Vulnérabilités dans Xen

Date de publication :

De multiples vulnérabilités ont été découvertes dans Xen, logiciel de virtualisation. Un attaquant distant peut provoquer un déni de service, une fuite d’informations ou encore une élévation de privilèges.

CVE-2020-25601 [Score CVSS v3 : En cours de calcul] : Une vulnérabilité de type “épuisement incontrôlé de ressources” a été découverte dans Xen. Elle est due à un management incorrect des ressources internes de l’application et peut permettre à un attaquant de provoquer un déni de service.

CVE-2020-25599 [Score CVSS v3 : En cours de calcul] : Une vulnérabilité de type “accès hors-limites” due à une condition de compétition a été découverte dans Xen. Elle peut permettre à un attaquant de provoquer une élévation de privilèges. 

CVE-2020-25595 [Score CVSS v3 : En cours de calcul] : Une vulnérabilité pouvant conduire à une élévation de privilèges, un déni de service ou une fuite d’informations a été découverte dans Xen. Elle est due à une lecture de code non sécurisée par la fonctionnalité “PCI passthrough”. 

Informations

La faille est activement exploitée :

Un correctif existe :

Une mesure de contournement existe :

Risques

Risques

    Elévation de privilèges

    Fuite d’informations

    Déni de service

Criticité

    Score CVSS v3 : En cours de calcul

Existence d’un code d’exploitation

    Aucun code d’exploitation n’est disponible publiquement

Composants vulnérables

    Toutes versions courantes de Xen, voir les bulletins cités en référence pour le détails des versions antérieures concernées.

CVE

    CVE-2020-25601

    CVE-2020-25599

    CVE-2020-25600

    CVE-2020-25603

    CVE-2020-25596

    CVE-2020-25597

    CVE-2020-25595

    CVE-2020-25604

    CVE-2020-25598

    CVE-2020-25602

Solutions ou recommandations

Mise en place de correctifs de sécurité

  • Appliquer les correctifs de sécurité proposés par Xen dans les bulletins cités en référence.

Solution de contournement

  • Aucune solution de contournement

Liens