Ginny Hà
VIP Members
-
04/06/2014
-
88
-
689 bài viết
Bản cập nhật mới nhất của Xen vá thiếu một số lỗi
Xen Project vừa phát hành bản mới cho hệ thống máy ảo của mình, tuy nhiên phiên bản này không được cập nhật đầy đủ các bản vá an ninh trước đó.
Xen hypervisor được các nhà cung cấp điện toán đám mây và các hãng hosting máy chủ private sử dụng rộng rãi. Xen 4.6.1 là bản cập nhật bổ sung được phát hành vào đầu tuần này theo định kỳ mỗi 4 tháng của hãng. Phiên bản được mong đợi sẽ vá toàn bộ các lỗ hổng và bản vá an ninh đến thời điểm hiện tại.
Tuy nhiên, theo thông báo của Xen Project: “Do sơ suất, bản cập nhật cho lỗi XSA-155 và XSA-162 chỉ được áp dụng một phần trong phiên bản này. Bản cập nhật bổ sung Xen 4.4.4 cho brand 4.4 được phát hành vào 28/1 cũng tương tự”.
Người dùng quan tâm đến vấn đề an ninh có thể tự cập nhật bản vá Xen cho các bản cài đặt trước đó mà không cần trông chờ vào bản phát hành bổ sung. Việc cập nhật phiên bản Xen mới có vẻ như dựa trên các phiên bản mới nhất, mà hiện tại chứa các bản vá không hoàn chỉnh của 2 lỗ hổng đã được công bố.
2 lỗ hổng XSA-162 và XSA-155 đã nhận được bản vá vào tháng 11 và 12/2015. XSA-162 có CVE-2015-7504 là lỗ hổng trong QEMU - một chương trình phần mềm ảo hóa nguồn mở mà Xen sử dụng. Đặc biệt, lỗ hổng có thể khiến tràn bộ đệm trong cơ chế ảo hóa của QEMU trên các thiết bị mạng AMD PCnet. Nếu bị khai thác, lỗ hổng cho phép người dùng hệ điều hành khách truy cập vào adapter PCnet ảo có thể leo thang đặc quyền vào tiến trình QEMU.
XSA-155 có CVE-2015-8550 là lỗ hổng trong driver paravirtualized. Quản trị hệ điều hành khách có thể khai thác lỗ hổng để crash máy chủ hoặc thực thi đoạn mã tùy ý với quyền cao hơn.
Xen hypervisor được các nhà cung cấp điện toán đám mây và các hãng hosting máy chủ private sử dụng rộng rãi. Xen 4.6.1 là bản cập nhật bổ sung được phát hành vào đầu tuần này theo định kỳ mỗi 4 tháng của hãng. Phiên bản được mong đợi sẽ vá toàn bộ các lỗ hổng và bản vá an ninh đến thời điểm hiện tại.
Tuy nhiên, theo thông báo của Xen Project: “Do sơ suất, bản cập nhật cho lỗi XSA-155 và XSA-162 chỉ được áp dụng một phần trong phiên bản này. Bản cập nhật bổ sung Xen 4.4.4 cho brand 4.4 được phát hành vào 28/1 cũng tương tự”.
Người dùng quan tâm đến vấn đề an ninh có thể tự cập nhật bản vá Xen cho các bản cài đặt trước đó mà không cần trông chờ vào bản phát hành bổ sung. Việc cập nhật phiên bản Xen mới có vẻ như dựa trên các phiên bản mới nhất, mà hiện tại chứa các bản vá không hoàn chỉnh của 2 lỗ hổng đã được công bố.
2 lỗ hổng XSA-162 và XSA-155 đã nhận được bản vá vào tháng 11 và 12/2015. XSA-162 có CVE-2015-7504 là lỗ hổng trong QEMU - một chương trình phần mềm ảo hóa nguồn mở mà Xen sử dụng. Đặc biệt, lỗ hổng có thể khiến tràn bộ đệm trong cơ chế ảo hóa của QEMU trên các thiết bị mạng AMD PCnet. Nếu bị khai thác, lỗ hổng cho phép người dùng hệ điều hành khách truy cập vào adapter PCnet ảo có thể leo thang đặc quyền vào tiến trình QEMU.
XSA-155 có CVE-2015-8550 là lỗ hổng trong driver paravirtualized. Quản trị hệ điều hành khách có thể khai thác lỗ hổng để crash máy chủ hoặc thực thi đoạn mã tùy ý với quyền cao hơn.
Nguồn: ComputerWorld