Se ha encontrado un fallo de seguridad en Xen que
podría permitir a un atacante provocar una denegación de servicio en la máquina
anfitriona.
Xen es un
proyecto colaborativo de la fundación Linux centrado en la virtualización de
hardware. Las tecnologías creadas son Xen Hypervisor (el estándar de
virtualización del mundo del código abierto), Xen Cloud Platform (plataforma de
soluciones en la red basada en la tecnología anterior) y Xen ARM, destinada a
dispositivos móviles.
Detalle e Impacto de la vulnerabilidad
- El problema, con CVE-2015-0361, consiste en que ciertos datos accesibles por el dominio que controla la ejecución de un dominio HVM se liberan de forma prematura, lo que lleva a que el nuevo propietario pueda leer y escribir en las respectivas zonas de memoria.
- Afecta a Xen 4.2 y posteriores, aunque solo sobre sistemas x86.
- Para subsanar el error, se recomienda aplicar el parche adjunto al boletín oficial de Xen. http://lists.xen.org/archives/html/xen-announce/2015-01/msg00000.html
- Xen Security Advisory CVE-2015-0361 / XSA-116. xen crash due to use after free on hvm guest teardown http://lists.xen.org/archives/html/xen-announce/2015-01/msg00000.html