| CNNVD-ID编号 | CNNVD-202012-1120 | CVE编号 | CVE-2020-29479 |
| 发布时间 | 2020-12-15 | 更新时间 | 2020-12-28 |
| 漏洞类型 | 权限许可和访问控制问题 | 漏洞来源 | N/A |
| 危险等级 | 高危 | 威胁类型 | 本地 |
| 厂商 | N/A | ||
Xen是英国剑桥(Cambridge)大学的一款开源的虚拟机监视器产品。该产品能够使不同和不兼容的操作系统运行在同一台计算机上,并支持在运行时进行迁移,保证正常运行并且避免宕机。
Xen through 4.14.x 版本存在权限许可和访问控制问题漏洞,该漏洞源于在Ocaml xenstored实现中,树的内部表示具有根节点的特殊情况,因为这个节点没有父节点。不幸的是,没有检查根节点上某些操作的权限。非特权来宾可以获得和修改权限、列出和删除根节点(删除整个xenstore树是主机范围内的拒绝服务)实现xenstore写访问也是可能的。
目前厂商已发布升级了Xen 权限许可和访问控制问题漏洞的补丁,Xen 权限许可和访问控制问题漏洞的补丁获取链接:
https://xenbits.xen.org/xsa/advisory-353.html
来源:DEBIAN
来源:FEDORA
来源:FEDORA
来源:MISC
来源:www.auscert.org.au
来源:vigilance.fr
链接:https://vigilance.fr/vulnerability/Xen-privilege-escalation-via-Oxenstored-Root-Node-34119
暂无
计算
安全
数据库
网络和加速
企业服务
