Microsoft a acheté Genee et sa technologie de planification et de prise de rendez-vous basée sur de l'apprentissage machine.

L'Image du jour

Microsoft a acheté Genee et sa technologie de planification et de prise de rendez-vous basée sur de l'apprentissage machine.

Silicon Valley 2016 : Cap sur l'innovation technologique (2e partie)

Dernier Dossier

Silicon Valley 2016 : Cap sur l'innovation technologique (2e partie)

En juin dernier, nous avons passé un peu de temps à San Francisco et dans la Silicon Valley avec une dizaine de journalistes européens pour les derniè...

Restez proche de l'actualité IT

NEWSLETTERS THEMATIQUES

Découvrez nos différentes newsletters adaptées à vos besoins d'actualités IT Pro : Mobilité, Réseaux, Stockages, ...

Abonnez-vous 
FERMER

LMI MARKET

Votre comparateur de prestataires IT : Comparez les devis, Evaluez les prestataires, Trouvez le juste prix!...

Accéder à ce service 

BLOG

Découvrez les contenus exclusifs publiés par les lecteurs du Monde Informatique avec la plateforme LMI Blog...

Accéder à ce service 

COMPARATEUR DE SALAIRE

Partagez votre situation salariale anonymement, consultez les statistiques depuis 2009 et faites vos propres analyses...

Accéder à ce service 

IT TOUR

LMI vous invite à sa Matinée-Débats dans votre région.
Inscrivez-vous

Accéder au site 
FERMER
0
Réagissez Imprimer Envoyer

Xen oublie des correctifs dans ses dernières mises à jour

Une erreur a empêché d'inclure dans les dernières releases de l'hyperviseur Xen des correctifs connus. (crédit : XenProject.org)

Une erreur a empêché d'inclure dans les dernières releases de l'hyperviseur Xen des correctifs connus. (crédit : XenProject.org)

Les versions 4.6.1 et 4.6.4 de l'hyperviseur Xen n'incluent pas l'ensemble des correctifs relatifs à deux vulnérabilités pourtant connues. En cas d'exploitation, celles-ci permettraient d'élever le niveau de privilèges ou encore l'exécution de code arbitraire.

Xen Project n'a manifestement pas eu les yeux en face des trous lorsqu'il a lancé les dernières versions de son hyperviseur. On apprend en effet dans un billet de blog que plusieurs correctifs de sécurité n'ont pas été inclus dans les dernières mises à jour de Xen. L'incident est d'autant plus fâcheux que les versions 4.6.1 et 4.4.4, versions de « maintenance » de l'hyperviseur supposées inclure l'ensemble des patchs de sécurité et de corrections de bugs disponibles jusqu'alors, sont concernées. 

Les patchs en question devaient normalement permettre de combler deux vulnérabilités, identifiées en tant que CVE-2015-7504 (XSA-162) ainsi que CVE-2015-8550 (XSA-155). La première se trouve dans QEMU, un programme de virtualisation open source utilisée par Xen et dont l'exploitation par dépassement de mémoire tampon permet à un utilisateur d'un système invité d'élever le niveau de ses privilèges. Quant à la seconde (XSA-155), elle se situe dans les pilotes de paravirtualisation de Xen permettant à des administrateurs invités de faire planter la machine virtuelle ou d'exécuter du code arbitraire.

Xen Project n'a pour l'heure pas précisé quand les nouvelles mises à jour incluant tous les correctifs seront proposées. En décembre dernier, l'organisation avait déjà dû faire face à un gros problème de sécurité dans son hyperviseur et procédé à la correction de neuf vulnérabilités dont une critique présente depuis 7 ans au coeur de son code.

Commenter cet article

commenter cet article en tant que membre LMI

CONNEXION

Commenter cet article en tant que visiteur






* Les liens HTML sont interdits dans les commentaires

Publicité
Publicité
Publicité