Vulnérabilité dans l’hyperviseur Xen

Date de publication : 29/09/2022

CVE-2020-29040[Score CVSS v3 : 8.8] : Une vulnérabilité a été découverte au niveau de la vérification des arguments d’instanciation d’une machine virtuelle pour les invités de type HVM ou PVH dans l'hyperviseur Xen. Cette faille peut permettre à un attaquant potentiellement distant et authentifié de créer une machine virtuelle malveillante dans le but d’effectuer un déni de service sur la machine hôte du logiciel vulnérable.

Informations

La faille est activement exploitée :

Un correctif existe :

Une mesure de contournement existe :

Risques

Risques

Déni de service

Criticité

Score CVSS v3 : 8.8

Existence d’un code d’exploitation

Il n’existe, à ce jour, aucun code d’exploitation connu

Composants vulnérables

Toute version de Xen ayant appliqué le patch XSA-346 et permettant les invités 32bits HVM et PVH.

CVE

CVE-xxxx-xxxxx

Solutions ou recommandations

Mise en place de correctifs de sécurité

Appliquer le patch XSA355
Mettre à jour Xen vers les versions 4.10.x (unstable)

Solution de contournement

Interdire les invités non-vérifiés dans Xen

Liens

Bulletin de sécurité Xen xsa-355