Xen最新的管理程序更新缺少一些安全补丁

Xen Project发布了其虚拟机管理程序的新版本，但忘了完全包含以前可用的两个安全补丁。

Xen管理程序被云计算提供商和虚拟私人服务器托管公司广泛使用。

星期一发布的Xen 4.6.1被标记为维护版本，这些类型大约每四个月才能包含在此期间释放的所有错误和安全补丁。

“由于两个监督XSA-155和XSA-162的修复程序仅部分地应用于此版本，”Xen项目在博客文章中注明。该项目表示，对于Xen 4.4.4，Xen 4.4.4的维护释放是如此。

安全意识的用户可能会将Xen修补程序应用于现有安装，因为它们可用，而不等待维护版本。但是，新的Xen部署可能会根据最新的可用版本，该版本现在包含两个公知和记录安全漏洞的不完整修复。

XSA-162和XSA-155指的是分别于11月和12月发布的补丁的两种漏洞。

XSA-162，也跟踪为CVE-2015-7504，是QEMU的漏洞，Xen使用的开源虚拟化软件程序。具体地，缺陷是AMD PCNet网络设备的QEMU虚拟化中的缓冲溢出条件。如果已被剥削，它可以允许用户操作系统的用户可以访问虚拟化的PCNet适配器，以提升其权限到QEMU进程的权限。

XSA-155，或CVE-2015-8550，是Xen SParavirtualized驱动程序的漏洞。客户操作系统管理员可以利用漏洞崩溃，以崩溃主机或具有更高权限的任意执行代码。

“总之，在共享内存上运行的简单交换机语句被编译成一个易受攻击的双重获取，允许在Xen管理域上执行潜在的任意代码，”在12月的博客帖子中找到缺陷的研究人员Felix Wilhelm表示。