Vulnérabilité dans l’hyperviseur Xen

CVE-2020-29040 [Score CVSS v3 : 8.8] : Une vulnérabilité a été découverte au niveau de la vérification des arguments d’instanciation d’une machine virtuelle pour les invités de type HVM ou PVH dans l'hyperviseur Xen. Cette faille peut permettre à un attaquant potentiellement distant et authentifié de créer une machine virtuelle malveillante dans le but d’effectuer un déni de service sur la machine hôte du logiciel vulnérable.

Informations
+

Risques

  • Déni de service

Criticité

  • Score CVSS v3 : 8.8

Existence d’un code d’exploitation

  • Il n’existe, à ce jour, aucun code d’exploitation connu

Composants vulnérables

  • Toute version de Xen ayant appliqué le patch XSA-346 et permettant les invités 32bits HVM et PVH.

CVE

  • CVE-xxxx-xxxxx


Recommandations
+

Mise en place de correctifs de sécurité

  • Appliquer le patch XSA355

  • Mettre à jour Xen vers les versions 4.10.x (unstable)

Solution de contournement

  • Interdire les invités non-vérifiés dans Xen