Vulnérabilité dans Xen
le 25 février 2014
Une vulnérabilité a été corrigée dans Xen. Elle permet à un attaquant de provoquer une exécution de code arbitraire, un déni de service et une élévation de privilèges.
Sur un hyperviseur Xen supportant plus de 128 CPUs (en 64 bits) ou 64 CPUs (en 32 bits), il est recommandé de ne pas attribuer directement des cartes PCI à une machines hôtes administrée par un tiers.
Risque(s)
- exécution de code arbitraire
- déni de service
- élévation de privilèges
Systèmes affectés
- Xen versions 4.2.x et supérieures
Documentation
- Bulletin de sécurité Xen XSA-83 du 23 janvier 2014 : lists.xen.org/archives/html/xen-announce/2014-01/msg00001.html
- Référence CVE CVE-2014-1642 : cve.mitre.org/cgi-bin/cvename.cgi
- Bulletin de sécurité du CERT-FR : cert.ssi.gouv.fr/site/CERTFR-2014-AVI-043
