CERTA : Vulnérabilité dans XEN
décembre 2007 par CERT-FR
1 Risque
Contournement de la politique de sécurité.
2 Systèmes affectés
Xen versions antérieures à la version 3.1.2 fonctionnant sur les achitectures
IA64.
3 Résumé
Une vulnérabilité permettant de contourner la politique de sécurité a été
découverte dans Xen.
4 Description
Une vulnérabilité a été découverte dans le logiciel de virtualisation Xen.
Cette vulnérabilité présente dans la fonction mov_to_rr() peut être exploitée
par un utilisateur mal intentionné afin de contourner les mécanismes de
sécurité et de lire la mémoire d’un domaine VT-i depuis un autre domaine VT-i.
5 Solution
Se référer au bulletin de sécurité de l’éditeur pour l’obtention des correctifs
(cf. section Documentation).
6 Documentation
* Bulletin de sécurité Xen du 22 Octobre 2007 :
http://lists.xensource.com/archives/html/xen-ia64-devel/2007-10/msg00189.html
* Référence CVE CVE-2007-6207 :