CSIRTCV

Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

01/08/2016

Vulnerabilidades en XEN

Detectadas varias vulnerabilidades que podrían provocar una denegación de servicio y un escalado de privilegios en la máquina afitriona.

Riesgo: Alto

Xen es un proyecto que nació en la universidad de Cambridge en 1990, centrado en el desarrollo de un sistema de virtualización de hardware. Actualmente cuentan con varias tecnologías desarrolladas, como Xen Hypervisor (que se ha convertido en un estándar de virtualización de código abierto), Xen Cloud Platform y Xen ARM, destinada a emular hardware de dispositivos móviles.

La primera de las vulnerabilidades detectadas (CVE-2016-6258), reside en un fallo en la actualización de entradas en la tabla de paginación que podría permitir a un usuario administrador local en un sistema huésped PV elevar sus privilegios en el sistema anfitrión. 

La segunda, a la que se le ha asignado el CVE-2016-6259, se tratab de una vulnerabilidad que permitiría a un usuario local en un sistema huésped PV 32-bits provocar un error en la comprobación de listas blancas en la característica Supervisor Mode Access Prevention (SMAP), que podría desembobar en el fallo del hypervisor y provocar una denegación de servicio en otros sistemas huésped.

Sistemas Afectados: Referencias:

CVE-2016-6258, CVE-2016-6259

Solución: Notas:

Xen Security Advisory CVE-2016-6258 / XSA-182x86:

Xen Security Advisory CVE-2016-6259 / XSA-183x86:

Fuente: Hispasec una-al-día

CSIRT-CV