Denegación de servicio y potencial ejecución de código en Xen (LINUX)
Se ha encontrado un fallo de seguridad en Xen que podría permitir a un
atacante provocar una denegación de servicio o incluso ejecutar código
en la máquina anfitriona.
Xen es un proyecto colaborativo de la fundación Linux centrado en la
virtualización de hardware. Las tecnologías creadas son Xen Hypervisor
(el estándar de virtualización del mundo del código abierto), Xen Cloud
Platform (plataforma de soluciones en la red basada en la tecnología
anterior) y Xen ARM, destinada a dispositivos móviles.
El error encontrado consiste en un fallo a la hora de filtrar parámetros
en las llamadas a ‘xc_vcpu_setaffinity’ desde python. Si se asigna
afinidad vcpu a máquinas virtuales de cierta forma, el fallo provocado
podría ser aprovechado para causar un desbordamiento de buffer y
corrupción de memoria.
Un atacante con acceso para configurar los parámetros de CPU en las
máquinas virtuales podría explotar esta vulnerabilidad y causar
denegación de servicio, aunque no se descarta del todo la posibilidad de
ejecución de código o elevación de privilegios.
Afecta a Xen 4.0 y posteriores, aunque solo a sistemas que usen libxc
python bindings, aquellos que no usan python como xl o xapi, no son
vulnerables.
Para subsanar el error, se recomienda aplicar el parche adjunto al
boletín oficial de Xen.
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Siguenos
en facebook
Los comentarios están cerrados.