Разработчики Xen Project не включили два важных исправления безопасности в состав последнего обновления для Xen. Как объяснили создатели популярного виртуализационного ПО в блоге Xen, инцидент произошел по недосмотру разработчиков.
Исправления, внесенные в бюллетенях безопасности XSA-155 и XSA-162, были лишь частично применены к обновлению 4.6.1. Разработчики обнаружили ошибку еще в четверг, 11 февраля, но не смогли вовремя скорректировать неисправность. Выпущенное в понедельник, 15 февраля, обновление содержит лишь частичные исправления.
Бюллетени безопасности XSA-155 и XSA-162 исправляют две опасные уязвимости, позволяющие выполнить произвольный код на целевой системе. Ошибки были обнаружены в прошлом году. Описанная в бюллетене XSA-155 уязвимость позволяла осуществить DoS-атаку или выполнить произвольный код из-за ошибки в паравиртуализованных драйверах. В бюллетене XSA-162 была исправлена уязвимость, позволявшая вызвать переполнение буфера и скомпрометировать систему.
Новости интересные и малоизвестные из IT индустрии
Больше статей
Плагин для онлайн курсов LearnPress на WordPress потенциально уязвим
Специалисты по кибербезопасности BitSight обнаружили серию критических уязвимостей в популярном GPS-трекере
Анонсирован первый SSD диск на российском контроллере Kraftway К1942ВК018