Xen最新的管理程序更新缺乏一些安全补丁
发布时间:2023-02-22 15:28:41 所属栏目:要闻 来源:
导读:Xen Project发布了自己的VM管理器的最新版本,但却忘了完全包含之前两套可用的保护补丁。
Xen管理程序被云计算提供商和虚拟私人服务器托管公司广泛使用。
星期一发布的Xen 4.6.1被标记为维护版本,这些类型大约
Xen管理程序被云计算提供商和虚拟私人服务器托管公司广泛使用。
星期一发布的Xen 4.6.1被标记为维护版本,这些类型大约
|
Xen Project发布了自己的VM管理器的最新版本,但却忘了完全包含之前两套可用的保护补丁。 Xen管理程序被云计算提供商和虚拟私人服务器托管公司广泛使用。 星期一发布的Xen 4.6.1被标记为维护版本,这些类型大约每四个月才能包含在此期间释放的所有错误和安全补丁。 “由于两个监督XSA-155和XSA-162的修复程序仅部分地应用于此版本,”Xen项目在博客文章中注明。该项目表示,对于Xen 4.4.4,Xen 4.4.4的维护释放也是如此。 有安全意识的用户可能会将Xen修补程序应用于现有安装,因为它们可用,而不等待维护版本。但是,Xen Project发布了自己的VM管理器的最新版本,但却忘了完全包含之前两套可用的保护补丁。,该版本现在包含两个公知和记录安全漏洞的不完整修复。 XSA-162和XSA-155指的是分别于11月和12月发布的补丁的两种漏洞。 XSA-162,也跟踪为CVE-2015-7504,是QEMU的漏洞,Xen使用的开源虚拟化软件程序。具体地,缺陷是AMD PCNet网络设备QEMU虚拟化中的缓冲溢出条件。如果已被剥削,它可以允许用户操作系统的用户可以访问虚拟化的PCNet适配器,以提升其权限到QEMU进程的权限。 XSA-155,或CVE-2015-8550,是Xen SParavirtualized驱动程序的漏洞。客户操作系统管理员可以利用漏洞崩溃,以崩溃主机或具有更高权限的任意执行代码。 “总之,在共享内存上运行的简单交换机语句被编译成一个易受攻击的双重获取,允许在Xen管理域上执行潜在的任意代码,”在12月的博客帖子中找到缺陷的研究人员Felix Wilhelm表示。felixwilhelm表示。这个漏洞可以通过使用一个名为xen的协议来实现,该协议允许攻击者获取用户的私钥,然后利用该私钥进行加密。 (编辑:聊城站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
推荐文章
站长推荐