Multiples vulnérabilités dans Xen Hypervisor

Debian a publié un correctif pour de multiples vulnérabilités découvertes dans l'hyperviseur Xen permettant un déni de service, une escalade des privilèges ou une fuite d'informations.

CVE-2019-18425 [Score CVSS v3 : 9.8]Une vulnérabilité découverte dans Xen hypervisor peut permettre à un attaquant local d’obtenir une élévation de privilèges dans une machine virtuelle 32 bits. Cette vulnérabilité est due à un manque de vérification lors de l'émulation de certaines opérations de paravirtualisation. 

La paravirtualisation (PV) est une technique de virtualisation efficace et légère introduite par le projet Xen, adoptée par la suite par d'autres solutions de virtualisation. La PV ne nécessite pas d'extensions de virtualisation de la part du CPU hôte et permet donc la virtualisation sur des architectures matérielles qui ne supportent pas la virtualisation assistée par le matériel.

Informations
+

Risques

  • Déni de service.
  • Escalade des privilèges.
  • Fuite d'informations

Criticité

  • Score CVSS v3 : 9.8 max.

Existence d’un code d‘exploitation

  • Aucun code d'exploitation n'est actuellement disponible.

Composants vulnérables

  • Xen jusqu’à la version 4.12.1. 

CVE

  • CVE-2018-12126
  • CVE-2018-12127
  • CVE-2018-12130
  • CVE-2018-12207
  • CVE-2018-17341
  • CVE-2019-11091
  • CVE-2019-11135
  • CVE-2019-17340
  • CVE-2019-17342
  • CVE-2019-17343
  • CVE-2019-17344
  • CVE-2019-17345
  • CVE-2019-17346
  • CVE-2019-17347
  • CVE-2019-17348
  • CVE-2019-17349
  • CVE-2019-17350
  • CVE-2019-18420
  • CVE-2019-18421
  • CVE-2019-18422
  • CVE-2019-18423
  • CVE-2019-18424
  • CVE-2019-18425
  • CVE-2019-19577
  • CVE-2019-19578
  • CVE-2019-19579
  • CVE-2019-19580
  • CVE-2019-19581
  • CVE-2019-19582
  • CVE-2019-19583

Recommandations
+

Mise en place de correctifs de sécurité

Debian a publié les recommandations suivantes :

  • Pour la distribution oldstable (Stretch), ces problèmes ont été corrigés dans la version 4.8.5.final+shim4.10.4-1+deb9u12
  • Pour la distribution stable (Buster), ces problèmes ont été corrigés dans la version 4.11.3+24-g14b62ab3e5-1~deb10u1.
  • Debian recommande de mettre à jour les paquets xen

Solution de contournement

Aucune solution n’a été proposée autre que la mise à jour