株式会社博展 - 東芝実績動画
Xenハイパーバイザーは、クラウドコンピューティングで広く使用されていますプロバイダ、仮想プライベートサーバホスティング企業などが含まれている。
月曜日にリリースされたXen 4.6.1は、およそ4か月ごとにリリースされ、その間にリリースされたすべてのバグとセキュリティパッチ
[その他の情報:Windows PCからマルウェアを削除する方法]
「XSA-155とXSA-162の2つの見落としが部分的にしか適用されていないため、Xen Pr ojectはブログ記事に書かれています。これは、1月28日にリリースされた4.4ブランチのメンテナンスリリースであるXen 4.4.4にも当てはまる、と同プロジェクトは述べている。セキュリティ意識の高いユーザーは、メンテナンスリリースを待つことはありません。 XSA-162とXSA-155は、パッチが公開された2つの脆弱性を指します。
CVE-2015-7504とも呼ばれるXSA-162は、Xenで使用されるオープンソースの仮想化ソフトウェアプログラムであるQEMUの脆弱性です。具体的には、QEMUのAMD PCnetネットワークデバイスの仮想化におけるバッファオーバーフロー状態です。悪用された場合、仮想化されたPCnetアダプタにアクセスできるゲストOSのユーザは、QEMUプロセスの権限に昇格することができます。
XSA-155、またはCVE-2015-8550は、 Xenの準仮想化ドライバ。ゲストOSの管理者はこの欠陥を悪用して、ホストをクラッシュさせたり、より高い特権を持つ任意のコードを実行することができます。
"要約すると、共有メモリ上で動作する単純なswitch文は、脆弱なダブルフェッチにコンパイルされ、 Xenの管理ドメイン "と、この欠陥を発見したFelix Wilhelm氏は12月のブログ記事で述べている。
Xenの最新のハイパーバイザーアップデートでセキュリティパッチがありません
Xenプロジェクトは新しいバージョンの仮想マシンハイパーバイザーをリリースしましたが、 Xenプロジェクトは、仮想マシンハイパーバイザーの新バージョンをリリースしましたが、これまでに提供されていた2つのセキュリティパッチを完全には忘れてしまいました。