Xenの脆弱性 ( XSA-200: CVE-2016-9932 )
12月13日にXenの脆弱性( XSA-200: CVE-2016-9932 )が公開されています。Xenの全バージョンに影響するものもあるため、今回は、このXenの脆弱性についてまとめてみます。
こんにちは。SIOS OSSエバンジェリスト/セキュリティ担当の面です。
12月13日にXenの脆弱性( XSA-200: CVE-2016-9932 )が公開されています。Xenの全バージョンに影響するものもあるため、今回は、このXenの脆弱性についてまとめてみます。
Priority
Moderate
影響するバージョン
| XSA-200/CVE-2016-9932 |
|---|
| x86 CMPXCHG8BエミュレーションでのオペランドサイズOverride無視の失敗による、非特権ユーザのホストからのセンシティブ情報の取得 |
脆弱性概要(詳細はリンク先のサイトをご確認ください)
- CVE-2016-9932
x86 CMPXCHG8BエミュレーションでのオペランドサイズOverride無視の失敗による非特権ユーザのホストからのセンシティブ情報の取得
CMPXCHG16Bエミュレーションはレガシーのオペランドサイズオーバーライドを無視することになっていますが、このCMPXCHG16Bエミュレーションサポートが命令に追加された時、実装に誤りが有りました。これにより、仮に無視されたサイズPrefixがゲストにより使われた時、小さな(64bitモードで実行されているゲストには96bit、それ以外は32bitのハイパーバイザースタックデータが他のゲストにリークする可能性が有ります。
主なディストリビューションの対応方法
詳細は、各ディストリビューションの提供元にご確認ください
debian
Red Hat Enterprise Linux/CentOS
Oracle Linux
OpenSUSE
ubuntu
https://people.canonical.com/~ubuntu-security/cve/2016/CVE-2016-9932.html
対処方法
各ディストリビューションの案内に従い、アップデートを行ってください。
また、Xenのバージョンを上げた時にはホストOSの再起動が発生しますので、pacemakerなどOSSのクラスタ製品やLifeKeeperなどの商用のクラスタリング製品を使うとサービス断の時間を最小限にすることが出来ます。