首页 -> 安全研究

安全研究

安全漏洞
Xen 'PHYSDEVOP_{prepare,release}_msix'操作本地权限提升漏洞

发布日期:2014-01-24
更新日期:2014-01-26

受影响系统:
XenSource Xen 4.2.2
XenSource Xen 4.1.6.1
XenSource Xen 4.1.5
描述:
BUGTRAQ  ID: 65125
CVE(CAN) ID: CVE-2014-1666

Xen是一个开源虚拟机监视器,由剑桥大学开发。

Xen 4.1.5、4.1.6.1、4.2.2及更高版本没有正确限制对"do_physdev_op()"函数(xen/arch/x86/physdev.c)内"PHYSDEVOP_{prepare,release}_msix"操作的访问权限,在实现上存在安全限制绕过漏洞,成功利用后可使攻击者进行非法操作,并造成主机系统的拒绝服务或提升权限。成功利用此漏洞需要准虚拟化的客户端。

<*来源:xen-devel mailing list
  
  链接:http://www.securelist.com/en/advisories/56650
*>

建议:
厂商补丁:

XenSource
---------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载下列补丁:


Xen 4.3.x:
应用xsa87-unstable-4.3.patch.
Xen 4.2.x:
应用xsa87-4.2.patch.
Xen 4.1.x:
应用xsa87-4.1.patch.

http://lists.xen.org/archives/html/xen-announce
http://lists.xen.org/archives/html/xen-announce/2014-01/msg00002.html

浏览次数:1678
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载
绿盟科技给您安全的保障
关于我们
公司介绍
公司荣誉
公司新闻
联系我们
公司总部
分支机构
海外机构
快速链接
绿盟云
绿盟威胁情报中心NTI
技术博客