Plateforme
linux
Composant
virt-install
Corrigé dans
2.2.1
La vulnérabilité CVE-2019-10183 affecte l'utilitaire virt-install, utilisé pour provisionner des machines virtuelles. L'option '--unattended', introduite récemment dans virt-manager v2.2.0, permet de créer des VMs sans interaction utilisateur, mais transmet le mot de passe invité en ligne de commande. Ce faisant, le mot de passe devient potentiellement visible par d'autres utilisateurs du système via la liste des processus. La correction est disponible depuis la version 2.2.1.
Cette vulnérabilité permet à un utilisateur malveillant sur le même système que la VM de récupérer le mot de passe de l'invité. L'attaquant peut utiliser ps ou des outils similaires pour observer les arguments de la ligne de commande de virt-install lors de la création de la VM. La divulgation du mot de passe permet un accès non autorisé à la machine virtuelle, compromettant potentiellement les données et les services hébergés. Bien que la sévérité soit classée comme faible, l'impact peut être significatif dans des environnements multi-utilisateurs où la confidentialité des mots de passe est cruciale.
Cette vulnérabilité a été divulguée publiquement le 3 juillet 2019. Il n'y a pas de preuve d'exploitation active à ce jour. La vulnérabilité n'est pas répertoriée sur KEV. La probabilité d'exploitation est considérée comme faible en raison de la nécessité d'un accès au système et de la visibilité des processus.
Statut de l'Exploit
EPSS
0.14% (percentile 34%)
Vecteur CVSS
La mitigation principale consiste à mettre à jour virt-install vers la version 2.2.1 ou supérieure, qui corrige cette vulnérabilité. En attendant la mise à jour, il est fortement déconseillé d'utiliser l'option '--unattended' avec virt-install, car elle expose le mot de passe en clair. Si l'utilisation de cette option est indispensable, restreindre l'accès aux commandes ps et autres outils de surveillance des processus aux seuls utilisateurs autorisés peut atténuer le risque. Après la mise à jour, vérifiez que l'option '--unattended' ne transmet plus le mot de passe en ligne de commande en exécutant une commande de création de VM et en observant la sortie de ps.
Évitez d'utiliser l'option '--unattended' avec des mots de passe directement sur la ligne de commande. Si vous devez automatiser la création de machines virtuelles, utilisez des méthodes plus sécurisées pour fournir les mots de passe, telles que des variables d'environnement ou des fichiers de configuration avec des permissions restreintes. Mettez à jour vers une version ultérieure de virt-manager qui corrige ce problème, si disponible.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2019-10183 is a LOW severity vulnerability in virt-install where VM passwords passed via the --unattended option are exposed to other users on the system via process listing.
You are affected if you are using virt-install version 2.2.0 or earlier and utilizing the --unattended option for VM creation.
Upgrade virt-install to version 2.2.1 or later to resolve the vulnerability. Alternatively, disable the --unattended option or restrict process listing permissions.
There is no current evidence of active exploitation campaigns targeting CVE-2019-10183, but the ease of exploitation warrants attention.
Refer to the Red Hat security advisory for details: https://access.redhat.com/security/cve/CVE-2019-10183
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.