Vulnérabilités dans Xen

Date de publication :

De multiples vulnérabilités ont été découvertes dans Xen, logiciel de virtualisation. Un attaquant distant peut provoquer un déni de service, une fuite d’informations ou encore une élévation de privilèges.

CVE-2020-25601 [Score CVSS v3 : En cours de calcul] : Une vulnérabilité de type “épuisement incontrôlé de ressources” a été découverte dans Xen. Elle est due à un management incorrect des ressources internes de l’application et peut permettre à un attaquant de provoquer un déni de service.

CVE-2020-25599 [Score CVSS v3 : En cours de calcul] : Une vulnérabilité de type “accès hors-limites” due à une condition de compétition a été découverte dans Xen. Elle peut permettre à un attaquant de provoquer une élévation de privilèges. 

CVE-2020-25595 [Score CVSS v3 : En cours de calcul] : Une vulnérabilité pouvant conduire à une élévation de privilèges, un déni de service ou une fuite d’informations a été découverte dans Xen. Elle est due à une lecture de code non sécurisée par la fonctionnalité “PCI passthrough”. 

Informations

La faille est activement exploitée :

Un correctif existe :

Une mesure de contournement existe :

Risques

Risques

  • Elévation de privilèges
  • Fuite d’informations
  • Déni de service

Criticité

  • Score CVSS v3 : En cours de calcul

Existence d’un code d’exploitation

  • Aucun code d’exploitation n’est disponible publiquement

Composants vulnérables

  • Toutes versions courantes de Xen, voir les bulletins cités en référence pour le détails des versions antérieures concernées.

CVE

  • CVE-2020-25601
  • CVE-2020-25599
  • CVE-2020-25600
  • CVE-2020-25603
  • CVE-2020-25596
  • CVE-2020-25597
  • CVE-2020-25595
  • CVE-2020-25604
  • CVE-2020-25598
  • CVE-2020-25602

Solutions ou recommandations

Mise en place de correctifs de sécurité

  • Appliquer les correctifs de sécurité proposés par Xen dans les bulletins cités en référence.

Solution de contournement

  • Aucune solution de contournement

Liens