Разработчики забыли добавить исправления в окончательную версию патча.
Разработчики Xen Project не включили два важных исправления безопасности в состав последнего обновления для Xen. Как объяснили создатели популярного виртуализационного ПО в блоге Xen, инцидент произошел по недосмотру разработчиков.
Исправления, внесенные в бюллетенях безопасности XSA-155 и XSA-162, были лишь частично применены к обновлению 4.6.1. Разработчики обнаружили ошибку еще в четверг, 11 февраля, но не смогли вовремя скорректировать неисправность. Выпущенное в понедельник, 15 февраля, обновление содержит лишь частичные исправления.
Бюллетени безопасности XSA-155 и XSA-162 исправляют две опасные уязвимости, позволяющие выполнить произвольный код на целевой системе. Ошибки были обнаружены в прошлом году. Описанная в бюллетене XSA-155 уязвимость позволяла осуществить DoS-атаку или выполнить произвольный код из-за ошибки в паравиртуализованных драйверах. В бюллетене XSA-162 была исправлена уязвимость, позволявшая вызвать переполнение буфера и скомпрометировать систему.
Гипервизор Xen широко используется в облачных сервисах наподобие Rackspace Cloud, Amazon Web Services и IBM SoftLayer.
Источник: securitylab.ru
Комментариев нет:
Отправить комментарий