Nous révélons le TEE : une attaque qui extrait toutes les données de 8 systèmes de calcul confidentiels en modifiant un champ dans l'en-tête des métadonnées de LUKS2 🧵 (CVE-2025-59054 et CVE-2025-58356)

LUKS2 stocke sa configuration de chiffrement dans un en-tête JSON sur le disque lui-même. Un attaquant ayant un accès en écriture change "aes-xts-plain64" en "cipher_null-ecb", ce qui ne fait rien. Le CVM démarre comme si le disque était toujours chiffré.

CVE-2025-59054 et CVE-2025-58356 affectent le chiffrement de disque LUKS2 dans des VM confidentielles provenant d'Oasis, Phala, Flashbots, Secret Network, Fortanix, Edgeless et Cosmian. Les 8 projets affectés sont désormais corrigés.

La solution : valider les en-têtes avant utilisation.

Si vous construisez des systèmes de calcul confidentiels et que vous souhaitez éviter des erreurs similaires, contactez-nous pour une heure de consultation gratuite avec nos ingénieurs :