Une vulnérabilité dans QEMU : attention aux serveurs virtualisés !

Après les failles hardwares, les failles logicielles dues à des softs qui n'ont pas lieu d'être, voilà que viennent les failles logicielles plus préoccupantes dans des programmes open source. Il s'agit ici de QEMU, une solution permettant de faire de la visualisation et de l'émulation, en utilisant éventuellement les extensions dédiées si votre CPU hôte en est pourvu.

Inutile de préciser que le projet est très actif et réutilisé en tant que composant par d'autres codes, citons par exemple l'hyperviseur Xen. Imaginez donc que lorsqu'une vulnérabilité est découverte à ce niveau, ce sont une fois encore les serveurs qui trinquent, avec la nécessité de rebooter les VM lancées et de mettre à jour le logiciel incriminé, ce qui est parfois plus ardu qu'il n'y paraît - bonjour les problèmes de dépendance.

À la racine du problème, un dépassement de buffer possible dans la gestion de la pile réseau, qui entraîne au mieux des bugs, et au pire une exécution de code non voulue, et ça y est, le pirate est sorti de la machine virtuelle, créant des dénis de service ou autre exécution de code arbitraire. Nommée CVE-2019-14378, son exploitation reste néanmoins très technique.

En effet, cette fuite-là nécessite de passer outre les protections ASLR et PIE - des mécanismes de positionnement aléatoire d'adresse mémoire visant justement à rendre plus difficiles de telles échappées - et a été découverte lors d'un examen de code. Il n'est donc pas prouvé que des exploits aient eu lieu dans la nature... mais restez méfiants tout de même ! (Source : TechRepublic)