Vulnérabilité dans QEMU/KVM

Une vulnérabilité a été découverte dans QEMU/KVM, une solution de virtualisation très utilisée avec les systèmes Linux. En cas d’exploitation réussie, un attaquant distant peut causer une situation de déni de service via le plantage de QEMU/KVM, ou potentiellement exécuter du code arbitraire sur la machine hôte.

CVE-2020-1711 [Score CVSS v3 : 9.9] : Une vulnérabilité de type lecture hors limite a été découverte dans QEMU. Celle-ci est introduite par la manière dont le pilote iSCSI interprète certaines informations reçues, dont un attaquant pourrait profiter afin de faire planter le processus QEMU sur la machine hôte, ainsi que potentiellement lui faire exécuter du code arbitraire.

Informations
+

Risques

  • Déni de service
  • Exécution de code arbitraire

Criticité

  • Score CVSS v3 : 9.9

Existence d’un code d’exploitation

  • Pas de code d’exploitation disponible publiquement pour l’instant

Composants vulnérables

  • QEMU de la version 2.12.0 jusqu’à 4.2.1

CVE

  • CVE-2020-1711

Recommandations
+

Mise en place de correctifs de sécurité

  • Mettre à jour QEMU vers une version supérieure à 4.2.1
  • Après application du correctif, chaque machine virtuelle doit être totalement éteinte puis démarrée de nouveau afin que celui-ci soit effectif

Solution de contournement

  • Aucune solution de contournement n’est disponible