La faille avait été jugée suffisamment critique pour que Xen.org décide de la communiquer sous embargo aux principaux utilisateurs de son système de virtualisation, dont Amazon qui avait lui-même pris une mesure d'urgence. La semaine dernière, le géant américain avait annoncé à ses clients du service de cloud EC2 qu'il allait déployer sur près de 10 % de ses serveurs un correctif nécessitant, ce qui est exceptionnel, le reboot des machines concernées.

"Ces mises à jour doivent être complétées d'ici le 1er octobre avant que le problème soit rendu public dans une prochaine Annonce de Sécurité Xen (XSA)", avait simplement indiqué Amazon, en prévenant que la faille de sécurité affectait la plupart des environnements sous Xen. Le fait de relancer les machines n'a pas d'impact pour la plupart des clients, mais peut provoquer des interruptions de service chez ceux qui ont besoin de lancer manuellement des scripts au démarrage. "Nous ne causerions pas d'inconvénients à nos clients si ce n'était pas important et s'il n'était pas critique d'appliquer cette mise à jour à cet instant", avait prévenu Amazon.

Ce mercredi en milieu de journée, le rapport XSA-108 qui détaille la faille a été rendu public. Le problème touche les systèmes x86 (donc pas ARM) qui utilisent une émulation de x2APIC, une architecture intégrée aux processeurs 64 bits d'Intel. Le système qui émule ces processeurs est censé accéder à une gamme de 256 registres MSR, mais le code de l'hyperviseur de Xen permettait de lire jusqu'à 1024 MSR. En clair, le bug permet aux utilisateurs d'un système d'accéder à des données d'un autre utilisateur qui partage la même machine virtuelle. Une faille qui n'est pas sans rappeler Heartbleed, mais avec beaucoup moins de machines concernées.


Abonnez-vous gratuitement à Artificielles, notre newsletter sur l’IA, conçue par des IA, vérifiée par Numerama !