Xen 'ELF'解析器多个安全漏洞

文章由LinuxBoy分享于2019-04-02 03:04:38热评（543）

Xen 'ELF'解析器多个安全漏洞

发布日期：2013-06-07
更新日期：2013-06-10

受影响系统：
xenproject Xen
描述：
--------------------------------------------------------------------------------
BUGTRAQ ID: 60422

Xen是一个开源虚拟机监视器，由剑桥大学开发。

Xen的ELF解析器存在多个整数溢出、指针间接引用等漏洞，恶意的PV域管理员如果可以指定自己的内核，则可提升其权限至域构建工具，另外恶意的HVM域管理员如果可以提供"hvmloader"，也可提升权限。攻击者可利用这些漏洞加载恶意内核或固件、破坏 libelf 的内存，提升主机系统上的权限。

<*来源：Xen.org security team （security@xen.org）

链接：http://seclists.org/oss-sec/2013/q2/516
*>

建议：
--------------------------------------------------------------------------------
厂商补丁：

xenproject
----------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.xenproject.org/

推荐文章：

Xen 页面引用计数拒绝服务漏洞(CVE-2013-1432)
Xen 本地拒绝服务漏洞(CVE-2013-3495)

Xen 'ELF'解析器多个安全漏洞