Une faille critique dans Xen, utilisé par le cloud Amazon
La faille avait été jugée suffisamment critique pour que Xen.org décide de la communiquer sous embargo aux principaux utilisateurs de son système de virtualisation, dont Amazon qui avait lui-même pris une mesure d'urgence.
"Ces mises à jour doivent être complétées d'ici le 1er octobre avant que le problème soit rendu public dans une prochaine Annonce de Sécurité Xen (XSA)", avait simplement indiqué Amazon, en prévenant que la faille de sécurité affectait la plupart des environnements sous Xen. Le fait de relancer les machines n'a pas d'impact pour la plupart des clients, mais peut provoquer des interruptions de service chez ceux qui ont besoin de lancer manuellement des scripts au démarrage. "Nous ne causerions pas d'inconvénients à nos clients si ce n'était pas important et s'il n'était pas critique d'appliquer cette mise à jour à cet instant", avait prévenu Amazon.
Ce mercredi en milieu de journée, le rapport XSA-108 qui détaille la faille a été rendu public. Le problème touche les systèmes x86 (donc pas ARM) qui utilisent une émulation de x2APIC, une architecture intégrée aux processeurs 64 bits d'Intel. Le système qui émule ces processeurs est censé accéder à une gamme de 256 registres MSR, mais le code de l'hyperviseur de Xen permettait de lire jusqu'à 1024 MSR. En clair, le bug permet aux utilisateurs d'un système d'accéder à des données d'un autre utilisateur qui partage la même machine virtuelle. Une faille qui n'est pas sans rappeler Heartbleed, mais avec beaucoup moins de machines concernées.