Xen Project нарушил собственную политику безопасности при публикации патча к уязвимости

Команда Xen Project опубликовала исправление уязвимости до публичного обнародования в рамках программы предварительного информирования вендоров. Речь идет об ошибке ( CVE-2015-8615 ), позволяющей удаленному пользователю осуществить DoS-атаку на кроссплатформенный гипервизор Xen.

Как указывается в бюллетене безопасности, ошибка затрагивает только версию Xen 4.6 (более ранние версии и платформы ARM уязвимости не подвержены). Проблема существует из-за ошибки в операции HVM_PARAM_CALLBACK_IRQ подпараметра HVMOP_set_param функции HYPERVISOR_hvm_op. Удаленный пользователь может осуществить DoS-атаку путем неоднократных неверных попыток аутентификации.

По словам экспертов, временным решением является использование паравиртуализированных гостевых систем. В настоящее время уже доступно корректирующее обновление для уязвимой версии Xen.

Как пишет The Register, данная система виртуализации широко используется рядом крупных облачных операторов, в частности, инфраструктурой web-сервисов Amazon. Любая информация об уязвимостях в ПО представляет огромный интерес для злоумышленников, получающих новые возможности для атак на клиентов популярных облачных хостингов. В октябре 2014 года команда Xen Project обновила политику безопасности, предусмотрев предварительное информирование вендоров до публичного обнародования обнаруженных проблем.

Как признались разработчики, в случае с вышеуказанной проблемой, патч был опубликован в открытом доступе в списке для разработчиков Xen-devel прежде, чем было признано наличие уязвимости.