发布日期：2013-05-17
更新日期：2013-05-20

受影响系统：

XenSource Xen >= 4.0

描述：

---

BUGTRAQ  ID: 59982
CVE(CAN) ID: CVE-2013-2072

Xen是一个开源虚拟机监视器，由剑桥大学开发。

Xen 4.0及更高版本存在安全漏洞，如果系统允许不受信任客户端管理员配置cpu affinity masks，且系统使用了libxc Python bindings，则攻击者可以利用此漏洞破坏内存，使配置特定vcpu affinity的toolstack崩溃，造成拒绝服务。也可能导致远程代码执行。此漏洞源于xc_vcpu_setaffinity调用的Python bindings没有正确检查其输入。

<*来源：Xen
  
  链接：http://www.openwall.com/lists/oss-security/2013/05/17/2
*>

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

*禁止不受信任客户端管理员配置VCPU affinity；也可以切换到不使用Python的toolstack。

厂商补丁：

XenSource
---------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://lists.xen.org/archives/html/xen-announce

浏览次数：4469
严重程度：0（网友投票）