Le Défi H 2016 a distingué hier le projet T-Jack des étudiants de Polytech Grenoble (Prix du Défi H et Prix de l'innovation technologique) mais aussi SignBand de l'école Exia Cesi de Bordeaux (Prix Jeune pousse) et Dicodys de l'ECE Paris (Prix du public).

L'Image du jour

Le Défi H 2016 a distingué hier le projet T-Jack des étudiants de Polytech Grenoble (Prix du Défi H et Prix de l'innovation technologique) mais aussi ...

Cybersécurité : quels outils pour contrer les nouvelles menaces

Dernier Dossier

Cybersécurité : quels outils pour contrer les nouvelles menaces

Les événements récents autour du ransomware Locky et du vol massif de données du cabinet panaméen Mossack Fonseca dans l'affaire des « Panama Papers »...

Restez proche de l'actualité IT

NEWSLETTERS THEMATIQUES

Découvrez nos différentes newsletters adaptées à vos besoins d'actualités IT Pro : Mobilité, Réseaux, Stockages, ...

Abonnez-vous 
FERMER

LMI MARKET

Votre comparateur de prestataires IT : Comparez les devis, Evaluez les prestataires, Trouvez le juste prix!...

Accéder à ce service 

BLOG

Découvrez les contenus exclusifs publiés par les lecteurs du Monde Informatique avec la plateforme LMI Blog...

Accéder à ce service 

COMPARATEUR DE SALAIRE

Partagez votre situation salariale anonymement, consultez les statistiques depuis 2009 et faites vos propres analyses...

Accéder à ce service 

IT TOUR

LMI vous invite à sa Matinée-Débats dans votre région.
Inscrivez-vous

Accéder au site 
FERMER
2
Réagissez Imprimer Envoyer

Xen corrige une vulnérabilité très critique dans son hyperviseur

Project Xen a corrigé une faille dormante depuis 7 ans dans le coeur du code de son célèbre hyperviseur open source. (crédit : D.R.)

Project Xen a corrigé une faille dormante depuis 7 ans dans le coeur du code de son célèbre hyperviseur open source. (crédit : D.R.)

Xen Project a corrigé neuf vulnérabilités pour son hyperviseur dont une critique présente depuis 7 ans au coeur de son code. Elle a été identifiée par l'équipe sécurité de Qubes OS Project comme étant la pire jamais décelée dans ce logiciel de virtualisation.

Xen Project a corrigé plusieurs vulnérabilités dans son célèbre hyperviseur, dont une pouvant permettre à des attaquants potentiels de prendre le contrôle du système sur lequel il est installé. Les vulnérabilités cassant la couche d'isolation entre machines virtuelles sont les plus sérieuses pour un logiciel de virtualisation comme Xen, dont le principal objectif est d'autoriser le fonctionnement de multiples VM sur un même matériel de façon sécurisée.

Les patchs publiés jeudi par Xen corrigent un total de neuf vulnérabilités, mais celle qui accorde un privilège d'escalade, CVE-2015-7835, est la plus sérieuse. Elle découle non pas d'une erreur de programmation traditionnelle mais d'une faille logique sur la façon dont Xen implémente la virtualisation de mémoire pour les VM paravirtualisées. La paravirtualisation est une technique qui permet la virtualisation sur les processeurs centraux ne supportant pas la virtualisation assistée sur matériel.

Les versions 3.4 et supérieures de l'hyperviseur Xen concernées

En tant que tel, la faille peut seulement être exploitée par des administrateurs malveillants d'hôtes paravirtualisés, et seulement sur les systèmes x86, a indiqué Xen Project dans une note. Les versions 3.4 et supérieures de Xen sont vulnérables. Cette vulnérabilité, qui existe depuis 7 ans, est « probablement la pire jamais vue ayant affectée l'hyperviseur Xen », a fait savoir l'équipe de sécurité de Qubes OS Project. Qubes OS repose sur Xen pour compartimenter différentes tâches exécutées par des utilisateurs pour accroître la sécurité.

« C'est vraiment choquant qu'un tel bug ait pu se dissimuler dans le coeur de l'hyperviseur depuis autant d'années », a aussi indiqué Qubes. « Selon nous, le projet Xen devrait repenser les lignes directrices de leur code et essayer de revenir avec des pratiques et peut être des mécanismes supplémentaires qui ne permettraient plus jamais à de telles failles de sévir dans l'hyperviseur. Sinon, l'ensemble du projet n'a pas de sens, du moins pour ceux qui voudraient utiliser Xen pour des travaux nécessitant de la sécurité. »

COMMENTAIRES de l'ARTICLE2

le 07/11/2015 à 17h35 par jdt (Membre) :

@Visiteur7180
Si il y a valeur ajouté par la virtualisation.
On sépare les rôles sur des VM. Si une VM est touchée par un problème de sécurité, on l'isole et le reste du SI continue a fonctionner

Signaler un abus

le 31/10/2015 à 10h35 par Visiteur7180 :

Une de découverte et de comblée - quid des autres ? Quand vous essayez d'expliquer aux PME/PMI que la virtualisation n'est pas forcément un bon choix, et qu'on peut souvent faire durer du vieux matériel plus longtemps, on vous rit quasiment au nez ! Et c'est encore pire quand vous expliquez à des DSI/DRI qu'un serveur GNU/Linux permet aujourd'hui de faire travailler les employés indépendamment sous GNU/Linux ou Windows pour un prix < 1000€ : ils croient que vous vous foutez de leur gueule ! Ce pays brille réellement par un niveau nullissime de vision large. Et la mode de la virtualisation rentre parfaitement dans ce cadre : accroître la complexité du SI pour rendre le client 100% dépendant, mais sans apporter au final une réelle valeur ajoutée... Pourtant, à l'heure où microsoft fait le con, et exige désormais deux serveurs pour une solution basique - ce qui est un non sens absolu - il serait peut-être temps d'arrêter les conneries.

Signaler un abus

Commenter cet article

commenter cet article en tant que membre LMI

CONNEXION

Commenter cet article en tant que visiteur






* Les liens HTML sont interdits dans les commentaires

Publicité
Publicité
Publicité