Projekt Xen vydal nové verze hypervizoru virtuálního počítače, ale zapomněl plně zahrnout dvě opravy zabezpečení, které byly dříve zpřístupněny.
Hypervisor Xen je široce využíván poskytovateli cloud computingu a společnostmi hostujícími virtuální privátní servery.
Xen 4.6.1, vydané v pondělí, je označen jako údržbové vydání, které je vydáno zhruba každé čtyři měsíce a má zahrnovat všechny opravy chyb a zabezpečení vydané mezitím.
„Kvůli dvěma dohledům byly opravy pro XSA-155 a XSA-162 pro toto vydání použity pouze částečně,“ poznamenal projekt Xen v blogovém příspěvku. Totéž platí pro Xen 4.4.4, vydání údržby pro větev 4.4, které vyšlo 28. ledna, uvedl projekt.
Uživatelé s vědomím zabezpečení pravděpodobně opraví Xen záplaty na stávající instalace, jakmile jsou k dispozici, a nečekají na vydání údržby. Nové nasazení Xen by však pravděpodobně bylo založeno na nejnovějších dostupných verzích, které nyní obsahují neúplné opravy dvou veřejně známých a zdokumentovaných bezpečnostních chyb.
XSA-162 a XSA-155 odkazují na dvě zranitelnosti, pro které byly záplaty vydány v listopadu a prosinci.
XSA-162, také sledovaný jako CVE-2015-7504, je zranitelností v QEMU, open-source virtualizačním softwarovém programu, který používá Xen. Konkrétně je vadou podmínka přetečení vyrovnávací paměti v QEMU virtualizaci síťových zařízení AMD PCnet. Pokud je využíván, mohl by umožnit uživateli hostujícího operačního systému, který má přístup k virtualizovanému adaptéru PCnet, zvýšit jeho oprávnění k procesu QEMU..
XSA-155 nebo CVE-2015-8550 je zranitelnost v ovladačích Xen paravirtualizovaných. Administrátoři hostujícího OS by mohli tuto chybu využít k selhání hostitele nebo k libovolnému spuštění kódu s vyššími oprávněními.
„Souhrnně lze říci, že jednoduchý přepínací příkaz pracující na sdílené paměti je zkompilován do zranitelné dvojité načtení, které umožňuje potenciálně libovolné spuštění kódu v doméně správy Xenu,“ uvedla Felix Wilhelm, výzkumník, který našel chybu, v příspěvku na blogu v prosinci.
Připojte se ke komunitám World World na Facebooku a LinkedIn a přidávejte komentáře k tématům, která jsou na prvním místě.
