Un importante fallo de seguridad se ha encontrado en Xen, podría permitir a un atacante provocar una denegación de servicio o incluso ejecutar código en la máquina anfitriona.

Xen es un proyecto colaborativo de la fundación Linux centrado en la virtualización de hardware. Las tecnologías creadas son Xen Hypervisor (el estándar de virtualización del mundo del código abierto), Xen Cloud Platform (plataforma de soluciones en la red basada en la tecnología anterior) y Xen ARM, destinada a dispositivos móviles. 

 
El error encontrado consiste en un fallo a la hora de filtrar parámetros en las llamadas a ‘xc_vcpu_setaffinity’ desde python. Si se asigna afinidad vcpu a máquinas virtuales de cierta forma, el fallo provocado podría ser aprovechado para causar un desbordamiento de buffer y corrupción de memoria. 
 
Un atacante con acceso para configurar los parámetros de CPU en las máquinas virtuales podría explotar esta vulnerabilidad y causar denegación de servicio, aunque no se descarta del todo la posibilidad de ejecución de código o elevación de privilegios. 
 
Afecta a Xen 4.0 y posteriores, aunque solo a sistemas que usen libxc python bindings, aquellos que no usan python como xl o xapi, no son vulnerables. 
 
Para subsanar el error, se recomienda aplicar el parche adjunto al boletín oficial de Xen. 
 
Opina sobre esta noticia: 
http://unaaldia.hispasec.com/2013/05/denegacion-de-servicio-y-potencial.html#comments
 
Más información:
 
Xen Security Advisory 56 (CVE-2013-2072) – Buffer overflow in xencontrol Python bindings affecting xend
http://lists.xen.org/archives/html/xen-announce/2013-05/msg00004.html
 
xsa56.patch
http://lists.xen.org/archives/html/xen-announce/2013-05/binV8eiX59nX8.bin

Fuente:
Fernando Castillo
fcastillo@hispasec.com
Laboratorio Hispasec
www.hispasec.com

Imagen:
Fotos Digitales Gratis
www.fotosdigitalesgratis.com

Logotipos/Imágenes/Texto MR Respectiva/s Compañía/s mencionada/s en la noticia.
Portal de Seguridad Informática, Tecnología e Internet
Descargas Antivirus/Antimalware
www.antivirusgratis.com.ar