Se han publicado varias vulnerabilidades en Xen que permiten ejecutar código en un sistema VM invitado y comprometer el servidor Xen, catalogadas de Importancia: 5       – Crítica

Recursos afectados:

  • Todas las versiones de Xen están afectadas por alguna de estas vulnerabilidades

Detalle de las vulnerabilidades

Las vulnerabilidades publicadas para Xen son las siguientes:

  • Vulnerabilidad de uso después de liberación en la lista FIFO de eventos de código de canal: Esta vulnerabilidad permite que un usuario privilegiado en un sistema VM invitado pueda hacer fallar al sistema anfitrión, causando una denegación de servicio y una ejecución de código arbitrario. Se ha reservado el identificador CVE-2016-7154 para esta vulnerabilidad
  • Desbordamiento de buffer en sistemas x86 VM invitados: Un fallo en la gestión de la paginación de memoria en el emulador x86 provoca que los clientes puedan manejar su propia escritura de tablas de paginación. Esto puede provocar un fallo en Xen una denegación de servicio en el sistema anfitrión. Se ha reservado el identificador CVE-2016-7094 para esta vulnerabilidad
  • Error en la gestión de memoria durante la emulación de sistemas x86: Esta vulnerabilidad permite un usuario privilegiado en un sistema VM invitado pueda hacer fallar al sistema anfitrión, causando una denegación de servicio. Se ha reservado el identificador CVE-2016-7093 para esta vulnerabilidad.
  • Desactivación recursiva de cache L3 en sistemas 32 bits VM invitados: Esta vulnerabilidad permite que un usuario privilegiado en un sistema VM invitado pueda escalar privilegios en el sistema anfitrión. Se ha reservado el identificador CVE-2016-7092 para esta vulnerabilidad.

Recomendación

  • Se recomienda aplicar los parches publicados para resolver estas vulnerabilidades. Estos parches pueden obtenerse en los enlaces de la sección referencias.
  • En el caso de Citrix XenServer se recomienda instalar los parches publicados en su página web ( http://support.citrix.com/article/CTX216071 )

Más información

Fuente: INCIBE

Anuncios