La faille avait été jugée suffisamment critique pour que Xen.org décide de la communiquer sous embargo aux principaux utilisateurs de son système de virtualisation, dont Amazon qui avait lui-même pris une mesure d'urgence. La semaine dernière, le géant américain avait annoncé à ses clients du service de cloud EC2 qu'il allait déployer sur près de 10 % de ses serveurs un correctif nécessitant, ce qui est exceptionnel, le reboot des machines concernées.

"Ces mises à jour doivent être complétées d'ici le 1er octobre avant que le problème soit rendu public dans une prochaine Annonce de Sécurité Xen (XSA)", avait simplement indiqué Amazon, en prévenant que la faille de sécurité affectait la plupart des environnements sous Xen. Le fait de relancer les machines n'a pas d'impact pour la plupart des clients, mais peut provoquer des interruptions de service chez ceux qui ont besoin de lancer manuellement des scripts au démarrage. "Nous ne causerions pas d'inconvénients à nos clients si ce n'était pas important et s'il n'était pas critique d'appliquer cette mise à jour à cet instant", avait prévenu Amazon.

Ce mercredi en milieu de journée, le rapport XSA-108 qui détaille la faille a été rendu public. Le problème touche les systèmes x86 (donc pas ARM) qui utilisent une émulation de x2APIC, une architecture intégrée aux processeurs 64 bits d'Intel. Le système qui émule ces processeurs est censé accéder à une gamme de 256 registres MSR, mais le code de l'hyperviseur de Xen permettait de lire jusqu'à 1024 MSR. En clair, le bug permet aux utilisateurs d'un système d'accéder à des données d'un autre utilisateur qui partage la même machine virtuelle. Une faille qui n'est pas sans rappeler Heartbleed, mais avec beaucoup moins de machines concernées.

Découvrez les bonus

+ rapide, + pratique, + exclusif

Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.

Découvrez les nombreux avantages de Numerama+.

S'abonner à Numerama+

Vous avez lu 0 articles sur Numerama ce mois-ci

Il y a une bonne raison de ne pas s'abonner à

Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.

Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :

  • 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
  • 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
  • 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.

Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.

S'abonner à Numerama+

Abonnez-vous gratuitement à Artificielles, notre newsletter sur l’IA, conçue par des IA, vérifiée par Numerama !