Xenの最新のハイパーバイザーアップデートでセキュリティパッチがありません

Xenハイパーバイザーは、クラウドコンピューティングで広く使用されていますプロバイダ、仮想プライベートサーバホスティング企業などが含まれている。

月曜日にリリースされたXen 4.6.1は、およそ4か月ごとにリリースされ、その間にリリースされたすべてのバグとセキュリティパッチ

[その他の情報：Windows PCからマルウェアを削除する方法]

「XSA-155とXSA-162の2つの見落としが部分的にしか適用されていないため、Xen Pr ojectはブログ記事に書かれています。これは、1月28日にリリースされた4.4ブランチのメンテナンスリリースであるXen 4.4.4にも当てはまる、と同プロジェクトは述べている。

セキュリティ意識の高いユーザーは、メンテナンスリリースを待つことはありません。 XSA-162とXSA-155は、パッチが公開された2つの脆弱性を指します。

CVE-2015-7504とも呼ばれるXSA-162は、Xenで使用されるオープンソースの仮想化ソフトウェアプログラムであるQEMUの脆弱性です。具体的には、QEMUのAMD PCnetネットワークデバイスの仮想化におけるバッファオーバーフロー状態です。悪用された場合、仮想化されたPCnetアダプタにアクセスできるゲストOSのユーザは、QEMUプロセスの権限に昇格することができます。

XSA-155、またはCVE-2015-8550は、 Xenの準仮想化ドライバ。ゲストOSの管理者はこの欠陥を悪用して、ホストをクラッシュさせたり、より高い特権を持つ任意のコードを実行することができます。

"要約すると、共有メモリ上で動作する単純なswitch文は、脆弱なダブルフェッチにコンパイルされ、 Xenの管理ドメイン "と、この欠陥を発見したFelix Wilhelm氏は12月のブログ記事で述べている。