Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre

SYNTHÈSE DE LA VULNÉRABILITÉ

Dans certains cas, la bibliothèque libvirt attache un périphérique
USB à un autre système invité, ce qui permet à un attaquant de
lire ou modifier ses données.

– Gravité : 1/4
– Date création : 12/06/2012

PRODUITS CONCERNÉS

– Unix - plateforme

DESCRIPTION DE LA VULNÉRABILITÉ

La bibliothèque libvirt fournit une interface standardisée sur
plusieurs produits de virtualisation (Xen, QEMU, KVM, etc.).

Un périphérique USB est identifié par les champs suivants :
– bus address
– device
– vendor
– product

Cependant, lorsque plusieurs périphériques USB, avec le même
vendeur et le même identifiant de produit, sont connectés au
système, libvirt ignore le bus et le device. Le premier
périphérique trouvé est alors associé au système invité. Cette
association choisie peut être différente de celle explicitement
demandée par l’administrateur.

Dans certains cas, la bibliothèque libvirt attache donc un
périphérique USB à un autre système invité, ce qui permet à un
attaquant de lire ou modifier ses données.

ACCÈS AU BULLETIN VIGIL@NCE COMPLET

http://vigilance.fr/vulnerabilite/libvirt-attachement-de-peripherique-USB-invalide-11690