Xen Project corrige de graves failles d'échappement des machines virtuelles

Le projet Xen a corrigé quatre vulnérabilités dans son logiciel de virtualisation largement utilisé, dont deux pourraient permettre aux administrateurs malveillants de machines virtuelles de prendre le contrôle des serveurs hôtes.

Les failles qui rompent la couche d'isolement entre les machines virtuelles sont les plus graves pour un hyperviseur comme Xen, qui permet aux utilisateurs d'exécuter plusieurs machines virtuelles sur le même matériel sous-jacent de manière sécurisée.

L'hyperviseur Xen est largement utilisé par les fournisseurs de cloud computing et les sociétés d'hébergement de serveurs privés virtuels comme Linode, qui ont dû redémarrer certains de ses serveurs au cours des derniers jours pour appliquer les nouveaux correctifs..

Les mises à jour Xen, qui ont été partagées à l'avance avec les partenaires, ont été rendues publiques jeudi avec les avertissements de sécurité qui l'accompagnent.

Une vulnérabilité identifiée comme CVE-2016-7093 affecte les machines virtuelles matérielles (HVM) qui utilisent la virtualisation assistée par matériel. Il permet à un administrateur d'un OS invité d'élever son privilège à celui de l'hôte.

La vulnérabilité affecte les versions Xen 4.7.0 et ultérieures, ainsi que les versions Xen 4.6.3 et 4.5.3 mais uniquement les déploiements avec des invités HVM fonctionnant sur du matériel x86.

Une autre faille d'élévation de privilèges identifiée comme CVE-2016-7092 affecte l'autre type de machines virtuelles prises en charge par Xen: les machines virtuelles paravirtualisées (PV). La vulnérabilité affecte toutes les versions de Xen et permet aux administrateurs d'invités PV 32 bits d'obtenir des privilèges sur l'hôte.

Les deux autres vulnérabilités corrigées, CVE-2016-7154 et CVE-2016-7094, peuvent être exploitées par les administrateurs invités pour provoquer des conditions de déni de service sur l'hôte. Dans le cas de CVE-2016-7154, qui affecte uniquement Xen 4.4, l'exécution de code à distance et l'escalade de privilèges ne peuvent pas être exclues, a déclaré le projet Xen dans un avis..

Pendant ce temps, CVE-2016-7094 affecte toutes les versions de Xen mais uniquement les déploiements hébergeant des invités HVM sur du matériel x86 qui sont configurés pour s'exécuter avec la pagination fantôme.

Rejoignez les communautés Network World sur Facebook et LinkedIn pour commenter des sujets qui vous tiennent à cœur.