Multiples vulnérabilités dans Xen Hypervisor

Date de publication : 14/01/2020

Debian a publié un correctif pour de multiples vulnérabilités découvertes dans l'hyperviseur Xen permettant un déni de service, une escalade des privilèges ou une fuite d'informations.

CVE-2019-18425 [Score CVSS v3 : 9.8] : Une vulnérabilité découverte dans Xen hypervisor peut permettre à un attaquant local d’obtenir une élévation de privilèges dans une machine virtuelle 32 bits. Cette vulnérabilité est due à un manque de vérification lors de l'émulation de certaines opérations de paravirtualisation.

La paravirtualisation (PV) est une technique de virtualisation efficace et légère introduite par le projet Xen, adoptée par la suite par d'autres solutions de virtualisation. La PV ne nécessite pas d'extensions de virtualisation de la part du CPU hôte et permet donc la virtualisation sur des architectures matérielles qui ne supportent pas la virtualisation assistée par le matériel.

Informations

La faille est activement exploitée :

Un correctif existe :

Une mesure de contournement existe :

Risques

Risques

Criticité

Score CVSS v3 : 9.8 max.

Existence d’un code d‘exploitation

Aucun code d'exploitation n'est actuellement disponible.

Composants vulnérables

Xen jusqu’à la version 4.12.1.

CVE

Solutions ou recommandations

Mise en place de correctifs de sécurité

Debian a publié les recommandations suivantes :

Pour la distribution oldstable (Stretch), ces problèmes ont été corrigés dans la version 4.8.5.final+shim4.10.4-1+deb9u12
Pour la distribution stable (Buster), ces problèmes ont été corrigés dans la version 4.11.3+24-g14b62ab3e5-1~deb10u1.
Debian recommande de mettre à jour les paquets xen

Solution de contournement

Aucune solution n’a été proposée autre que la mise à jour

Multiples vulnérabilités dans Xen Hypervisor

Informations

Solutions ou recommandations

Liens