Af Torben B. Sørensen, 05/04/17
Udviklerne af hypervisoren Xen har lukket et sikkerhedshul, der giver virtuelle maskiner adgang til hele arbejdslageret.
Sårbarheden findes i alle versioner af Xen og dermed også i Qubes, der anvender Xen.
En tidligere fejlrettelse indførte fejlen, der består i mangelfuld kontrol af et input. Den gør, at det er muligt at tilgå dele af arbejdslageret, som ligger uden for det område, den virtuelle maskine har fået tildelt.
Fejlen findes kun ved 64-bit PV-gæster på x86-systemer. HVM-gæster og 32-bit PV-gæster er ikke berørt.
Anbefaling
Installer patchen XSA-212. Den fås til xen-unstable, Xen 4.8.x, Xen 4.7.x, Xen 4.6.x, Xen 4.5.x, Xen 4.4.x.
Brugere af Qubes 3.1 eller 3.2 skal installere Xen packages, version 4.6.4-26.