Xen Project a corrigé plusieurs vulnérabilités dans son célèbre hyperviseur, dont une pouvant permettre à des attaquants potentiels de prendre le contrôle du système sur lequel il est installé. Les vulnérabilités cassant la couche d'isolation entre machines virtuelles sont les plus sérieuses pour un logiciel de virtualisation comme Xen, dont le principal objectif est d'autoriser le fonctionnement de multiples VM sur un même matériel de façon sécurisée.
Les patchs publiés jeudi par Xen corrigent un total de neuf vulnérabilités, mais celle qui accorde un privilège d'escalade, CVE-2015-7835, est la plus sérieuse. Elle découle non pas d'une erreur de programmation traditionnelle mais d'une faille logique sur la façon dont Xen implémente la virtualisation de mémoire pour les VM paravirtualisées. La paravirtualisation est une technique qui permet la virtualisation sur les processeurs centraux ne supportant pas la virtualisation assistée sur matériel.
Les versions 3.4 et supérieures de l'hyperviseur Xen concernées
En tant que tel, la faille peut seulement être exploitée par des administrateurs malveillants d'hôtes paravirtualisés, et seulement sur les systèmes x86, a indiqué Xen Project dans une note. Les versions 3.4 et supérieures de Xen sont vulnérables. Cette vulnérabilité, qui existe depuis 7 ans, est « probablement la pire jamais vue ayant affectée l'hyperviseur Xen », a fait savoir l'équipe de sécurité de Qubes OS Project. Qubes OS repose sur Xen pour compartimenter différentes tâches exécutées par des utilisateurs pour accroître la sécurité.
« C'est vraiment choquant qu'un tel bug ait pu se dissimuler dans le coeur de l'hyperviseur depuis autant d'années », a aussi indiqué Qubes. « Selon nous, le projet Xen devrait repenser les lignes directrices de leur code et essayer de revenir avec des pratiques et peut être des mécanismes supplémentaires qui ne permettraient plus jamais à de telles failles de sévir dans l'hyperviseur. Sinon, l'ensemble du projet n'a pas de sens, du moins pour ceux qui voudraient utiliser Xen pour des travaux nécessitant de la sécurité. »