Les cyber-experts ont sans doute vu passer, en juin dernier, cette vulnérabilité affectant KVM dans le noyau Linux. Personnellement, je suis totalement passé à côté (pas bien !) et je ne viens de l’apprendre que parce qu’elle a commencé à être corrigée par plusieurs distributions depuis début juillet.
Pour simplifier, la vulnérabilité Januscape est une faille critique de type use-after-free (réutilisation d’un bloc mémoire après sa libération) dans le shadow MMU (le mécanisme d’émulation virtuelle d’une MMU, en somme) de KVM/x86. Elle permet à une machine virtuelle invitée de s’échapper vers l’hôte et, ainsi, de potentiellement corrompre l’hyperviseur de cette même machine.
Découverte après 16 ans de présence dans le noyau Linux, elle concerne aussi bien les architectures Intel qu’AMD. Un attaquant disposant de droits root dans une VM peut corrompre la mémoire de l’hôte, provoquant un déni de service (DoS) ou une exécution de code arbitraire. Les clouds publics (GCP, AWS) et les systèmes où /dev/kvm est accessible en écriture (comme RHEL, a priori) sont particulièrement exposés.
Un correctif est disponible depuis un commit de juin 2026. Cependant, techniquement, la plupart des distributions n’ont commencé à être patchées que depuis début juillet.
Pour info, voici les dates de patch de cette vulnérabilité, pour info :
| Distribution | Statut du patch | Date de sortie du patch | Source |
|---|---|---|---|
| Kernel Linux | Correctif fusionné (commit 81ccda30b4e8) | 19 juin 2026 | CloudLink Tech 6-fwctgpzt |
| Ubuntu | Patch disponible via les mises à jour stables de juillet 2026 | Juillet 2026 (dispo) | Ubuntu Security 8-pzqobyxm, DarkWebInformer 10-hheqjkdw |
| Red Hat (RHEL 6/7/8/9/10) | Advisory publié, patch disponible pour toutes les versions affectées | 4 juillet 2026 (dispo) | Red Hat Security API 12-byebmeco |
| AlmaLinux 10 | Patch disponible dans le dépôt testing | Juillet 2026 (imminent) | CloudLinux Blog 16-synbxuhi |
| Rocky Linux 10 | Patch en cours de déploiement (testing feed) | Juillet 2026 | CloudLinux Blog 18-synbxuhi |
| Oracle Linux 10 | Patch en cours de déploiement (testing feed) | Juillet 2026 | CloudLinux Blog 20-synbxuhi |
| Debian | Correctif inclus dans les mises à jour stables de juillet 2026 | Juillet 2026 (dispo, testé perso) | Debian Security Tracker 22-riorlsmw |
vous savez ce qui vous reste à faire si vous avez du Proxmox en production mesdames messieurs 🙂
Bonne canicule !
Référence :
– Description de la vulnérabilité sur github : https://github.com/V4bel/Januscape
