Xen corrige une nouvelle vulnérabilité d'échappement de machine virtuelle

Une nouvelle vulnérabilité dans le code d'émulation utilisé par le logiciel de virtualisation Xen peut permettre aux attaquants de contourner la barrière de sécurité critique entre les machines virtuelles et les systèmes d'exploitation hôtes sur lesquels elles s'exécutent..

La vulnérabilité se trouve dans la fonction d'émulation de lecteur de CD-ROM de QEMU, un émulateur matériel open source utilisé par Xen, KVM et d'autres plates-formes de virtualisation. La faille est suivie comme CVE-2015-5154 dans la base de données Common Vulnerabilities and Exposures.

Le projet Xen a publié des correctifs pour ses versions prises en charge lundi et a noté que tous les systèmes Xen exécutant des invités HVM x86 sans stubdomains et qui ont été configurés avec un modèle de lecteur de CD-ROM émulé sont vulnérables.

Une exploitation réussie peut permettre à un utilisateur ayant accès à un système d'exploitation invité de reprendre le processus QEMU et d'exécuter du code sur le système d'exploitation hôte. Cela viole l'une des principales protections des machines virtuelles conçue pour protéger le système d'exploitation hôte contre les actions d'un invité.

Heureusement, les systèmes de virtualisation basés sur Xen qui ne sont pas configurés pour émuler un lecteur de CD-ROM à l'intérieur du système d'exploitation invité ne sont pas affectés, ce qui sera probablement le cas pour la plupart des centres de données.

La vulnérabilité est similaire à une autre signalée en mai dans le code d'émulation du lecteur de disquette de QEMU. Cependant, cette faille, surnommée Venom, était plus grave car le code vulnérable restait actif même si l'administrateur avait désactivé le lecteur de disquette virtuel pour une machine virtuelle.

Plusieurs distributions Linux, y compris Red Hat Enterprise Linux 7 et SUSE Linux Enterprise 12, ont reçu des correctifs pour QEMU, KVM ou Xen.

Rejoignez les communautés Network World sur Facebook et LinkedIn pour commenter des sujets qui vous tiennent à cœur.