg nem is...

Ez érthetően kiváltotta az ügyfelek felháborodást, amire a Broadcom látszólag orvosolta is a problémát. Bejelentette, hogy 2024. április 15-től a kritikus biztonsági hibákat javító csomagokat a támogatással nem rendelkező licencekhez is biztosítja.

De mit is jelent a kritikus biztonsági hiba? A Broadcom azt a hibát minősíti kritikusnak, amely az ún. Common Vulnerability Scoring System (CVSS) skálán eléri 9.0 vagy annál magasabb értéket. Ennek fényében érdemes megvizsgálni az egyik legutóbbi biztonsági riasztást, amely elég jelentős réseket azonosított a VMware rendszerekben. A VMSA-2024-0011 azonosítójú biztonsági felhívásban többek között az alábbi biztonsági hibákat azonosították:

● A VMware ESXi, Workstation és Fusion termékek tárhelyvezérlője korlátlan írási/olvasási sebezhetőséget hordoz magában, amely DoS (Denial of Service) jellegű támadásokra ad lehetőséget, valamint hypervisor szinten engedélyezi kódok futtatását.

● A vCenter olyan távoli kódfuttatási sérülékenységet hordoz magában, melynek segítségével a futtató operációs rendszeren tetszőleges parancs futtatható

● A vCenter egy részleges fájlolvasási sérülékenységet hordoz magában, melynek segítségével érzékeny adatok szerezhetőek meg.

A jogosulatlan kódfuttatás és az adatszivárgás lehetősége is kellően súlyos probléma ahhoz, hogy egyetlen vállalat informatikai rendszerében sem szívesen hagynák javítatlanul. Ebből elsőre arra következtethetnénk, hogy a Broadcom április 15-i bejelentett "engedékenysége" biztosítja az elhárításukhoz szükséges javítócsomagokat az SnS hiányában is. De ez sajnos nem igaz.

A fenti hibák CVSS-besorolása ugyanis sorrendben 8.1, 7.2 és 4.9, vagyis az első kettő magas (7+), míg a harmadik csak közepes (4+) súlyosságú. Azok a VMware-ügyfelek tehát, akik nem térnek át az új, előfizetéses licencelési modellre, nem telepíthetik a a javítócsomagjaikat sem.

Biztosan léteznek megoldások, melyek segítségével a javítások SnS hiányában is lehet telepíteni, de az jogszerűtlen felhasználást eredményez. Azt pedig, hogy ez a jogszerűtlen telepítés végső soron mennyibe kerül, csak a Broadcom által hamarosan várható audithullám során tudjuk meg. Egyelőre ugyanis nem ismert, hogy az auditorok mekkora hangsúlyt fektetnek majd az ilyen jellegű felhasználások felderítésére, és azokat hogyan szankcionálják. A korábbi tapasztalatok alapján az feltételezhető, hogy visszamenőlegesen és büntetési tétellel növelt előfizetési díjat kell fizetni.

A szerző az IPR-Insights licencelési szakértője. Szakterülete a Microsoft, Red Hat, VMware gyártók licencelési háttere.