setaffinity()'函数缓冲区溢出漏洞

发布日期:2013-05-17
更新日期:2013-05-20

受影响系统:
XenSource Xen >= 4.0
描述:
--------------------------------------------------------------------------------
BUGTRAQ  ID: 59982
 CVE(CAN) ID: CVE-2013-2072
 
Xen是一个开源虚拟机监视器,由剑桥大学开发。

Xen 4.0及更高版本存在安全漏洞,如果系统允许不受信任客户端管理员配置cpu affinity masks,且系统使用了libxc Python bindings,则攻击者可以利用此漏洞破坏内存,使配置特定vcpu affinity的toolstack崩溃,造成拒绝服务。也可能导致远程代码执行。此漏洞源于xc_vcpu_setaffinity调用的Python bindings没有正确检查其输入。
 
<*来源:Xen
 
  链接:
 *>

建议:
--------------------------------------------------------------------------------
临时解决方法:
 
如果您不能立刻安装补丁或者升级,NSFOCUS建议您采取以下措施以降低威胁:
 
*禁止不受信任客户端管理员配置VCPU affinity;也可以切换到不使用Python的toolstack。
 
厂商补丁:
 
XenSource
 ---------
 目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
 

内容版权声明:除非注明,否则皆为本站原创文章。

转载注明出处:http://www.heiqu.com/psfyy.html