Vulnérabilité dans XEN
Date de publication :
CVE-2021-28710[Score CVSS v3.1: 9.3]
L’informaticien Jan Beulich a découvert une vulnérabilité du type « élévation de privilège » dans le logiciel XEN. Ce logiciel libre est un hyperviseur de machines virtuelles, il apporte à l’utilisateur la possibilité de profiter de plusieurs systèmes d’exploitation sur une même ressource matériel. Jan Beulich a remarqué que certaines tables de données utilisées par XEN ne sont pas contrôlées lors de leurs traitements. Un attaquant local et authentifié pourrait exploiter cette vulnérabilité, en manipulant les données d’une table, pour élever ses privilèges dans le contexte de l’hôte. Cette vulnérabilité ne semble pas être exploitée pour le moment.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Elévation de privilège
- Manipulation de donnée
Criticité
- Score CVSS v3.1: 9.3
CVE
Composants vulnérables.
- Seulement Intel X86 avec IOMMU sont concernés.
- La version 4.15 de XEN est vulnérable.
Solutions ou recommandations
- La version 4.14 de XEN, et les versions antérieures ne sont pas vulnérables.
- Un correctif est disponible, celui-ci peut être téléchargé ici:
http://xenbits.xen.org/xsa/xsa390.patch