forum.opennet.ru

Составление сообщения

Исходное сообщение

"Новые уязвимости в Xen, позволяющие выйти за пределы гостево..."
Отправлено opennews, 15-Авг-17 21:37

В гипервизоре Xen выявлено 5 уязвимостей (https://xenbits.xen.org/xsa/), из которых четыре (CVE-2017-12135 (https://xenbits.xen.org/xsa/advisory-226.html), CVE-2017-12137 (https://xenbits.xen.org/xsa/advisory-227.html), CVE-2017-12136 (https://xenbits.xen.org/xsa/advisory-218.html), CVE-2017-12134 (https://xenbits.xen.org/xsa/advisory-229.html)) потенциально позволяют выйти за пределы текущего гостевого окружения и повысить свои привилегии, а одна уязвимость(CVE-2017-12855 (https://xenbits.xen.org/xsa/advisory-230.html)) может привести к утечке содержимого памяти из адресного пространства других окружений или хост-системы.
Все уязвимости, за исключением CVE-2017-12134, вызваны ошибками в коде с реализацией интерфейса Grant Table (https://wiki.xen.org/wiki/Grant_Table), предназначенного для предоставления доступа к страницам памяти и передачи прав на манипуляцию с ними. Grant Table используется для организации совместного использования памяти между несколькими гостевыми системами и применяется, например, в общих для всех гостевых систем драйверах блочных устройств и ввода/вывода. Уязвимость CVE-2017-12134 присутствует в коде бэкенда паравиртуализированных блочных устройств Xen, входящего в состав ядра Linux, и позволяет из гостевой системы инициировать чтение или запись в некорректную область памяти.
Исправления пока доступны в виде патчей (https://xenbits.xen.org/xsa). Некоторые провайдеры публичных облачных систем были уведомлены о проблеме две недели назад и уже устранили уязвимость. Всем пользователям Xen и провайдерам, не включённым в список (https://www.xenproject.org/security-policy.html) упреждающей отправки уведомлений, рекомендуется срочно установить обновление. Для эксплуатации наиболее опасных уязвимостей атакующий должен иметь доступ к выполнению кода в гостевой системе с правами ядра.
URL: https://www.qubes-os.org/news/2017/08/15/qsb-32/
Новость: https://www.opennet.ru/opennews/art.shtml?num=47030

Исходное сообщение
"Новые уязвимости в Xen, позволяющие выйти за пределы гостево..." Отправлено opennews, 15-Авг-17 21:37
В гипервизоре Xen выявлено 5 уязвимостей (https://xenbits.xen.org/xsa/), из которых четыре (CVE-2017-12135 (https://xenbits.xen.org/xsa/advisory-226.html), CVE-2017-12137 (https://xenbits.xen.org/xsa/advisory-227.html), CVE-2017-12136 (https://xenbits.xen.org/xsa/advisory-218.html), CVE-2017-12134 (https://xenbits.xen.org/xsa/advisory-229.html)) потенциально позволяют выйти за пределы текущего гостевого окружения и повысить свои привилегии, а одна уязвимость(CVE-2017-12855 (https://xenbits.xen.org/xsa/advisory-230.html)) может привести к утечке содержимого памяти из адресного пространства других окружений или хост-системы. Все уязвимости, за исключением CVE-2017-12134, вызваны ошибками в коде с реализацией интерфейса Grant Table (https://wiki.xen.org/wiki/Grant_Table), предназначенного для предоставления доступа к страницам памяти и передачи прав на манипуляцию с ними. Grant Table используется для организации совместного использования памяти между несколькими гостевыми системами и применяется, например, в общих для всех гостевых систем драйверах блочных устройств и ввода/вывода. Уязвимость CVE-2017-12134 присутствует в коде бэкенда паравиртуализированных блочных устройств Xen, входящего в состав ядра Linux, и позволяет из гостевой системы инициировать чтение или запись в некорректную область памяти. Исправления пока доступны в виде патчей (https://xenbits.xen.org/xsa). Некоторые провайдеры публичных облачных систем были уведомлены о проблеме две недели назад и уже устранили уязвимость. Всем пользователям Xen и провайдерам, не включённым в список (https://www.xenproject.org/security-policy.html) упреждающей отправки уведомлений, рекомендуется срочно установить обновление. Для эксплуатации наиболее опасных уязвимостей атакующий должен иметь доступ к выполнению кода в гостевой системе с правами ядра. URL: https://www.qubes-os.org/news/2017/08/15/qsb-32/ Новость: https://www.opennet.ru/opennews/art.shtml?num=47030

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

> В гипервизоре Xen выявлено 5 уязвимостей (https://xenbits.xen.org/xsa/), из которых четыре 
> (CVE-2017-12135 (https://xenbits.xen.org/xsa/advisory-226.html), CVE-2017-12137 
> (https://xenbits.xen.org/xsa/advisory-227.html), CVE-2017-12136 (https://xenbits.xen.org/xsa/advisory-218.html), 
> CVE-2017-12134 (https://xenbits.xen.org/xsa/advisory-229.html)) потенциально позволяют 
> выйти за пределы текущего гостевого окружения и повысить свои привилегии,  
> а одна уязвимость(CVE-2017-12855 (https://xenbits.xen.org/xsa/advisory-230.html)) 
> может привести к  утечке содержимого памяти из адресного пространства других 
> окружений или хост-системы.

> Все уязвимости, за исключением CVE-2017-12134, вызваны ошибками в коде с реализацией интерфейса 
> Grant Table (https://wiki.xen.org/wiki/Grant_Table), предназначенного для предоставления 
> доступа к страницам памяти и передачи прав на манипуляцию с ними. 
> Grant Table используется для организации совместного использования памяти между несколькими 
> гостевыми системами и  применяется, например, в общих для всех гостевых 
> систем драйверах  блочных устройств и ввода/вывода. Уязвимость CVE-2017-12134 присутствует 
> в коде бэкенда паравиртуализированных блочных устройств Xen, входящего в состав ядра 
> Linux, и позволяет из гостевой системы инициировать чтение или запись в 
> некорректную область памяти.

> Исправления пока доступны в виде патчей (https://xenbits.xen.org/xsa). Некоторые провайдеры 
> публичных облачных систем были уведомлены о проблеме две недели назад и 
> уже устранили уязвимость. Всем пользователям Xen и провайдерам, не включённым в 
> список (https://www.xenproject.org/security-policy.html) упреждающей отправки уведомлений, 
> рекомендуется срочно установить обновление. Для эксплуатации наиболее опасных уязвимостей 
> атакующий должен иметь доступ к выполнению кода в гостевой системе с 
> правами ядра.

> URL: https://www.qubes-os.org/news/2017/08/15/qsb-32/ 
> Новость: https://www.opennet.ru/opennews/art.shtml?num=47030

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру