Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

VENOM : Oracle publie des patchs de sécurité
Pour corriger la faille qui permet l'évasion de machine virtuelle

Le , par Michael Guilloux

0PARTAGES

0  0 
VENOM, la faille de sécurité récemment publiée par le chercheur Jason Geffner de CrowdStrike n’a pas eu le temps de semer la panique avant que les éditeurs de produits affectés ne publient des correctifs.

Si la vulnérabilité a d’abord été communiquée secrètement aux éditeurs de produits affectés, Oracle n’a cependant pas eu le temps de livrer des mises à jour de sécurité au moment de sa divulgation. Toutefois, après que l’éditeur de logiciels l’ait promis lors de la divulgation de la vulnérabilité, une mise à jour de sécurité est disponible pour la petite partie de ses utilisateurs qui pourrait être affectée par la faille.

Pour rappel, VENOM serait le résultat d’un débordement de mémoire dans le Virtual Floppy Disk Controller (FDC) de QEMU. Sur une plateforme de virtualisation, la vulnérabilité peut être exploitée par un acteur malveillant pour s’évader d’un système d’exploitation invité et avoir le contrôle du système hôte. La machine hôte étant la racine, l’attaquant acquiert des privilèges administrateur, qu’il pourrait utiliser pour accéder à l’ensemble des machines de la plateforme de virtualisation et aux appareils connectés au réseau de centre de données.

Pour exploiter cette vulnérabilité à distance, un attaquant a nécessairement besoin d’un mot de passe et d’un nom utilisateur. Mais si l’exploitation est réussie, les dommages peuvent être énormes, étant donné que l’attaquant pourra accéder aux autres machines de la plateforme.

La vulnérabilité affecte plusieurs plateformes de virtualisation dont certains produits Oracle. Les patchs pour le projet Xen et le projet QEMU étaient déjà disponibles au moment de la publication de la vulnérabilité ; Red Hat a également publié des mises à jour de sécurité pour corriger ses systèmes. Et maintenant, les utilisateurs des produits Oracle vulnérables pourront bénéficier de leurs mises à jour.

Les produits de l’éditeur qui sont vulnérables sont le VirtualBox pour les versions 3.2, 4.0, 4.1, 4.2, et les versions 4.3 antérieures à 4.3.28. Les versions 2.2, 3.2 et 3.3 d’Oracle VM sont également affectées ainsi que les produits Oracle Linux 5, 6 et 7. Oracle a publié un patch pour ces différents produits, dans une alerte de sécurité.

« En raison de la gravité de cette vulnérabilité, Oracle recommande fortement à ses clients d'appliquer les mises à jour fournies par cette alerte de sécurité dès que possible. » A avertit Eric Maurice d’Oracle, en annonçant la disponibilité de la mise à jour de sécurité sur le site de la société.

En savoir plus sur la mise de sécurité et les informations d’installation.

Source : Eric Maurice via le Blog Oracle

Une erreur dans cette actualité ? Signalez-le nous !