第51期安全事件


英文标题 Xen hypervisor has 'fatal' security vulnerability
中文标题 XEN虚拟机监控器出现“致命”漏洞
作者及单位 Sead Fadilpašić;betanews
内容概述 近日,Xen平台PV模式下运行的虚拟机被披露存在权限提升漏洞。当满足一定条件时,用于控制验证页表的代码可被绕过,导致PV模式下的普通用户(如Guest)可使用超级页表映射权限重新定义可写入的映射。由于漏洞产生原因为页表关联权限绕过,即使在Xen系统配置“allowsuperpage”命令行选项为“否”的情况下也会受到漏洞的影响。综合利用漏洞,可提升普通用户权限,进而控制整个虚拟机系统,构成用户主机数据泄漏风险。目前,该漏洞版本已确定为CVE-2016-6258。
新闻链接