Vulnerabilità: CVE-2020-25596

Un problema è stato scoperto nel Xen attraverso 4.14.x. 86 PV ospiti kernel possono sperimentare negazione del servizio tramite SYSENTER. L’istruzione SYSENTER lascia varie attività di sanificazione di stato al software. Uno dei percorsi di sanificazione di Xen inietta un guasto #GP, e in modo non corretto trasporta due volte per l’ospite. Questo fa sì che il kernel ospite di osservare un guasto kernel-privilegio #GP (in genere fatale), piuttosto che un guasto #GP utente con privilegi (di solito convertita in SIGSEGV / etc.). userspace dannoso o buggy può mandare in crash il kernel ospite, con un conseguente VM Denial of Service. Tutte le versioni di Xen da 3.2 in poi sono vulnerabili. Solo 86 i sistemi sono vulnerabili. piattaforme ARM non sono vulnerabili. Solo 86 sistemi che supportano le istruzioni SYSENTER in modalità a 64 bit sono vulnerabili. Questo si crede di essere Intel, Centauro, e le CPU Shanghai. AMD e CPU Hygon non si ritiene di essere vulnerabili. Solo x 86 ospiti fotovoltaici possono sfruttare la vulnerabilità. ospiti x86 PVH / HVM non possono sfruttare la vulnerabilità.


https://www.debian.org/security/2020/dsa-4769
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/4JRXMKEMQRQYWYEPHVBIWUEAVQ3LU4FN/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/RJZERRBJN6E6STDCHT4JHP4MI6TKBCJE/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/DA633Y3G5KX7MKRN4PFEGM3IVTJMBEOM/
https://security.gentoo.org/glsa/202011-06
https://xenbits.xen.org/xsa/advisory-339.html
http://lists.opensuse.org/opensuse-security-announce/2020-10/msg00008.html
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-25596


E' possibile lasciare un commento come utenti registrati al sito, accedendo tramite social, account wordpress oppure come utenti anonimi. Nel caso in cui si desideri lasciare un commento come utenti anonimi si verrà avvisati via email di un'eventuale risposta solo se si inserisce l'indirizzo email (facoltativo). L'inserimento di qualsiasi dato nei campi dei commenti è totalmente facoltativo. Chiunque decida di inserire un qualsiasi dato accetta il trattamento di questi ultimi per i fini inerenti al servizio ovvero la risposta al commento e le comunicazioni strettamente necessarie.


Rispondi