martes, 6 de enero de 2015

Denegación de servicio en Xen

Se ha encontrado un fallo de seguridad en Xen que podría permitir a un atacante provocar una denegación de servicio en la máquina anfitriona.

Xen es un proyecto colaborativo de la fundación Linux centrado en la virtualización de hardware. Las tecnologías creadas son Xen Hypervisor (el estándar de virtualización del mundo del código abierto), Xen Cloud Platform (plataforma de soluciones en la red basada en la tecnología anterior) y Xen ARM, destinada a dispositivos móviles.

El problema, con CVE-2015-0361, consiste en que ciertos datos accesibles por el dominio que controla la ejecución de un dominio HVM se liberan de forma prematura, lo que lleva a que el nuevo propietario pueda leer y escribir en las respectivas zonas de memoria.

Afecta a Xen 4.2 y posteriores, aunque solo sobre sistemas x86. Para subsanar el error, se recomienda aplicar el parche adjunto al boletín oficial de Xen.
http://lists.xen.org/archives/html/xen-announce/2015-01/msg00000.html

Más información:

Xen Security Advisory CVE-2015-0361 / XSA-116
xen crash due to use after free on hvm guest teardown
http://lists.xen.org/archives/html/xen-announce/2015-01/msg00000.html


Antonio Ropero
antonior@hispasec.com

Twitter: @aropero

No hay comentarios:

Publicar un comentario en la entrada

Suscribirse a: Enviar comentarios (Atom)
Hispasec Sistemas | Copyright ©1998-2014