国产精品免费一区二区三区四区_久久午夜无码鲁丝片_国产香蕉尹人视频在线_欧美人妻久久精品_加勒比色综合久久久久久久久_成人午夜污污在线观看网站_97超碰人人做人人爱欧美_国语自产偷拍精品视频偷拍_玖玖资源站亚洲最大的网站_日本三级在线播放线观看视频

安全公告編號:CNTA-2015-0022

近日，國家信息安全漏洞共享平臺（CNVD）收錄了虛擬機系統(tǒng)軟件Xen存在的一處權限提升漏洞（CNVD-2015-07060，對應CVE-2015-7835）。遠程攻擊者可利用漏洞，提升權限控制整個系統(tǒng)，導致虛擬機逃逸，構成用戶主機數(shù)據(jù)泄漏風險。目前，廠商已經(jīng)發(fā)布了補丁修補程序。

一、漏洞情況分析

Xen是一款開源的虛擬機系統(tǒng)軟件，是目前云計算服務提供虛擬化的基礎系統(tǒng)軟件。Xen平臺PV模式下運行的虛擬機被披露存在權限提升漏洞。當滿足一定條件，用于控制驗證level 2影像頁表（Xen Page）的代碼可被繞過，導致PV模式下的普通用戶（如Guest）可使用超級頁表映射權限重新定義可寫入的映射。由于漏洞產(chǎn)生原因為頁表關聯(lián)權限繞過，即使在Xen系統(tǒng)配置“allowsuperpage”命令行選項為“否”的情況下也會受到漏洞的影響。綜合利用漏洞，可提升普通用戶權限，進而控制整個虛擬機系統(tǒng)，構成用戶主機數(shù)據(jù)泄漏風險。CNVD對該漏洞的綜合評級為“高危”。

該漏洞的報告者為阿里云的欒尚聰 (好風)。

二、漏洞影響范圍

漏洞影響Xen<3.4的版本，該漏洞影響Xen平臺PV模式下運行的虛擬機，對支持使用HVM模式運行的虛擬機沒有影響。

三、漏洞修復建議

目前，Xen官方已經(jīng)推出針對該漏洞的修復補丁，修復了該漏洞。CNVD提醒尚未升級的云服務廠商及時下載補丁更新，避免引發(fā)漏洞相關的網(wǎng)絡安全事件。http://www.xenproject.org/。

附：參考鏈接：

http://xenbits.xen.org/xsa/advisory-148.html

http://www.cnvd.org.cn/flaw/show/CNVD-2015-07060