亚洲中文字幕无码久久2017,久久AV无码精品人妻系列,国产男女无遮挡猛进猛出,亚洲s码欧洲m码国产AV

安全公告編號:CNTA-2015-0022

近日，國家信息安全漏洞共享平臺（CNVD）收錄了虛擬機系統(tǒng)軟件Xen存在的一處權(quán)限提升漏洞（CNVD-2015-07060，對應(yīng)CVE-2015-7835）。遠(yuǎn)程攻擊者可利用漏洞，提升權(quán)限控制整個系統(tǒng)，導(dǎo)致虛擬機逃逸，構(gòu)成用戶主機數(shù)據(jù)泄漏風(fēng)險。目前，廠商已經(jīng)發(fā)布了補丁修補程序。

一、漏洞情況分析

Xen是一款開源的虛擬機系統(tǒng)軟件，是目前云計算服務(wù)提供虛擬化的基礎(chǔ)系統(tǒng)軟件。Xen平臺PV模式下運行的虛擬機被披露存在權(quán)限提升漏洞。當(dāng)滿足一定條件，用于控制驗證level 2影像頁表（Xen Page）的代碼可被繞過，導(dǎo)致PV模式下的普通用戶（如Guest）可使用超級頁表映射權(quán)限重新定義可寫入的映射。由于漏洞產(chǎn)生原因為頁表關(guān)聯(lián)權(quán)限繞過，即使在Xen系統(tǒng)配置“allowsuperpage”命令行選項為“否”的情況下也會受到漏洞的影響。綜合利用漏洞，可提升普通用戶權(quán)限，進(jìn)而控制整個虛擬機系統(tǒng)，構(gòu)成用戶主機數(shù)據(jù)泄漏風(fēng)險。CNVD對該漏洞的綜合評級為“高危”。

該漏洞的報告者為阿里云的欒尚聰 (好風(fēng))。

二、漏洞影響范圍

漏洞影響Xen<3.4的版本，該漏洞影響Xen平臺PV模式下運行的虛擬機，對支持使用HVM模式運行的虛擬機沒有影響。

三、漏洞修復(fù)建議

目前，Xen官方已經(jīng)推出針對該漏洞的修復(fù)補丁，修復(fù)了該漏洞。CNVD提醒尚未升級的云服務(wù)廠商及時下載補丁更新，避免引發(fā)漏洞相關(guān)的網(wǎng)絡(luò)安全事件。http://www.xenproject.org/。

附：參考鏈接：

http://xenbits.xen.org/xsa/advisory-148.html

http://www.cnvd.org.cn/flaw/show/CNVD-2015-07060