Vulnérabilités dans Xen
Date de publication :
De multiples vulnérabilités ont été découvertes dans Xen, logiciel de virtualisation. Un attaquant distant peut provoquer un déni de service, une fuite d’informations ou encore une élévation de privilèges.
CVE-2020-25601 [Score CVSS v3 : En cours de calcul] : Une vulnérabilité de type “épuisement incontrôlé de ressources” a été découverte dans Xen. Elle est due à un management incorrect des ressources internes de l’application et peut permettre à un attaquant de provoquer un déni de service.
CVE-2020-25599 [Score CVSS v3 : En cours de calcul] : Une vulnérabilité de type “accès hors-limites” due à une condition de compétition a été découverte dans Xen. Elle peut permettre à un attaquant de provoquer une élévation de privilèges.
CVE-2020-25595 [Score CVSS v3 : En cours de calcul] : Une vulnérabilité pouvant conduire à une élévation de privilèges, un déni de service ou une fuite d’informations a été découverte dans Xen. Elle est due à une lecture de code non sécurisée par la fonctionnalité “PCI passthrough”.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Elévation de privilèges
- Fuite d’informations
- Déni de service
Criticité
- Score CVSS v3 : En cours de calcul
Existence d’un code d’exploitation
- Aucun code d’exploitation n’est disponible publiquement
Composants vulnérables
- Toutes versions courantes de Xen, voir les bulletins cités en référence pour le détails des versions antérieures concernées.
CVE
- CVE-2020-25601
- CVE-2020-25599
- CVE-2020-25600
- CVE-2020-25603
- CVE-2020-25596
- CVE-2020-25597
- CVE-2020-25595
- CVE-2020-25604
- CVE-2020-25598
- CVE-2020-25602
Solutions ou recommandations
Mise en place de correctifs de sécurité
Appliquer les correctifs de sécurité proposés par Xen dans les bulletins cités en référence.
Solution de contournement
Aucune solution de contournement
Liens
- Xen Security Advisory CVE-2020-25601 / XSA-344
- Xen Security Advisory CVE-2020-25599 / XSA-343
- Xen Security Advisory CVE-2020-25600 / XSA-342
- Xen Security Advisory CVE-2020-25603 / XSA-340
- Xen Security Advisory CVE-2020-25597 / XSA-338
- Xen Security Advisory CVE-2020-25595 / XSA-337
- Xen Security Advisory CVE-2020-25604 / XSA-336
- Xen Security Advisory CVE-2020-25598 / XSA-334
- Xen Security Advisory CVE-2020-25602 / XSA-333