Xen Linux– CVE-2022-42328

Date de publication :

Une faille dans le pilote netback de Xen permet à un attaquant, en envoyant une requête spécialement forgée, de provoquer un déni de service.

CVE-2022-42328

[Score CVSS v3.1: 7.1]

Informations

La faille est activement exploitée : Non

Un correctif existe : Oui

Une mesure de contournement existe : Non

Risques

Déni de service

Exploitation

La vulnérabilité exploitée est du type

CWE-833: Deadlock

Détails sur l’exploitation

  • Vecteur d’attaque : Local.

  • Complexité de l’attaque : Faible.

  • Privilèges nécessaires pour réaliser l’attaque : Aucun.

  • Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non.

  • L’exploitation de la faille permet d’obtenir des droits privilégiés : Non.

Systèmes ou composants affectés

Xen Linux est affecté par cette vulnérabilité.

Contournement provisoire

Changement de backend de réseau privé virtuel.

  • Utilisation d'un domaine de pilote réseau dédié par invité.

Solutions ou recommandations

  • Mettre à jour Xen Linux avec le correctif xsa424, disponible ici.
  • Des informations complémentaires sont disponibles ici.

Liens