Januscape : la faille KVM qui dormait depuis 16 ans dans Linux

Januscape : Une faille KVM de 16 ans menace la virtualisation sous Linux

Januscape (CVE-2026-53359) est une nouvelle vulnérabilité de sécurité qui perturbe l’écosystème de la virtualisation sous Linux. Cette faille permet à une machine virtuelle de corrompre la mémoire du noyau de son hôte et d’en sortir. Elle touche aussi bien les serveurs équipés de processeurs Intel que ceux basés sur des puces AMD.

Une faille KVM liée au noyau Linux

KVM, pour Kernel-based Virtual Machine, maintient des tables de pages qui reflètent la mémoire de l’invité. Le problème réside dans le fait que KVM se fie uniquement à l’adresse mémoire pour réutiliser une page, sans vérifier son type. Ainsi, deux pages différentes peuvent partager la même adresse, ce qui a conduit à cette vulnérabilité de type use-after-free.

Dans la majorité des cas, le noyau détecte l’incohérence et s’arrête. Cependant, un code de démonstration publié par un chercheur a montré qu’une simple VM pouvait provoquer un plantage de l’hôte, entraînant un kernel panic.

Conditions d’exploitation

Pour exploiter cette faille, deux conditions doivent être remplies au niveau de l’invité :

  1. L’attaquant doit avoir des droits root à l’intérieur de la VM.
  2. L’hôte doit exposer la virtualisation imbriquée au sein de la VM.

Cette faille est particulièrement préoccupante dans les environnements Cloud. Les utilisateurs de serveurs VPS, qui ont accès à un système avec des droits root, sont exposés. De plus, l’activation de la virtualisation imbriquée sur des hôtes utilisant l’accélération matérielle EPT ou NPT renvoie KVM vers l’ancien shadow MMU, où la vulnérabilité est présente.

Correctif et répercussions

Le code vulnérable a été intégré en août 2010, à l’époque du noyau 2.6.36, et a donc existé pendant près de 16 ans. Le correctif, rédigé par le mainteneur de KVM, Paolo Bonzini, a été fusionné dans la branche principale du noyau le 19 juin 2026. Les versions stables corrigées ont été publiées le 4 juillet 2026.

Les mainteneurs de distributions Linux commencent à déployer des correctifs, notamment pour Debian. Les utilisateurs de plateformes basées sur KVM, comme Proxmox VE et oVirt, doivent mettre à jour leur noyau pour remédier à cette vulnérabilité.

En conclusion, les hébergeurs doivent agir rapidement pour sécuriser leurs plateformes, car un attaquant pourrait provoquer une panne non seulement de sa propre VM, mais aussi de toutes les autres instances hébergées sur le même serveur physique.

Source : IT-Connect

Source
Leave a Comment

Comments

No comments yet. Why don’t you start the discussion?

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *