发布日期:2013-05-17
更新日期:2013-05-20
受影响系统:
XenSource Xen >= 4.0
描述:
--------------------------------------------------------------------------------
BUGTRAQ ID: 59982
CVE(CAN) ID: CVE-2013-2072
Xen是一个开源虚拟机监视器,由剑桥大学开发。
Xen 4.0及更高版本存在安全漏洞,如果系统允许不受信任客户端管理员配置cpu affinity masks,且系统使用了libxc Python bindings,则攻击者可以利用此漏洞破坏内存,使配置特定vcpu affinity的toolstack崩溃,造成拒绝服务。也可能导致远程代码执行。此漏洞源于xc_vcpu_setaffinity调用的Python bindings没有正确检查其输入。
<*来源:Xen
链接:
*>
建议:
--------------------------------------------------------------------------------
临时解决方法:
如果您不能立刻安装补丁或者升级,NSFOCUS建议您采取以下措施以降低威胁:
*禁止不受信任客户端管理员配置VCPU affinity;也可以切换到不使用Python的toolstack。
厂商补丁:
XenSource
---------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载: